Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: PGP und S…

Signal? Seriously?

  1. Thema

Neues Thema Ansicht wechseln


  1. Signal? Seriously?

    Autor: Hanmac 14.05.18 - 09:48

    Signal ist hier nicht unbedingt besser,

    siehe CVE-2018-1000136
    https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018-1000136---Electron-nodeIntegration-Bypass/

  2. Re: Signal? Seriously?

    Autor: ikhaya 14.05.18 - 09:58

    Aber das ist ja nicht das Protokoll an sich sondern ein Client von mehreren

  3. Re: Signal? Seriously?

    Autor: Katsuragi 14.05.18 - 11:19

    benutzt Signal nicht auch die Google API und Server zur Kommunikation? Damit hätte Google mit hoher Wahrscheinlichkeit die Metadaten der Kommunikation, also wer mit wem, wann und wie viel. Das allein wäre schon beunruhigend, so es denn stimmt.
    Als ich damals Signal installieren wollte und es nicht ohne Google-Dienste ging, war ich jedenfalls beunruhigt genug es zu lassen.

    Weiß da jemand mehr?

  4. Re: Signal? Seriously?

    Autor: ikhaya 14.05.18 - 11:23

    Also GCM wird bei derartigen Anwendungen nur zur Info benutzt "hey da is ne neue Nachricht zum abholen" und alles andere läuft an Google unlesbar vorbei.

  5. Re: Signal? Seriously?

    Autor: d-mark 14.05.18 - 11:41

    > benutzt Signal nicht auch die Google API und Server zur Kommunikation?

    Macht Threema auch, zumindest bei Android.

    Threema informiert in den FAQ allerdings, dass über GCM nur eine Info kommt, dass neue Nachrichten bereit stehen. Die eigentliche Nachricht läuft nicht über Google-Server.
    https://threema.ch/de/faq

  6. Re: Signal? Seriously?

    Autor: ImBackAlive 14.05.18 - 11:45

    Hanmac schrieb:
    --------------------------------------------------------------------------------
    > Signal ist hier nicht unbedingt besser,
    >
    > siehe CVE-2018-1000136
    > www.trustwave.com

    Genau, und weil Fefe das so sieht, sollten wir uns ihm anschließen...

    Der Fehler ist bereits behoben, und das auch bereit seit mitte März. Die meisten Anwender, die die Desktop-App installiert haben, sollten von diesem Fehler also nicht länger betroffen sein.

    Achso - das ist natürlich abgesehen von der Tatsache, dass die Signal-Applikation nicht von der Lücke betroffen war.

    Siehe auch:
    https://www.electronjs.org/blog/webview-fix

  7. Re: Signal? Seriously?

    Autor: Mr Miyagi 14.05.18 - 14:04

    Die Empfehlung Signal als Ersatz für S/MIME bzw. PGP zu verwenden ist tasächlich kompletter Humbug. Die Anwendung lässt sich ohne Mobiltelefon mit Android oder iOS überhaupt nicht verwenden.

  8. Re: Signal? Seriously?

    Autor: [Benutzernamen hier eingeben] 15.05.18 - 05:33

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Also GCM wird bei derartigen Anwendungen nur zur Info benutzt "hey da is ne
    > neue Nachricht zum abholen" und alles andere läuft an Google unlesbar
    > vorbei.

    Das wäre das eine, allerdings macht hält Moxie Marlinspike nichts von Bemühungen von Dritten, den Code des Clients zu nehmen und den Google-Code durch eigene Technik zu ersetzen. Möglich ist das. Die sollten einfach eigene Server betreiben (ergo: kein Kontakt mit Signal-Nutzern möglich), heißt es. Ganz toll.

    Dann doch lieber XMPP mit OMEMO. Technisch basiert die Krypto auf dem Signal-Protokoll, es ist komfortabel nutzbar und einen XMPP-Server kann man problemlos selbst betreiben, weil Federation ein Feature ist und nicht ein zentraler Dienst alle Metadaten erheben kann. Gut, einen wirklich gelungenen und fertigen Desktop-Client gibt es noch nicht, aber https://dino.im sieht ganz gut aus.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. STRABAG BRVZ GMBH & CO.KG, Stuttgart
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Köln
  3. Porsche AG, Zuffenhausen
  4. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 469,00€
  2. 249,00€ + Versand
  3. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  4. 334,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

  1. Onlinehandel: Mehr Verbraucherbeschwerden im Paketgeschäft
    Onlinehandel
    Mehr Verbraucherbeschwerden im Paketgeschäft

    Im vergangenen Jahr haben sich deutlich mehr Kunden über Probleme bei Paketzustellungen beschwert als noch ein Jahr zuvor. Auch im laufenden Jahr hält der Trend durch das Wachstum des Onlinehandels an. Gemessen an der Zahl der gelieferten Pakete sind es aber wenige Beanstandungen.

  2. Premium Alexa Skills: Skills für Amazons Alexa mit Bezahlfunktion starten
    Premium Alexa Skills
    Skills für Amazons Alexa mit Bezahlfunktion starten

    Amazon hat erste Premium Alexa Skills für Deutschland veröffentlicht. Diese enthalten sogenannte In-Skill-Käufe, Kunden können gegen Bezahlung spezielle Funktionen aktivieren. Zum Start stehen insgesamt 14 Angebote zur Verfügung.

  3. Vodafone: Otelo-Vertragskunden erhalten Zugang zum LTE-Netz
    Vodafone
    Otelo-Vertragskunden erhalten Zugang zum LTE-Netz

    Die Vodafone-Marke Otelo bietet Kunden mit Laufzeitverträgen Zugang zum LTE-Netz. Bisher musste der LTE-Zugang extra bezahlt werden, nun ist er in allen Tarifen enthalten, auch für Bestandskunden. Prepaid-Kunden können das LTE-Netz weiterhin nicht nutzen.


  1. 12:12

  2. 11:53

  3. 11:35

  4. 14:56

  5. 13:54

  6. 12:41

  7. 16:15

  8. 15:45