Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: PGP und S…

Signal? Seriously?

  1. Thema

Neues Thema Ansicht wechseln


  1. Signal? Seriously?

    Autor: Hanmac 14.05.18 - 09:48

    Signal ist hier nicht unbedingt besser,

    siehe CVE-2018-1000136
    https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018-1000136---Electron-nodeIntegration-Bypass/

  2. Re: Signal? Seriously?

    Autor: ikhaya 14.05.18 - 09:58

    Aber das ist ja nicht das Protokoll an sich sondern ein Client von mehreren

  3. Re: Signal? Seriously?

    Autor: Katsuragi 14.05.18 - 11:19

    benutzt Signal nicht auch die Google API und Server zur Kommunikation? Damit hätte Google mit hoher Wahrscheinlichkeit die Metadaten der Kommunikation, also wer mit wem, wann und wie viel. Das allein wäre schon beunruhigend, so es denn stimmt.
    Als ich damals Signal installieren wollte und es nicht ohne Google-Dienste ging, war ich jedenfalls beunruhigt genug es zu lassen.

    Weiß da jemand mehr?

  4. Re: Signal? Seriously?

    Autor: ikhaya 14.05.18 - 11:23

    Also GCM wird bei derartigen Anwendungen nur zur Info benutzt "hey da is ne neue Nachricht zum abholen" und alles andere läuft an Google unlesbar vorbei.

  5. Re: Signal? Seriously?

    Autor: d-mark 14.05.18 - 11:41

    > benutzt Signal nicht auch die Google API und Server zur Kommunikation?

    Macht Threema auch, zumindest bei Android.

    Threema informiert in den FAQ allerdings, dass über GCM nur eine Info kommt, dass neue Nachrichten bereit stehen. Die eigentliche Nachricht läuft nicht über Google-Server.
    https://threema.ch/de/faq

  6. Re: Signal? Seriously?

    Autor: ImBackAlive 14.05.18 - 11:45

    Hanmac schrieb:
    --------------------------------------------------------------------------------
    > Signal ist hier nicht unbedingt besser,
    >
    > siehe CVE-2018-1000136
    > www.trustwave.com

    Genau, und weil Fefe das so sieht, sollten wir uns ihm anschließen...

    Der Fehler ist bereits behoben, und das auch bereit seit mitte März. Die meisten Anwender, die die Desktop-App installiert haben, sollten von diesem Fehler also nicht länger betroffen sein.

    Achso - das ist natürlich abgesehen von der Tatsache, dass die Signal-Applikation nicht von der Lücke betroffen war.

    Siehe auch:
    https://www.electronjs.org/blog/webview-fix

  7. Re: Signal? Seriously?

    Autor: Mr Miyagi 14.05.18 - 14:04

    Die Empfehlung Signal als Ersatz für S/MIME bzw. PGP zu verwenden ist tasächlich kompletter Humbug. Die Anwendung lässt sich ohne Mobiltelefon mit Android oder iOS überhaupt nicht verwenden.

  8. Re: Signal? Seriously?

    Autor: [Benutzernamen hier eingeben] 15.05.18 - 05:33

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Also GCM wird bei derartigen Anwendungen nur zur Info benutzt "hey da is ne
    > neue Nachricht zum abholen" und alles andere läuft an Google unlesbar
    > vorbei.

    Das wäre das eine, allerdings macht hält Moxie Marlinspike nichts von Bemühungen von Dritten, den Code des Clients zu nehmen und den Google-Code durch eigene Technik zu ersetzen. Möglich ist das. Die sollten einfach eigene Server betreiben (ergo: kein Kontakt mit Signal-Nutzern möglich), heißt es. Ganz toll.

    Dann doch lieber XMPP mit OMEMO. Technisch basiert die Krypto auf dem Signal-Protokoll, es ist komfortabel nutzbar und einen XMPP-Server kann man problemlos selbst betreiben, weil Federation ein Feature ist und nicht ein zentraler Dienst alle Metadaten erheben kann. Gut, einen wirklich gelungenen und fertigen Desktop-Client gibt es noch nicht, aber https://dino.im sieht ganz gut aus.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. NORMA Group Holding GmbH, Maintal bei Frankfurt am Main
  2. Bosch Gruppe, Stuttgart
  3. Hays AG, Baden-Württemberg
  4. BWI GmbH, Nürnberg, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Canon EOS M100 + Objektiv 15-45 mm + 50€ Cashback für 299€ statt 376,86€ im Vergleich...
  2. (u. a. Inferno Blu-ray Steelbook für 6,99€ und Ni No Kuni 2: Schicksal eines Königreichs King's...
  3. 16,99€ + 3,49€ Versand (Vergleichspreis ca. 30€)
  4. (u. a. NieR Automata für 20,99€ und Dead in Vinland für 12,49€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ford will lieber langsam sein
  2. Navya Mainz testet autonomen Bus am Rheinufer
  3. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. 32-Kern-CPU Threadripper 2990WX läuft mit Radeons besser
  2. Threadripper 2990WX AMDs 32-Kerner kostet weniger als Intels 18-Kerner
  3. Zhongshan Subor Z+ AMD baut SoC mit PS4-Pro-Leistung für chinesische Konsole

  1. Let's Play: Valve streamt über Steam.tv
    Let's Play
    Valve streamt über Steam.tv

    Es könnte weitere Konkurrenz für Youtube und Twitch geben: Valve arbeitet an einem eigenen Angebot, das wahrscheinlich mit dem E-Sport-Turnier The International startet. Wie es dann weitergeht - unklar.

  2. Promotion: Netflix testet Werbung zwischen Serienepisoden
    Promotion
    Netflix testet Werbung zwischen Serienepisoden

    Netflix legt viel Wert darauf, dass Nutzer sich Serien fast nahtlos ansehen können. Nun wird eine Funktion getestet, die zwischen einzelnen Folgen doch etwas Werbung einblendet - für Netflix-eigene Inhalte.

  3. Breitbandausbau: Bahn will eigenes Glasfasernetz neben Gleisen ausbauen
    Breitbandausbau
    Bahn will eigenes Glasfasernetz neben Gleisen ausbauen

    Die Bahn hat bereits ein umfangreiches Glasfasernetz und will es entlang der Gleise nun massiv ausbauen. Dafür wird ein Partner aus der Netzbetreiberbranche gesucht.


  1. 11:33

  2. 11:04

  3. 18:00

  4. 17:30

  5. 17:15

  6. 16:50

  7. 16:25

  8. 16:00