1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Lastpass, nimm die…

Biwarden setzt keinen Tracker ein

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Biwarden setzt keinen Tracker ein

    Autor: /mecki78 23.02.21 - 18:33

    Sie nutzen App Center nur um an Crash Reports zu kommen und bei Firebase nur die Notifcation API für Push Notifications. Es reicht halt nicht mit irgend einen Murkstool zu schauen, was für Frameworks eine App einsetzt, man muss schon auch schauen was genau sie damit macht und das kann jeder, denn Bitwarden ist OpenSource und da kann sich jeder überzeugen, dass da gar nichts getracked wird:

    Q: What third-party scripts, libraries, and services are used?

    A: Currently, we load third-party payment scripts from Stripe and PayPal on payment pages in the Web Vault. In the mobile app, the Firebase script is used for push notifications. The HockeyApp is used for crash reporting. Please note, Firebase and HockeyApp are removed completely from the F-Droid build if you are interested in using that option. Turning off push notifications on a Bitwarden server will disable using the push relay server if you want to self-host.

    https://bitwarden.com/help/article/security-faqs/

    Hockey App hieß das früher, ist jetzt Teil von App Center, bietet aber die gleichen Funktionen was Crash Reporting angeht.

    /Mecki

  2. Re: Biwarden setzt keinen Tracker ein

    Autor: mcnesium 24.02.21 - 11:28

    Das ist doch völlig egal, wofür ein Third Party Script verwendet wird. Es sendet Requests zu einer an sich unbeteiligten dritten Partei und hinterlässt zumindest die IP-Adresse, Datum/Uhrzeit und wer weiß was noch alles.

    Das ist wie Webfonts von Google oder Bilder von Wikipedia laden: hat in einer ernst gemeinten Anwendung nichts zu suchen!

  3. Re: Biwarden setzt keinen Tracker ein

    Autor: /mecki78 24.02.21 - 13:49

    mcnesium schrieb:
    --------------------------------------------------------------------------------
    > Es sendet Requests zu einer an sich unbeteiligten dritten Partei

    Bei Push Notification öffnet es nur einen Kanal und registriert sich dort einmalig nach dem Öffnen mit der ID der App. Da ist nichts, dass man dir als Nutzer zuordnen kann und deine IP ändert sich doch ständig: bei jeden Wechsel von WLAN zu Mobilfunk oder umgekehrt, bei jedem Wechsel des WLAN Netzes, selbst regelmäßig innerhalb des Mobilfunknetzes und noch dazu werden diese IPs geteilt (NAT daheim oder Carrier Grade NAT beim ISP, weil denen die IPv4 Adresse ausgehen); die ist völlig nutzlos und interessiert kein Sau bei mobilen Geräten.

    Der Anbieter kann bei zwei nacheinander aufgebauten Kanälen nie sagen, ob das der gleiche Nutzer ist oder nicht, egal ob die von der gleichen oder von unterschiedlichen IPs stammen, denn bei gleichen sind es trotzdem oft unterschiedliche und bei unterschiedlichen kann es trotzdem der gleiche sein. Was genau willst du damit bitte groß tracken? Irgendwer hat irgendwo irgendwann mal die App geöffnet. Wow, ist ja krass viel konkrete Information. Und wie trackt man damit jemanden, wenn man keinen Datensatz einer Person und nicht mal zwei Datensätze der gleichen Person zuordnen kann? Weißt du was überhaupt "tracken" heißt? Das heiß "verfolgen". Wie du damit jemanden verfolgen willst, das erklärst du mir jetzt bitte mal im Detail.

    Und das hast du bei Push Notifications immer, anders funktionieren die nicht. Das macht also jede App, die Push Notifications nutzt (also mindestens jede zweite überhaupt), hier unterscheidet sich nur zu wem die den Kanal öffnen, was bei iOS immer Apple ist und bei Android immer Google und das ist es hier auch, denn Firebase ist auch Google. Ohne das geht dieses Feature nicht, denn wie bitte sonst soll dein Gerät über Änderungen informiert werden?

    Und App Center meldet sich überhaupt nirgendwo an, außer die App ist gecrashed und dann übermittelt sie nur einen anonymen Crash Report: Verbindung auf, Crash Report senden, Verbindung zu. Solange die App nicht abstürzt, passiert hier rein gar nichts. Und wenn sie es tut kannst du auch keine zwei Crash Reports dem gleichen Nutzer zuordnen, da Nutzernamen und Seriennummern und was System sonst noch so da rein schreiben, vor dem Upload entfernt werden.

    Mit Tracking hat also beides nichts zu tun. Man kann diese beiden Frameworks zum Tracken nutzen, wenn man möchte (in dem man dort exlpizit Daten sendet, die man z.B. genau einen Kunden zuordnen kann), aber wie gesagt, jeder kann sich davon überzeugen, dass Bitwarden das eben genau nicht tut. Es nutzt sie nur so wie in der FAQ angegeben.

    /Mecki

  4. Re: Biwarden setzt keinen Tracker ein

    Autor: mcnesium 24.02.21 - 14:26

    Bitte um Verzeihung, ich hatte offenbar übersehen, dass du nur von Anwendungen auf Mobilfunkgeräten sprachst.

    Diese Systeme sind ohnehin keine vertrauenswürdigen Umgebungen, weil mindestens von den jeweiligen Herstellern sowieso jegliche Nutzerinteraktion erfasst wird. Da spielt dann auch keine Rolle mehr, ob in der jeweiligen Anwendung noch ein weiteres Ping gesendet wird. In sofern hast du natürlich Recht damit, dass der Einsatz von Bitwarden auf diesen Systemen gefahrlos ist, denn die Nutzer sind in ihrem Alltagsverhalten ja sowieso schon vollständig ausgeleuchtet.

    Deine Akribie in Bezug auf die Verwendung des Begriffs "Tracking" ist in dem Fall jedoch müßig.

  5. Re: Biwarden setzt keinen Tracker ein

    Autor: RexRex 24.02.21 - 18:33

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Sie nutzen App Center nur um an Crash Reports zu kommen und bei Firebase
    > nur die Notifcation API für Push Notifications. Es reicht halt nicht mit
    > irgend einen Murkstool zu schauen, was für Frameworks eine App einsetzt,

    Naja, Exodus berichtet eben nur davon, dass es den Code eines Trackers gefunden hat. Es wird ja nicht behauptet, dass dieser Code auch tatsächlich aufgerufen wird.

    Wenn Bitwarden den Trackingcode gar nicht nutzt, dann dürfen die sich aber durchaus fragen lassen, weshalb sie diesen Code nicht unschädlich machen, so wie es Signal und andere Apps machen: https://github.com/oxen-io/session-android/pull/219

    Exodus würde dann nämlich auch in diesem Fall korrekt berichten, dass KEIN Trackingcode mehr vorhanden ist.

  6. Re: Biwarden setzt keinen Tracker ein

    Autor: demon driver 26.02.21 - 07:44

    mcnesium schrieb:
    --------------------------------------------------------------------------------

    > [...] Diese Systeme sind ohnehin keine vertrauenswürdigen Umgebungen, weil
    > mindestens von den jeweiligen Herstellern sowieso jegliche
    > Nutzerinteraktion erfasst wird [...]

    Das muss nicht notwendigerweise so sein. Wer für das Thema sensibel genug und nicht aus Gründen zu was anderem gezwungen ist, nutzt ein freies ROM ohne Google-Dienste und behält auch die Apps genau im Auge, die er einsetzt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. WINGAS GmbH, Kassel
  2. NOVENTI HealthCare GmbH, München, Aschheim (Home-Office möglich)
  3. Fiducia & GAD IT AG, Karlsruhe, Münster
  4. Minebea Intec, Aachen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. LG 65UN71006LB 65 Zoll LCD + Magic Remote für 616€, Huawei P30 Lite E Smartphone 64GB...
  2. (u. a. Crusader Kings 3 für 35,99€, Elite Dangerous für 5,99€, Dead Island - Definitive...
  3. 3.999€ (statt 4.699€)
  4. 74,99€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme