1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Ende-zu-Ende-Verschlüsselung…
  6. Them…

threema..opensource

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Re: threema..opensource

    Autor: Anonymer Nutzer 21.02.14 - 11:37

    es ist doch so, dass closed source schonmal ein ausschlusskriterium für garantierte sicherheit ist. auch wenn man sicherheit wohl nie ganz garantieren kann, warum sollte man sie am anfang schonmal ausschließen wollen?

  2. Re: threema..opensource

    Autor: Paykz0r 21.02.14 - 12:25

    Youssarian schrieb:
    --------------------------------------------------------------------------------
    > Paykz0r schrieb:
    >
    > > man hätte erwähnen sollen welche von den genannten alternativen
    > opensource
    > > ist und welche nicht.
    > > wenn man schon über sicherheit spricht...
    >
    > Es besteht kein direkter Zusammenhang zwischen offenen Quelltexten und
    > Sicherheit. Dafür bedarf es weiterer Kriterien:
    >
    > • Du musst selbst den Quelltext und die damit formulierten
    > Algorithmen vollständig verstehen können
    >
    > • Du darfst kein Binary laden und installieren/verwenden. Du musst
    > den Quelltext selbst kompilieren. Und zwar mit einem Compiler, dessen
    > Quelltexte Du kennst und vollständig verstehst. Dieser Compiler muss unter
    > einem Betriebssystem laufen, dessen Quelltexte Du kennst und vollständig
    > verstehst. Dieses Betriebssystem muss auf einer Hardware laufen, deren
    > Firmware/BIOS/whatever quelloffen ist usw.
    >
    > Merkst Du was? Ohne Vertrauen in bestimmte Personen oder Institutionen geht
    > es in keinem Fall. Ich würde beispielsweise einem Urteil eines Bruce
    > Schneier sehr wahrscheinlich Glauben schenken. Über diesen Schweizer kann
    > ich auch nichts Schlechtes sagen. Das schließt zwar nicht aus, dass er
    > schlecht ist. Aber bei Microsoft, Apple, Google, Facebook weiß ich, dass
    > sie schlecht sind: Und zwar nach dem Maßstab, den man sonst an natürliche
    > Personen anlegt: Firmen haben nun einmal keine Werte wie Anstand oder
    > Moral. Bestenfalls haben sie Slogans, an deren Botschaft sie sich
    > näherungsweise halten.
    >
    > Ich weiß, dass das keiner hören bzw. lesen will, aber Closed Source kann
    > objektiv sogar sicherer als sein als Open Source. Denn alle Angriffe, die
    > man gegen Closed Source durchführen kann, kann man auch gegen Open Source
    > durchführen. Umgekehrt gilt dies offensichtlich nicht.

    ahja.

    bei ein guten opensource projekt mit guter community
    sieht man taglich wir mögliche angriffe durch lücken geschlossen werden.
    schaut doch einfach mal bei github unter ctryptojs, openpgpjs oder mcrypt weiss der geier nach.

    was da abgeht kann kaum bei closed source statt finden.
    da hast du ein team die es entwickeln und jede lücke die die das team nicht bemerkt
    bleibt erst mal offen, während bei opensource wirklich tausende von leuten
    den quelltext einsehen könnnen.

    es wurde hier gesagt man könnne auch backdooors einbauen in openspource so das niemand sie sehen würde.
    ich würde gerne mal beispiele davon sehen.
    wie versteckt man opensource code so das tausende es nicht sehen?
    nette theorie aber beispielsweise ist crpytojs verdammt überschaubar.
    ich will sehen wie man da nur ein hello world versteckt.

    ferner kann ich sogar die hhtp header so einstellen das bsw.
    ajax requests zum anderen server nicht gestattet sind.
    das heisst selbst wenn du es schaffst ein push auf cryptojs durchwinken zu lassen
    der sagen wir mal dein privat key abgreift und zu ein anderen server senden will hast du da keine changse zu.

    bitte mal content security policies verstehen und nutzen.
    so was gibt es bestimmt auch ausserhalb von web technologien.

    opensource kann ganz einfach deshalb sicherer sein weils
    unter beobachtung von ganz vielen leuten ist.
    da kann niht jeder komm und code rein pumpen,
    totaler quatsch. einfach mal selber bei ein opensource projekt mit
    arbeiten damit man versteh was abgeht.

  3. Re: threema..opensource

    Autor: violator 21.02.14 - 13:10

    Paykz0r schrieb:
    --------------------------------------------------------------------------------
    > es wurde hier gesagt man könnne auch backdooors einbauen in openspource so
    > das niemand sie sehen würde.
    > ich würde gerne mal beispiele davon sehen.

    Wie sollen wir dir denn ein Beispiel für etwas zeigen, dass niemand sehen kann? ^^

  4. Re: threema..opensource

    Autor: Benjamin_L 21.02.14 - 14:22

    Oh man, da kommen die Open source hater wieder aus ihren Höhlen gekrochen. Krypto, bei der man die Mathematik und die Implementierung nicht nachvollziehen kann ist per se unsicher. Es mag besser als WhatsApp sein, aber vertrauenwürdig ist das halt nicht. Bekannte offene Standards einzusetzen, die Implementierung davon offen legen ist der einzige Weg dass man Vertrauen in sein System bringen kann und nicht blind den Herstellern glauben muss.

  5. Re: threema..opensource

    Autor: Sebbi 21.02.14 - 15:47

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Wie gesagt, man kann es auch so einbauen, dass man es auch bei OpenSource
    > nicht sofort erkennen kann... Aber na ja... Mir egal. Glaubt halt dran...

    Dazu ist kein Glaube nötig, das ist pure Logik.

    Quellen geheim -> niemand weiß was drin passiert
    Quellen offen -> man kann genau nachvollziehen was der Code macht

    Ob es nun schwierig ist das nachzuvollziehen oder nicht, spielt keine Rolle. Bei der geschlossenen Variante hat man die Möglichkeit nicht und deshalb ist es eine Stufe unsicherer ... aber - um dich zu zitieren - "mir egal. Glaube halt an closed source als Sicherheitsmerkmal" ...

  6. Re: threema..opensource

    Autor: Jimpanse 21.02.14 - 16:10

    Hat beim Open Source Tool Telegramm schon jemand den " ID löschen Button" gefunden ?

    Nur mal so by the Way?

  7. Re: threema..opensource

    Autor: Youssarian 21.02.14 - 16:14

    Jimpanse schrieb:

    > Hat beim Open Source Tool Telegramm schon jemand den " ID löschen Button"
    > gefunden ?

    Es ist Open Source, Mann! Schau halt nach, wo der Code für diesen Button steckt.

    > Nur mal so by the Way?

    Genauso habe ich es auch gemeint. ;-)

  8. Re: threema..opensource

    Autor: Youssarian 21.02.14 - 16:14

    Benjamin_L schrieb:

    > Oh man, da kommen die Open source hater wieder aus ihren Höhlen gekrochen.

    Mich kannst Du damit ja nicht meinen.

    > Krypto, bei der man die Mathematik und die Implementierung nicht
    > nachvollziehen kann ist per se unsicher.

    Kann man nicht? Wer lesen kann, ist klar im Vorteil: https://threema.ch/validation/

    > aber vertrauenwürdig ist das halt nicht.

    Womit wir dann wieder beim Thema 'Vertrauen' wären, was ich ja in den Mittelpunkt meines Beitrages gestellt hatte. Die meisten Open-Source-Nutzer vertrauen darauf, dass schon irgendeiner der 'Guten' mit Ahnung von der Materie den Code untersucht. Sie vertrauen darauf, dass das heruntergeladene Binary tasächlich ein Kompilat des an gleicher Stelle verfügbaren Quellcodes ist. Usw. usf.

    Darauf geht natürlich keiner ein, stattdessen wird man als 'Hater' verunglimpft, wenn man es nur wagt, die Behauptungen der 'Lover' ein wenig differenzierter zu betrachten. Ihr seid mir schon so Helden ...

  9. Re: threema..opensource

    Autor: whine 21.02.14 - 16:33

    Youssarian schrieb:
    --------------------------------------------------------------------------------
    > > Krypto, bei der man die Mathematik und die Implementierung nicht
    > > nachvollziehen kann ist per se unsicher.
    >
    > Kann man nicht? Wer lesen kann, ist klar im Vorteil: threema.ch
    >

    Das zeigt nur das man die nachrichten mit den jeweiligen Schlüsseln wieder lesen kann.
    Beantwortet aber zB nicht ob der Zufallszahlengenerator richtig arbeitet, ob noch mit einem
    weiteren Schlüssel gelesen werden kann usw.

  10. Re: threema..opensource

    Autor: Benjamin_L 21.02.14 - 16:56

    Youssarian schrieb:
    --------------------------------------------------------------------------------
    > Benjamin_L schrieb:
    >
    > > Oh man, da kommen die Open source hater wieder aus ihren Höhlen
    > gekrochen.
    >
    > Mich kannst Du damit ja nicht meinen.

    Richtig, dich meine ich auch nicht.

    > > Krypto, bei der man die Mathematik und die Implementierung nicht
    > > nachvollziehen kann ist per se unsicher.
    >
    > Kann man nicht? Wer lesen kann, ist klar im Vorteil: threema.ch

    Kann man wie gesagt nicht.

    > Womit wir dann wieder beim Thema 'Vertrauen' wären, was ich ja in den
    > Mittelpunkt meines Beitrages gestellt hatte. Die meisten Open-Source-Nutzer
    > vertrauen darauf, dass schon irgendeiner der 'Guten' mit Ahnung von der
    > Materie den Code untersucht. Sie vertrauen darauf, dass das
    > heruntergeladene Binary tasächlich ein Kompilat des an gleicher Stelle
    > verfügbaren Quellcodes ist. Usw. usf.

    Einer Kryptografie die geheim ist, kann man keine kritischen Konversationen anvertrauen, das ist nunmal Grundannahme bei Kryptographie. Solange sie nicht zumindest den Code dafür offenlegen, keiner verlangt dass die ganze App offen ist, kann man Threema zwar verwenden, was ich auch tue, aber man darf halt nicht davon ausgehen, dass es zu 100% sicher ist. Klar kann man bei open source auch nicht einfach definieren, aber die Geschichte zeigt einfach, dass Fehler dort eher gefunden werden (siehe Cryptocat und die anderen Beispiele hier im Forum)

    > Darauf geht natürlich keiner ein, stattdessen wird man als 'Hater'
    > verunglimpft, wenn man es nur wagt, die Behauptungen der 'Lover' ein wenig
    > differenzierter zu betrachten. Ihr seid mir schon so Helden ...

    Mein Beitrag ist im Vergleich zu manch anderen hier definitiv differenziert.

  11. Re: threema..opensource

    Autor: Sebbi 22.02.14 - 01:06

    Jimpanse schrieb:
    --------------------------------------------------------------------------------
    > Hat beim Open Source Tool Telegramm schon jemand den " ID löschen Button"
    > gefunden ?
    >
    > Nur mal so by the Way?

    Telegram ist kein Open Source. Nur API und Protokoll sind offen.

  12. Re: threema..opensource

    Autor: Anonymer Nutzer 22.02.14 - 01:09

    Jimpanse schrieb:
    --------------------------------------------------------------------------------
    > Hat beim Open Source Tool Telegramm schon jemand den " ID löschen Button"
    > gefunden ?
    >
    > Nur mal so by the Way?

    Hier ein Link:

    https://telegram.org/faq#q-can-i-delete-my-account

  13. Re: threema..opensource

    Autor: Jimpanse 22.02.14 - 07:51

    Ramott schrieb:
    --------------------------------------------------------------------------------
    > Jimpanse schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hat beim Open Source Tool Telegramm schon jemand den " ID löschen
    > Button"
    > > gefunden ?
    > >
    > > Nur mal so by the Way?
    >
    > Hier ein Link:
    >
    > telegram.org#q-can-i-delete-my-account

    Ist ja ziemlich benutzerfreundlich das nicht in der App unterzubringen.

    Erinnert mich irgend wie an früher, wo z.B. 1und1 ihre Kündigungsseiten mehr oder minder vor dem Kunden / Benutzer "versteckt" haben.



    1 mal bearbeitet, zuletzt am 22.02.14 07:52 durch Jimpanse.

  14. Re: threema..opensource

    Autor: Anonymer Nutzer 22.02.14 - 09:09

    Naja so schwer zu finden fand ich das jetzt nicht. :p

  15. Re: threema..opensource

    Autor: al-bundy 22.02.14 - 14:22

    Youssarian schrieb:
    --------------------------------------------------------------------------------
    > Paykz0r schrieb:

    > Über diesen Schweizer kann
    > ich auch nichts Schlechtes sagen. Das schließt zwar nicht aus, dass er
    > schlecht ist. Aber bei Microsoft, Apple, Google, Facebook weiß ich, dass
    > sie schlecht sind: Und zwar nach dem Maßstab, den man sonst an natürliche
    > Personen anlegt: Firmen haben nun einmal keine Werte wie Anstand oder
    > Moral. Bestenfalls haben sie Slogans, an deren Botschaft sie sich
    > näherungsweise halten.
    Selten so einen hanebüchenen Unsinn gelesen.
    > Ich weiß, dass das keiner hören bzw. lesen will, aber Closed Source kann
    > objektiv sogar sicherer als sein als Open Source. Denn alle Angriffe, die
    > man gegen Closed Source durchführen kann, kann man auch gegen Open Source
    > durchführen. Umgekehrt gilt dies offensichtlich nicht.
    Alter, was?

  16. Re: threema..opensource

    Autor: Youssarian 22.02.14 - 15:39

    Benjamin_L schrieb:

    >>> Krypto, bei der man die Mathematik und die Implementierung nicht
    >>> nachvollziehen kann ist per se unsicher.

    >> Kann man nicht? Wer lesen kann, ist klar im Vorteil: threema.ch

    > Kann man wie gesagt nicht.

    Der Quellcode der verwendeten Krypto-Bibliothek ist frei verfügbar. Oder willst Du sagen, er können diese manipuliert haben? Bzw. wie 'whine' schreibt, dass die Nachrichten mit weiteren Schlüsseln lesbar wären?

    Dann redet Ihr von etwas ganz anderem als ich: Ihr redet vom Misstrauen, dass ganz konkret diese Person ein Verbrecher sei. Das ist m.E. etwas anderes als 'Krypto, bei der man die Mathematik und die Implementierung nicht nachvollziehen kann'. Denn das kannst Du. Der Rest ist Vertrauen. (Ganz ohne Vertrauen kannst Du nicht einmal das glauben, was Du zu wissen vermeinst. )

  17. Re: threema..opensource

    Autor: Doomhammer 23.02.14 - 18:30

    al-bundy schrieb:
    --------------------------------------------------------------------------------
    > Youssarian schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Paykz0r schrieb:
    >
    > > Über diesen Schweizer kann
    > > ich auch nichts Schlechtes sagen. Das schließt zwar nicht aus, dass er
    > > schlecht ist. Aber bei Microsoft, Apple, Google, Facebook weiß ich,
    > dass
    > > sie schlecht sind: Und zwar nach dem Maßstab, den man sonst an
    > natürliche
    > > Personen anlegt: Firmen haben nun einmal keine Werte wie Anstand oder
    > > Moral. Bestenfalls haben sie Slogans, an deren Botschaft sie sich
    > > näherungsweise halten.
    > Selten so einen hanebüchenen Unsinn gelesen.

    Leider kein Unsinn! Das es so ist, haben die Unternehmen über Jahre, sogar über Jahrzehnte hinweg bewiesen.

    > > Ich weiß, dass das keiner hören bzw. lesen will, aber Closed Source kann
    > > objektiv sogar sicherer als sein als Open Source. Denn alle Angriffe,
    > die
    > > man gegen Closed Source durchführen kann, kann man auch gegen Open
    > Source
    > > durchführen. Umgekehrt gilt dies offensichtlich nicht.
    > Alter, was?

    Hier schreibt er allerdings wirklich Unsinn.

    Gerade mit dem Source hat man ja die Möglichkeit, das Programm zu überprüfen und selbst zu kompilieren. Auch muß man nicht darauf warten und vertrauen, das der Hersteller/Entwickler das Problem löst und fixed. Mit dem Source kann man das immer noch selbst machen. Im Schnitt werden Bugs/Security issues in OpenSource sogar deutlich schneller gefixt, als in CloseSource.

  18. Re: threema..opensource

    Autor: 0xDEADC0DE 23.02.14 - 19:12

    Benjamin_L schrieb:
    --------------------------------------------------------------------------------
    aber man
    > darf halt nicht davon ausgehen, dass es zu 100% sicher ist. Klar kann man
    > bei open source auch nicht einfach definieren, aber die Geschichte zeigt
    > einfach, dass Fehler dort eher gefunden werden (siehe Cryptocat und die
    > anderen Beispiele hier im Forum)

    Erstens ist keine Verschlüsselung auf Ewigkeit zu 100 % sicher, das war und ist schon immer eine Frage der Rechenleistung gewesen. Zweitens zeigt die Realität schon, dass Open Source selbst bei relativ unkomplexem Code nicht vor Sicherheitslücken oder gar absichtlich platzierten Backdoors gefeit ist. Gab es bei Linux schon oft genug, unentdeckte Sicherheitslücken und auch spät entdeckte Backdoors. Ein Verschlüsselungsalorithmus mit Konzeptfehler ist natürlich OpenSource einfacher, aber nicht zwingender auffindbar. Bei ClosedSource kann es passieren, dass der Fehler auch nicht gefunden wird. Per se ist nichts von beidem sicherer oder besser.

  19. Re: threema..opensource

    Autor: Anonymer Nutzer 23.02.14 - 22:26

    "Zweitens zeigt die Realität schon, dass Open Source selbst bei relativ unkomplexem Code nicht vor Sicherheitslücken oder gar absichtlich platzierten Backdoors gefeit ist. Gab es bei Linux schon oft genug, unentdeckte Sicherheitslücken und auch spät entdeckte Backdoors."


    Linux und unkomplexer Code im selben Zusammenhang.....
    Wichtig ist das die Lücken entdeckt wurden.

  20. Re: threema..opensource

    Autor: 0xDEADC0DE 24.02.14 - 08:43

    Tzven schrieb:
    --------------------------------------------------------------------------------
    > Linux und unkomplexer Code im selben Zusammenhang.....

    Dir ist schon bewusst dass "Linux" eine Summe aus einzelnen Komponenten ist? Und da sind sehr viele triviale Teile dabei, nicht nur hochkomplexe Algorithmen, die nicht mal der Entwickler vollständig versteht. Und ja, so gibt es das. In meiner "Klitsche" wird ein Physiker den vorherigen ablösen und hat daher kaum Ahnung was in der ModeLib eigentlich wirklich abgeht.

    > Wichtig ist das die Lücken entdeckt wurden.

    Das passiert aber in einigen Fällen nicht, sonst würde es beim Code Review auffallen und nicht erst in den vor Monaten freigegebenen Binaries.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsklinikum Münster, Münster
  2. PSI Software AG Geschäftsbereich PSI Energie EE, Aschaffenburg, Berlin
  3. Schoeller Technocell GmbH & Co. KG, Osnabrück
  4. Techniker Krankenkasse, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 34,99€/49,99€ (mit/ohne Spezialangebote)
  2. (u. a. Acer KG241P 144-Hz-Monitor für 159€)
  3. (aktuell u. a. Mushkin Pilot-E 2 TB für 219,90€ + Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Datenschmuggel US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
  2. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  3. Datenschutz Zahl der Behördenzugriffe auf Konten steigt

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

  1. Nuvia: Apples Chip-Chefarchitekt gründet CPU-Startup
    Nuvia
    Apples Chip-Chefarchitekt gründet CPU-Startup

    Geballte Kompetenz: Drei ehemalige sehr hochrangige Apple- und Google-Ingenieure haben Nuvia geschaffen. Das Startup will einen Datacenter-Chip entwickeln; das Geld kommt unter anderem von Dell.

  2. Investitionen: VW steckt noch mehr Geld in Elektromobilität
    Investitionen
    VW steckt noch mehr Geld in Elektromobilität

    Volkswagen will den Etat für Hybridisierung, Elektromobilität und Digitalisierung noch weiter aufstocken. In den nächsten vier Jahren sollen knapp 60 Milliarden und damit gut 40 Prozent aller Investitionen in diesen Bereich fließen.

  3. Google: Neue Chrome-Funktion führt zu Verlust von Tab-Inhalt
    Google
    Neue Chrome-Funktion führt zu Verlust von Tab-Inhalt

    Eine Funktion zur Verbesserung der Ressourcennutzung hat bei zahlreichen Chrome-Nutzern dazu geführt, dass Tabs unverhofft geleert wurden. Betroffen sind Nutzer, bei denen Chrome unter Windows auf einem Server läuft - also besonders Unternehmen, die teilweise stundenlang nicht arbeiten konnten.


  1. 16:28

  2. 15:32

  3. 15:27

  4. 14:32

  5. 14:09

  6. 13:06

  7. 12:37

  8. 21:45