Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Team-Messenger: Ab in die Matrix!

Besser nicht

  1. Thema

Neues Thema Ansicht wechseln


  1. Besser nicht

    Autor: /mecki78 25.04.19 - 18:12

    Weil erstens:
    https://www.heise.de/security/meldung/Einbruch-in-Chatserver-Matrix-org-4398977.html

    Und zweitens:
    > Ende-zu-Ende verschlüsselt, sofern beide Seiten Riot oder einen anderen Client verwenden, der dies unterstützt.

    Eben. Denn nutzt die andere Seite nicht Riot oder einen Client, der das nicht unterstützt, dann wird die Nachricht einfach gar nicht verschlüsselt, was dem Nutzer zwar angezeigt wird, was aber den meisten Nutzern dann einfach egal ist, wenn sie jemanden erreichen müssen. Ein System, das nicht immer (wirklich immer, ohne Ausnahme) Ende-zu-Ende verschlüsselt ist, ist im Zweifel eben nicht sicher.

    /Mecki

  2. Re: Besser nicht

    Autor: justanotherhusky 25.04.19 - 18:42

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Weil erstens:
    > www.heise.de
    >


    [ ] du hast den Artikel gelesen.


    Hier wird beschrieben, dass ein eigener Matrix Server eingesetzt wird und dieser somit nicht mit dem Matrix.org Einbruch zusammenhängt.

    In dem von dir verlinkten Heise Artikel steht ausserdem, dass ein nicht aktualisiertes Testsystem wohl das Einfallstor war. Wohl keine Designschwäche von Matrix an sich ;-)

  3. Re: Besser nicht

    Autor: appreciator 25.04.19 - 18:45

    justanotherhusky schrieb:
    --------------------------------------------------------------------------------
    > /mecki78 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weil erstens:
    > > www.heise.de
    > >
    >
    > [ ] du hast den Artikel gelesen.
    >
    > Hier wird beschrieben, dass ein eigener Matrix Server eingesetzt wird und
    > dieser somit nicht mit dem Matrix.org Einbruch zusammenhängt.
    >
    > In dem von dir verlinkten Heise Artikel steht ausserdem, dass ein nicht
    > aktualisiertes Testsystem wohl das Einfallstor war. Wohl keine
    > Designschwäche von Matrix an sich ;-)

    Und Du scheinst seinen Kommentar nicht über den ersten Punkt hinaus gelesen zu haben.

  4. Re: Besser nicht

    Autor: justanotherhusky 25.04.19 - 18:53

    appreciator schrieb:
    --------------------------------------------------------------------------------
    > justanotherhusky schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > /mecki78 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Weil erstens:
    > > > www.heise.de
    > > >
    > >
    > >
    > > [ ] du hast den Artikel gelesen.
    > >
    > >
    > > Hier wird beschrieben, dass ein eigener Matrix Server eingesetzt wird
    > und
    > > dieser somit nicht mit dem Matrix.org Einbruch zusammenhängt.
    > >
    > > In dem von dir verlinkten Heise Artikel steht ausserdem, dass ein nicht
    > > aktualisiertes Testsystem wohl das Einfallstor war. Wohl keine
    > > Designschwäche von Matrix an sich ;-)
    >
    > Und Du scheinst seinen Kommentar nicht über den ersten Punkt hinaus gelesen
    > zu haben.

    Habe ich, aber mit dem zweiten Punkt hab ich ja kein Problem, deshalb habe ich auch nur den ersten Teil zitiert.

  5. Re: Besser nicht

    Autor: appreciator 25.04.19 - 19:21

    justanotherhusky schrieb:
    --------------------------------------------------------------------------------
    > Habe ich, aber mit dem zweiten Punkt hab ich ja kein Problem, deshalb habe
    > ich auch nur den ersten Teil zitiert.

    Dann entschuldige ich mich dafür, dass ich fälschlicherweise davon ausgegangen war, Dir ginge es mit der Antwort darum, die Kernaussage des Kommentars ("Besser nicht [Matrix benutzen]") zu entkräften.

    Die Aussage ist auch in meinen Augen gültig, weil man dem Projekt aufgrund der mangelhaften Verschlüsselung schlecht/falsch gesetzte Prioritäten vorwerfen muss. Datensicherheit sollte in diesem Bereich niemals ein optionales Feature sein und von Anfang an in die Projektplanung mit einfließen.

  6. Re: Besser nicht

    Autor: /mecki78 25.04.19 - 20:04

    justanotherhusky schrieb:
    --------------------------------------------------------------------------------
    > Hier wird beschrieben, dass ein eigener Matrix Server eingesetzt wird

    [ ] du hast den Artikel gelesen.

    Oder welchen Teil davon hast du dabei nicht verstanden:

    > Dadurch können die Mitarbeiter auch mit Matrix-Nutzern auf Matrix.org oder einem der anderen circa 6.000 Matrix-Homeserver kommunizieren

    Genau das sollten sie aber tunlichst lassen, denn der Betreiber hat bereits bewiesen, dass er keine sichere Infrastruktur betreiben kann. Ein Firmen Chat Server sollte keinerlei Anbindung nach außen haben oder erlauben, weil im Zweifel ist genau dass nämlich das wahrscheinlichste Einfallstor.

    Für Zugang von außen sollte man hier am besten auf VPN setzen, weil so bekommen Mitarbeiter von außen auch Zugang auf interne Webseiten oder Mailaccounts (und was auch immer sonst noch gewünscht ist) und man muss nicht hunderte Dienste getrennt nach außen freischalten und irgendwie absichern bzw. hoffen, dass diese Diente sicher sind, wenn sie direkt vom Internet erreichbar sind, weil ein Angreifer sich immer erst in das VPN hacken müsste, um überhaupt an den Dienst zu kommen.

    /Mecki

  7. Re: Besser nicht

    Autor: slacki 25.04.19 - 21:49

    Wenn ich mir ueberlege wie viele Systeme schon aufgrund schlechter config angegriffen wurden... ubuntu, foren, debian, von cms systemen, DBs wie mongodb etc. ganz zu schweigen...
    sowas sagt herzlich wenig ueber die Software an sich aus, eher dass der Admin gepennt hat, oder ein Dev zu viel Rechte bekommen hat.

    die software ist open source, wenn einer rumheult er mag immer end-to-end soll er den source lesen, modifizieren dass es mandatory ist und selbst compilen. wo ist das problem?
    achja, man traut lieber whatsapp und co. - weil da steht "ihr chat ist jetzt end-to-end verschluesselt" :)

  8. Re: Besser nicht

    Autor: Floffel 26.04.19 - 07:00

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Weil erstens:
    > www.heise.de

    Oha. Das hing m.E. mit der Registrierung zusammen. Im Normalfall wird das über LDAP o. Ä. gelößt, da sind die Probleme dann nicht vorhanden.
    Zusätzlich haben sie sich vorbildlich reagiert.
    Aber vmtl. setzt du auch Cisco und Juniper ein, beschwerst dich aber über Huawai und die Überwachung des Staates.
    Aber hey. Good old Email PGP verschlüsselt. Wenn das so einfach währe, würden nicht so viele Firmen und staatlichen Institutionen Windoof 365 einsetzen. Mit durchachlagenden Erfolg. Für die Freizeit während der Arbeitszeit.
    Oder doch lieber WhatsApp?
    Dann doch lieber Crypto!1!

    >
    > Und zweitens:
    > > Ende-zu-Ende verschlüsselt, sofern beide Seiten Riot oder einen anderen
    > Client verwenden, der dies unterstützt.
    >
    > Eben. Denn nutzt die andere Seite nicht Riot oder einen Client, der das
    > nicht unterstützt, dann wird die Nachricht einfach gar nicht verschlüsselt,
    > was dem Nutzer zwar angezeigt wird, was aber den meisten Nutzern dann
    > einfach egal ist, wenn sie jemanden erreichen müssen. Ein System, das nicht
    > immer (wirklich immer, ohne Ausnahme) Ende-zu-Ende verschlüsselt ist, ist
    > im Zweifel eben nicht sicher.

    Dann doch lieber RFC 2549 und good old XOR!
    Da muss man Mörder und Hacker sein. Und davor schützen uns die Gesetze! Oder... nicht?
    Oh Mist. De-Mail brauch ich ja dann nicht mehr zu nennen.

    Was benutzt du denn für verschlüsselte, sichere Kommunikation? Wenn du jetzt TLS sagst... Das kann Matrix auch! (notfalls via. ssl termination über nginx, so machen wir das)

    Aber python!1! Aber Systemd.

  9. Re: Besser nicht

    Autor: <break> 26.04.19 - 09:36

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > > Ende-zu-Ende verschlüsselt, sofern beide Seiten Riot oder einen anderen
    > Client verwenden, der dies unterstützt.
    >
    > Eben. Denn nutzt die andere Seite nicht Riot oder einen Client, der das
    > nicht unterstützt, dann wird die Nachricht einfach gar nicht verschlüsselt,
    > was dem Nutzer zwar angezeigt wird, was aber den meisten Nutzern dann
    > einfach egal ist, wenn sie jemanden erreichen müssen.
    Die meisten matrix-Nutzer nutzen Riot, da das der Referenzclient ist.
    Und wenn jemand ernsthaft einen Client nutzt, der keine Ende-zu-Ende-Verschlüsselung hat, dann... Soll man etwa die Kommunikation dann komplett verbieten? Der andere Nutzer wird zumindest in verschlüsselten Chats keine Nachrichten lesen können.

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Ein System, das nicht
    > immer (wirklich immer, ohne Ausnahme) Ende-zu-Ende verschlüsselt ist, ist
    > im Zweifel eben nicht sicher.
    Einfach immer Verschlüsselung aktivieren und die andere Person wird die Nachrichten halt nicht lesen können.
    Aber generell ist Verschlüsselung in Gruppenchats ein Problem und wenn man wirklich immer E2E-Verschlüsselung haben möchte, darf man wohl bei fast keinem Messenger Gruppenchats nutzen:
    https://www.youtube.com/watch?v=Q0_lcKrUdWg
    Und bei matrix bzw. bei der Umsetzung von Riot sind alle Chats de facto Gruppenchats. Wenn man Ende-zu-Ende-Verschlüsselung aktiviert, muss man jeden Client jedes Nutzers bestätigen, damit diese die Nachrichten lesen können, und das ist extrem aufwendig. Kenne keine vergleichbare Alternative, die das konsequent so umsetzt, um bei Gruppenchats zu gewährleisten, dass nicht jemand mitliest, der gar nicht mitlesen sollte.
    Und rückgängig machen kann man die Einstellung halt aktuell noch nicht.



    1 mal bearbeitet, zuletzt am 26.04.19 09:41 durch <break>.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OMICRON electronics GmbH, Klaus (Österreich)
  2. Universität Hamburg, Hamburg
  3. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden-Dützen
  4. Daimler AG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 44,99€
  2. 4,99€
  3. 2,69€


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  2. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  3. IT-Fachkräftemangel Arbeit ohne Ende

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

  1. Routerfreiheit: Vodafone will noch keine eigenen Glasfasermodems zulassen
    Routerfreiheit
    Vodafone will noch keine eigenen Glasfasermodems zulassen

    Vodafone streitet sich mit der Bundesnetzagentur, ob die Routerfreiheit in Glasfasernetzen auch für das Glasfasermodem (ONT) gilt. Ein Nutzer argumentiert dagegen, das öffentliche Glasfasernetz ende an der Glasfaser-Teilnehmeranschlussdose, wo man als Endkunde sein ONT verbinden kann.

  2. Mercedes EQV: Daimler zeigt elektrische Großraumlimousine
    Mercedes EQV
    Daimler zeigt elektrische Großraumlimousine

    Stilvoll elektrisch shuttlen: Daimler hat für die IAA die serienreife Version des Mercedes EQC angekündigt. In dem Elektro-Van haben sechs bis acht Insassen Platz.

  3. Fogcam: Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet
    Fogcam
    Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet

    Die Webcam Fogcam nimmt seit 1994 Bilder vom Gelände der San Francisco State University aus auf. Nach 25 Jahren wird die Kamera nun abgeschaltet, laut den Machern unter anderem wegen fehlender guter Aussicht.


  1. 18:01

  2. 17:40

  3. 17:03

  4. 16:41

  5. 16:04

  6. 15:01

  7. 15:00

  8. 14:42