Wird Heml.is ein sicherer Service für mobiles Messaging?

Chrissicom

Rise of the Ryzen

Registered: Jul 2006
Location: Falkensee
Posts: 1942

13.07.2013 - 20:16

Ich finde das ist ein bisschen durcheinander argumentiert.

Das Skype zu 100% durch die NSA überwacht ist, ist ein "Snowden-Guardian" Gerücht oder hast du die Beweise irgendwo gesehen? Das lass ich mal so stehen.

Was der verlinkte Artikel kritisiert, sind ja z.B. Dinge wie "wenn man nicht seinen eigenen Server benutzt, kann es nicht sicher sein". Nun ja, alles ist eine Frage von Vertrauen. Es kann ja nicht die Lösung sein, dass jeder für sich selbst einen Server betreibt, irgendwann muss man irgendwem mal vertrauen, sonst funktioniert die Menschheit nicht mehr.

Das offener Quellcode zu einem schnellen entdecken von Lücken beiträgt ist auch nicht unbedingt so. Hacker die nach Lücken suchen, werden sie weder bei OSS noch bei CSS melden, nur dass man sie bei OSS vielleicht schneller findet. Außerdem erlaubt OSS selbst ohne Lücken, durch ein besseres Verständnis der Funktionsweise des Dienstes, leichter ein Best-Results Angriffsszenario zu entwickeln. Außerdem finde ich es interessant wie viele IT-affine Menschen in dem Irrglauben leben, irgendjemand würde als Einzelperson ein großes OSS Projekt vollständig verstehen und sobald mehr als eine Person (insbesondere eine fremde Person) ein Statement zum Quellcode abgibt, muss man schon wieder vertrauen.

Die Argumentation OSS sorgt für mehr Sicherheit funktioniert nur, wenn jeder für sich selbst die Möglichkeit hat, den Quellcode zu 100% zu verstehen und zu überprüfen. Da ich das für gänzlich unrealistisch halte, bleibe ich auch beim Standpunkt, dass OSS die Sicherheit in keinster Weise verbessert.

Die NSA hat SELinux entwickelt. SELinux wurde 2003 in den Linux Kernel (dem OSS Produkt schlechthin) integriert. Heute sagen sogenannte Experten (Arbeiten die für die NSA?), dass dies völlig unproblematisch sei und hier kein NSA Abhörcode in Linux ist. Wenn ich jetzt dich Fragen würde, glaubst du Linux als OSS Software ist diesbezüglich unproblematisch? Könntest du den Quellcode entsprechend überprüfen? Wenn nicht, wem vertraust du der es prüfen kann?

Man kann es drehen und wenden wie man will, OSS oder CSS, wenn man dem Anbieter nicht vertraut hilft alles nix. Man kann es auch so sehen, ist dir ein NSA Messenger lieber oder ein Messenger an dem Personen beteiligt sind, die Plattformen fördern die häufig zur Verbreitung illegaler Kopien genutzt werden. Da kann man auch Fragen ob das wohl vertrauenswürdig ist.

So genug getextet ...

Bearbeitet von Chrissicom am 13.07.2013, 20:18

dematic

Liebe kennt keine Liga!

Registered: Jun 2010
Location: Karlsruhe-Baden
Posts: 1457

13.07.2013 - 22:29

hmmm, jetzt wollte ich grad noch 10$ spenden... geht nicht mehr weil sie schon über 150% haben. schade. hätte es ihnen gerne gegegeben

Taltos

Here to stay

Registered: Jan 2004
Location: Wien
Posts: 1520

14.07.2013 - 11:43

@Chrissicom:
Gerücht? Nja, Microsoft selber sagt (u.a.): "First, we take our commitments to our customers and to compliance with applicable law very seriously, so we provide customer data only in response to legal processes." ;-)

@OSS:
es geht eher darum, dass man von vornherein die möglichkeit hat, ein service zu überprüfen. dass dann schwachstellen gefunden werden _können_. siehe z.b. diese cryptocat geschichte in dem artikel, die lücken hätte man in CSS nicht oder mit viel mehr mühe finden können.

natürlich lauft's auf vertrauen hinaus. du vertraust halt microsoft/skype/etc, dass sie nix im sourcecode verstecken, ich vertrau linus torvalds und den paar hundert linux kernel entwicklern (und einer unbestimmbaren anzahl an security-nerds die gern sourcecode lesen), dass sie kontrollieren was in den kernel kommt. :-) jeder wie er's braucht.

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13504

14.07.2013 - 12:27

Zitat von ICE3D
Also ich bin von der Sicherheit dieses Dienstes noch nicht überzeugt.

Siehe dazu auch den Post auf xda developers

Ich glaube der Verfasser hat aus den Augen verloren, dass ein Dienst, der mit iMessage oder WhatsApp konkurrieren will, auch komfortabel sein muss...

Taltos

Here to stay

Registered: Jan 2004
Location: Wien
Posts: 1520

14.07.2013 - 12:32

nja, heml.is konkurriert mit diesen diensten ja auf der plattform der sicherheit. der verfasser kritisiert ja hauptsächlich, dass gerade "sicherheit" so nicht geliefert werden kann, und das deswegen eine "leere" versprechung is. dass gute crypto und "komfort" oft diametral gegenüberstehen, is leider nicht von der hand zu weisen (key distribution problem z.b.). :-(

Bearbeitet von Taltos am 14.07.2013, 12:35

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6557

15.07.2013 - 00:01

Das mit dem Daten nicht an den Meistbietenden verkaufen ist schon eine echt gute Sache, wie sie es bewerkstelligen wollen keine Abhörmöglichkeiten in "ihrer" Infrastruktur zu bieten, darauf bin ich gespannt und drücke ihnen die Daumen.

Auch wenn sie es schaffen die Transportsicherheit einwandfrei und komfortabel zu gewährleisten, was ansich schon eine große Leistung wäre, so ist die Endpunktsicherheit, in diesem Fall Smartphones, in meinen Augen ein großes Fragezeichen.

Oder bin ich etwa der einzige der sich fragt, warum man selbst in einem Open Source Betriebssystem wie Android das Mikrofon softwareseitig nicht deaktivieren kann?

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12696

29.07.2013 - 15:22

Zitat von Chrissicom
Die Argumentation OSS sorgt für mehr Sicherheit funktioniert nur, wenn jeder für sich selbst die Möglichkeit hat, den Quellcode zu 100% zu verstehen und zu überprüfen.

sorry aber das is bullshit.

es muss nicht jede person die ein open source programm/dienst verwenden will den sourcecode verstehen damit OSS sicher ist.

viel eher genügt es imho wenn die software/dienst große verbreitung und damit aufmerksamkeit & interesse erlangt.

gerade SELinux war damals einer großen lupe ausgesetzt innerhalb der community aufgrund der herkunft... und du kannst dir sicher sein, dass da einige verschwörungstheoretiker jetzt durch prism auch nochmal einen prüfenden blick drauf geworfen haben.

es ist eine grundregel der kryptographie, dass sicherheit nie in der geheimhaltung des verfahrens liegen soll/darf sondern immer durch das verfahren und die stärke des schlüssels bestimmt wird.

natürlich scheitert eine hohe sicherheit leider in vielen fällen an alltagskomfort und verbreitung. trotzdem sollte es ein anliegen sein von jedem es institutionen wie der NSA in zukunft nicht ganz so leicht zu machen wie bisher, weil man halt der einfachheit halber seine daten irgendwo/wie preis gibt.

ob es inhaltlich relevant ist, ist die eine frage (klar kann es uns eigentlich egal sein wenn jemand weiß wann ich mit jemanden auf ein bier gehe usw.) aber irgendwie ist es eine grundsatzentscheidung und ein bissl gelebte demokratie....

Chrissicom Rise of the Ryzen Registered: Jul 2006 Location: Falkensee Posts: 1942	13.07.2013 - 20:16 Ich finde das ist ein bisschen durcheinander argumentiert. Das Skype zu 100% durch die NSA überwacht ist, ist ein "Snowden-Guardian" Gerücht oder hast du die Beweise irgendwo gesehen? Das lass ich mal so stehen. Was der verlinkte Artikel kritisiert, sind ja z.B. Dinge wie "wenn man nicht seinen eigenen Server benutzt, kann es nicht sicher sein". Nun ja, alles ist eine Frage von Vertrauen. Es kann ja nicht die Lösung sein, dass jeder für sich selbst einen Server betreibt, irgendwann muss man irgendwem mal vertrauen, sonst funktioniert die Menschheit nicht mehr. Das offener Quellcode zu einem schnellen entdecken von Lücken beiträgt ist auch nicht unbedingt so. Hacker die nach Lücken suchen, werden sie weder bei OSS noch bei CSS melden, nur dass man sie bei OSS vielleicht schneller findet. Außerdem erlaubt OSS selbst ohne Lücken, durch ein besseres Verständnis der Funktionsweise des Dienstes, leichter ein Best-Results Angriffsszenario zu entwickeln. Außerdem finde ich es interessant wie viele IT-affine Menschen in dem Irrglauben leben, irgendjemand würde als Einzelperson ein großes OSS Projekt vollständig verstehen und sobald mehr als eine Person (insbesondere eine fremde Person) ein Statement zum Quellcode abgibt, muss man schon wieder vertrauen. Die Argumentation OSS sorgt für mehr Sicherheit funktioniert nur, wenn jeder für sich selbst die Möglichkeit hat, den Quellcode zu 100% zu verstehen und zu überprüfen. Da ich das für gänzlich unrealistisch halte, bleibe ich auch beim Standpunkt, dass OSS die Sicherheit in keinster Weise verbessert. Die NSA hat SELinux entwickelt. SELinux wurde 2003 in den Linux Kernel (dem OSS Produkt schlechthin) integriert. Heute sagen sogenannte Experten (Arbeiten die für die NSA?), dass dies völlig unproblematisch sei und hier kein NSA Abhörcode in Linux ist. Wenn ich jetzt dich Fragen würde, glaubst du Linux als OSS Software ist diesbezüglich unproblematisch? Könntest du den Quellcode entsprechend überprüfen? Wenn nicht, wem vertraust du der es prüfen kann? Man kann es drehen und wenden wie man will, OSS oder CSS, wenn man dem Anbieter nicht vertraut hilft alles nix. Man kann es auch so sehen, ist dir ein NSA Messenger lieber oder ein Messenger an dem Personen beteiligt sind, die Plattformen fördern die häufig zur Verbreitung illegaler Kopien genutzt werden. Da kann man auch Fragen ob das wohl vertrauenswürdig ist. So genug getextet ... Bearbeitet von Chrissicom am 13.07.2013, 20:18
dematic Liebe kennt keine Liga! Registered: Jun 2010 Location: Karlsruhe-Baden Posts: 1457	13.07.2013 - 22:29 hmmm, jetzt wollte ich grad noch 10$ spenden... geht nicht mehr weil sie schon über 150% haben. schade. hätte es ihnen gerne gegegeben
Taltos Here to stay Registered: Jan 2004 Location: Wien Posts: 1520	14.07.2013 - 11:43 @Chrissicom: Gerücht? Nja, Microsoft selber sagt (u.a.): "First, we take our commitments to our customers and to compliance with applicable law very seriously, so we provide customer data only in response to legal processes." ;-) @OSS: es geht eher darum, dass man von vornherein die möglichkeit hat, ein service zu überprüfen. dass dann schwachstellen gefunden werden _können_. siehe z.b. diese cryptocat geschichte in dem artikel, die lücken hätte man in CSS nicht oder mit viel mehr mühe finden können. natürlich lauft's auf vertrauen hinaus. du vertraust halt microsoft/skype/etc, dass sie nix im sourcecode verstecken, ich vertrau linus torvalds und den paar hundert linux kernel entwicklern (und einer unbestimmbaren anzahl an security-nerds die gern sourcecode lesen), dass sie kontrollieren was in den kernel kommt. :-) jeder wie er's braucht.
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13504	14.07.2013 - 12:27 Zitat von ICE3D Also ich bin von der Sicherheit dieses Dienstes noch nicht überzeugt. Siehe dazu auch den Post auf xda developers Ich glaube der Verfasser hat aus den Augen verloren, dass ein Dienst, der mit iMessage oder WhatsApp konkurrieren will, auch komfortabel sein muss...
Taltos Here to stay Registered: Jan 2004 Location: Wien Posts: 1520	14.07.2013 - 12:32 nja, heml.is konkurriert mit diesen diensten ja auf der plattform der sicherheit. der verfasser kritisiert ja hauptsächlich, dass gerade "sicherheit" so nicht geliefert werden kann, und das deswegen eine "leere" versprechung is. dass gute crypto und "komfort" oft diametral gegenüberstehen, is leider nicht von der hand zu weisen (key distribution problem z.b.). :-( Bearbeitet von Taltos am 14.07.2013, 12:35
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6557	15.07.2013 - 00:01 Das mit dem Daten nicht an den Meistbietenden verkaufen ist schon eine echt gute Sache, wie sie es bewerkstelligen wollen keine Abhörmöglichkeiten in "ihrer" Infrastruktur zu bieten, darauf bin ich gespannt und drücke ihnen die Daumen. Auch wenn sie es schaffen die Transportsicherheit einwandfrei und komfortabel zu gewährleisten, was ansich schon eine große Leistung wäre, so ist die Endpunktsicherheit, in diesem Fall Smartphones, in meinen Augen ein großes Fragezeichen. Oder bin ich etwa der einzige der sich fragt, warum man selbst in einem Open Source Betriebssystem wie Android das Mikrofon softwareseitig nicht deaktivieren kann?
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12696	29.07.2013 - 15:22 Zitat von Chrissicom Die Argumentation OSS sorgt für mehr Sicherheit funktioniert nur, wenn jeder für sich selbst die Möglichkeit hat, den Quellcode zu 100% zu verstehen und zu überprüfen. sorry aber das is bullshit. es muss nicht jede person die ein open source programm/dienst verwenden will den sourcecode verstehen damit OSS sicher ist. viel eher genügt es imho wenn die software/dienst große verbreitung und damit aufmerksamkeit & interesse erlangt. gerade SELinux war damals einer großen lupe ausgesetzt innerhalb der community aufgrund der herkunft... und du kannst dir sicher sein, dass da einige verschwörungstheoretiker jetzt durch prism auch nochmal einen prüfenden blick drauf geworfen haben. es ist eine grundregel der kryptographie, dass sicherheit nie in der geheimhaltung des verfahrens liegen soll/darf sondern immer durch das verfahren und die stärke des schlüssels bestimmt wird. natürlich scheitert eine hohe sicherheit leider in vielen fällen an alltagskomfort und verbreitung. trotzdem sollte es ein anliegen sein von jedem es institutionen wie der NSA in zukunft nicht ganz so leicht zu machen wie bisher, weil man halt der einfachheit halber seine daten irgendwo/wie preis gibt. ob es inhaltlich relevant ist, ist die eine frage (klar kann es uns eigentlich egal sein wenn jemand weiß wann ich mit jemanden auf ein bier gehe usw.) aber irgendwie ist es eine grundsatzentscheidung und ein bissl gelebte demokratie....

Wird Heml.is ein sicherer Service für mobiles Messaging?

Forum Index > Digital Life > Internet & Provider

Chrissicom

dematic

Taltos

Spikx

Taltos

mr.nice.

Master99