1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: PGP und…

Signal? Seriously?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Signal? Seriously?

    Autor: Hanmac 14.05.18 - 09:48

    Signal ist hier nicht unbedingt besser,

    siehe CVE-2018-1000136
    https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018-1000136---Electron-nodeIntegration-Bypass/

  2. Re: Signal? Seriously?

    Autor: ikhaya 14.05.18 - 09:58

    Aber das ist ja nicht das Protokoll an sich sondern ein Client von mehreren

  3. Re: Signal? Seriously?

    Autor: Katsuragi 14.05.18 - 11:19

    benutzt Signal nicht auch die Google API und Server zur Kommunikation? Damit hätte Google mit hoher Wahrscheinlichkeit die Metadaten der Kommunikation, also wer mit wem, wann und wie viel. Das allein wäre schon beunruhigend, so es denn stimmt.
    Als ich damals Signal installieren wollte und es nicht ohne Google-Dienste ging, war ich jedenfalls beunruhigt genug es zu lassen.

    Weiß da jemand mehr?

  4. Re: Signal? Seriously?

    Autor: ikhaya 14.05.18 - 11:23

    Also GCM wird bei derartigen Anwendungen nur zur Info benutzt "hey da is ne neue Nachricht zum abholen" und alles andere läuft an Google unlesbar vorbei.

  5. Re: Signal? Seriously?

    Autor: d-mark 14.05.18 - 11:41

    > benutzt Signal nicht auch die Google API und Server zur Kommunikation?

    Macht Threema auch, zumindest bei Android.

    Threema informiert in den FAQ allerdings, dass über GCM nur eine Info kommt, dass neue Nachrichten bereit stehen. Die eigentliche Nachricht läuft nicht über Google-Server.
    https://threema.ch/de/faq

  6. Re: Signal? Seriously?

    Autor: ImBackAlive 14.05.18 - 11:45

    Hanmac schrieb:
    --------------------------------------------------------------------------------
    > Signal ist hier nicht unbedingt besser,
    >
    > siehe CVE-2018-1000136
    > www.trustwave.com

    Genau, und weil Fefe das so sieht, sollten wir uns ihm anschließen...

    Der Fehler ist bereits behoben, und das auch bereit seit mitte März. Die meisten Anwender, die die Desktop-App installiert haben, sollten von diesem Fehler also nicht länger betroffen sein.

    Achso - das ist natürlich abgesehen von der Tatsache, dass die Signal-Applikation nicht von der Lücke betroffen war.

    Siehe auch:
    https://www.electronjs.org/blog/webview-fix

  7. Re: Signal? Seriously?

    Autor: Mr Miyagi 14.05.18 - 14:04

    Die Empfehlung Signal als Ersatz für S/MIME bzw. PGP zu verwenden ist tasächlich kompletter Humbug. Die Anwendung lässt sich ohne Mobiltelefon mit Android oder iOS überhaupt nicht verwenden.

  8. Re: Signal? Seriously?

    Autor: [Benutzernamen hier eingeben] 15.05.18 - 05:33

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Also GCM wird bei derartigen Anwendungen nur zur Info benutzt "hey da is ne
    > neue Nachricht zum abholen" und alles andere läuft an Google unlesbar
    > vorbei.

    Das wäre das eine, allerdings macht hält Moxie Marlinspike nichts von Bemühungen von Dritten, den Code des Clients zu nehmen und den Google-Code durch eigene Technik zu ersetzen. Möglich ist das. Die sollten einfach eigene Server betreiben (ergo: kein Kontakt mit Signal-Nutzern möglich), heißt es. Ganz toll.

    Dann doch lieber XMPP mit OMEMO. Technisch basiert die Krypto auf dem Signal-Protokoll, es ist komfortabel nutzbar und einen XMPP-Server kann man problemlos selbst betreiben, weil Federation ein Feature ist und nicht ein zentraler Dienst alle Metadaten erheben kann. Gut, einen wirklich gelungenen und fertigen Desktop-Client gibt es noch nicht, aber https://dino.im sieht ganz gut aus.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP ABAP OO/EWM Senior Entwickler (m/w/x)
    über duerenhoff GmbH, Mannheim (Home-Office)
  2. Softwareentwickler Angular (w/m/d)
    freenet DLS GmbH, Büdelsdorf
  3. Expertin bzw. Experte IT-Sicherheitsarchitektur bzw. Cyber Security (m/w/d)
    Bundesamt für Migration und Flüchtlinge, Nürnberg
  4. Customer Data & CRM Consultant (m/w/d)
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim an der Ruhr

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 719€ (günstig wie nie)
  2. ab 39,99€ (statt 59€)
  3. 79€ (günstig wie nie, UVP 179€)
  4. 549€ (Tiefstpreis, UVP 1.099€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mindaugas Mozuras: Niemand hat je ein perfektes Stück Software geschrieben
Mindaugas Mozuras
"Niemand hat je ein perfektes Stück Software geschrieben"

Chefs von Devs "Effizienz, Pragmatismus und Menschlichkeit" sind für den VP of Engineering der Onlineplattform Vinted die wichtigsten Aspekte bei der Führung eines Entwicklerteams.
Ein Interview von Daniel Ziegener

  1. Ransomware-Angriff Wenn plötzlich nichts mehr geht
  2. Code-Genossenschaften Mitbestimmung und Einheitsgehalt statt Frust im Hamsterrad

Cloud-Services to go: Was können Azure, AWS & Co?
Cloud-Services to go
Was können Azure, AWS & Co?

"There is no cloud, it's just someone else's computer" - ein Satz, oft zu lesen und nicht so falsch - aber warum sollten wir überhaupt Software oder Daten auf einem anderen Computer speichern?
Eine Analyse von Rene Koch

  1. Hyperscaler Die Hyperskalierung der Angst vor den eigenen Schwächen
  2. Microsoft Neues Lizenzmodell schließt Google und AWS weiter aus
  3. Cloud Einmal Einsparen, bitte?

Arbeit in der IT: Depression vorprogrammiert
Arbeit in der IT
Depression vorprogrammiert

ITler unterschätzen oft mentale Probleme. Dabei bietet gerade ihre Arbeitswelt einen Nährboden für Depressionen und Angstzustände.
Ein Feature von Andreas Schulte

  1. IT-Arbeit Zwei Informatikstudien und immer noch kein Programmierer
  2. Fairness am Arbeitsplatz "Das Gehalt ist ein klares Kriterium für Gerechtigkeit"
  3. Work-Life-Balance in der IT Ich will mein Leben zurück