Akeem al Harun Geschrieben 12. Dezember 2016 report Geschrieben 12. Dezember 2016 Auf deiner nichtkommerziellen Homepage. Dürfte das Ganze sehr einschränken. Na ja, selbst auf meiner nichtkommerziellen Homepage (ja, ich habe sowas), verlinke ich nichts, was offensichtlich gegen geltendes Recht oder mein persönliches Gefühl von Anstand verletzt. Das ist sicher nicht deckungsgleich.
Einskaldir Geschrieben 12. Dezember 2016 report Geschrieben 12. Dezember 2016 Klar. Aber wenn du dir das Urteil durchliest, kannst du das ja gar nicht mehr wirklich prüfen. Da ging es um ein Bild, das sogar grundsätzlich nach Lizenz freigegeben war. Aber es wurde wohl eine leicht veränderte Version auf einer Homepage verlinkt, sodass keine Lizenz dafür bestand. Wer soll denn sowas prüfen? Das ist doch absurd.
Akeem al Harun Geschrieben 12. Dezember 2016 report Geschrieben 12. Dezember 2016 Klar ist das absurd, deswegen ja mein Kommentar oben. Aber wenn ich das richtig verstanden habe, darf ich als Privatmann solche Fehler machen, oder?
AzubiMagie Geschrieben 12. Dezember 2016 report Geschrieben 12. Dezember 2016 Natürlich darfst, von irgendwas wollen die armen Juristen schließlich leben. Azu (und du darfst dein Recht auf Fehler machen vor Gericht durchsetzen) bi
Akeem al Harun Geschrieben 13. Dezember 2016 report Geschrieben 13. Dezember 2016 Was ist eigentlich mit Google & Co.
Rosendorn Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 Für diejenigen, die meinen, dass WhatsApp jetzt dank der Signal-Verschlüsselung bedenkenlos benutzt werden darf: https://netzpolitik.org/2017/backdoor-facebook-kann-die-verschluesselten-inhalte-auf-whatsapp-mitlesen/ Ich bleibe bei meinem bewährten Duo aus Threema und Signal.
dabba Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 Man muss sich im Klaren darüber sein, dass jeder Dienstbetreiber mitlesen kann, falls der Benutzer seine Nachrichten nicht selbst unabhängig vom Dienstbetreiber verschlüsselt. Egal ob WhatsApp, Facebook oder Threema. Solange der Dienst die Nachrichten verschlüsselt, hat er die Gewalt über Schlüssel und Verschlüsseltes und kann somit alles lesen, wenn er möchte. Jede Meldung nach dem Motto "Ihre Kommunikation ist jetzt verschlüsselt. Sie müssen nichts dafür tun." bezieht sich niemals auf den Dienstbetreiber.
Rosendorn Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 (bearbeitet) @dabba: Signal von Open Whisper Systems ist quelloffen. Ich bin kein Fachmann, aber ein Sicherheitsfachmann hat mir bestätigt, dass hier eine saubere Verschlüsselung auf den Endgeräten stattfindet, die eben nicht mitgelesen werden kann. Edward Snowden empfiehlt das ja auch. Weitere Experten (siehe auch bei netzpolitik.org) halten Threema ebenfalls für sicher. Ich denke, dass du die Aussage "jeder Dienstbetreiber" nicht belegen kannst? Oder hast du mir irgendwelche Artikel, bei denen entsprechende Experten die Lücken offenlegen? Deine Aussage klingt so verallgemeinert und ohne jegliche Belege oder Links wie Bauchgefühl oder eine Verschwörungstheorie. Bearbeitet 14. Januar 2017 von Rosendorn
Lukarnam Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 (bearbeitet) @dabba: Signal von Open Whisper Systems ist quelloffen. Ich bin kein Fachmann, aber ein Sicherheitsfachmann hat mir bestätigt, dass hier eine saubere Verschlüsselung stattfindet, die eben nicht mitgelesen werden kann. Edward Snowden empfiehlt das ja auch. Weitere Experten (siehe auch bei netzpolitik.org) halten Threema ebenfalls für sicher. Ich denke, dass du die Aussage "jeder Dienstbetreiber" nicht belegen kannst? Oder hast du mir irgendwelche Artikel, bei denen entsprechende Experten die Lücken offenlegen? Deine Aussage klingt so verallgemeinert und ohne jegliche Belege oder Links wie Bauchgefühl oder eine Verschwörungstheorie. Ganz allgemein gesprochen: findet die Verschlüsselung auf Deiner Seite statt - unkontrolliert von Dritten - ist sie sicherer. Verschlüsselt sie der Dienstanbieter, weiss der wie, und muss sie auch für den Empfänger entschlüsseln - der tut es ja nicht. Wenn ich Dir über Treema oder WhatsApp eine Nachricht sende, kannst Du sie lesen, obwohl wir nie (private) Schlüssel ausgetauscht haben. Für Vierte ist sie verschlüsselt - gilt nicht für kriminelle investierte Energie durch unbefugte Vierte. Bearbeitet 14. Januar 2017 von Lukarnam
Lukarnam Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 Der Drittanbieter braucht ja auch einen "Wartungszugang". Moderne Cloudanbieter brauchen den auch nicht mehr. Die "zählen" welche Art Pakete mit welcher Funktionalität wohin gesendet werden und können mit KI, Big Data, etc, auf dem Inhalt schließen. Die grosse Menge der gleichartigen Pakete erlaubt sehr gute Rückschlüsse.
dabba Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 (bearbeitet) Das ist keine Lücke, sondern prinzipbedingt. Sobald Du nicht selbst verschlüsselst, vertraust Du jemand anderem, das er das für Dich macht. Wer seine Nachrichten von seinem Dienstleister verschlüsseln lässt, der gibt faktisch seinen Liebesbrief einem Boten und sagt ihm: "Schreib den Brief hier verschlüsselt ab und verbrenne das Original. Dann bring den verschlüsselten Text zu Kunigunde und schreib den Text für sie wieder unverschlüsselt auf." Das ist wirklich ein wenig sicherer: Wenn der Bote auf dem Weg bestohlen oder ausspioniert wird, kann der Dieb/Spion die Nachricht nicht lesen. Es sei denn, derjenige kann erfolgreich Druck auf den Boten ausüben, dass er den Schlüssel preis gibt. Staatliche Ermittlungsbehörden können das möglicherweise. Der Bote selbst hingegen kann wissen, was in der Nachricht steht. Man könnte das System natürlich noch verfeinern. Bspw. könnte man zwei Boten beschäftigen, einer verschlüsselt und entschlüsselt nur (und reist ohne Brief im Gepäck zu Kunigunde), der andere trägt nur den Brief. Wird der Verschlüssler geschnappt, hat er den Brief nicht dabei. Wird der Briefträger geschnappt, hat er den Schlüssel nicht dabei. Der Verschlüssler kann Dir auch auch Offenheit anbieten: "Du kannst gerne dabei zusehen, wenn ich Dein Original verbrenne, nachdem ich den Text verschlüsselt habe." Aber: Wenn beide geschnappt und unter Druck gesetzt werden, ist die Verschlüsselung wieder ausgehebelt. Außerdem kennt zumindest der Verschlüssler wieder den Inhalt des Briefes. @dabba: Signal von Open Whisper Systems ist quelloffen. Ich bin kein Fachmann, aber ein Sicherheitsfachmann hat mir bestätigt, dass hier eine saubere Verschlüsselung auf den Endgeräten stattfindet, die eben nicht mitgelesen werden kann. Edward Snowden empfiehlt das ja auch.Weitere Experten (siehe auch bei netzpolitik.org) halten Threema ebenfalls für sicher. Wie von Lukarnam geschrieben: Irgendwer muss die Schlüssel verwalten und verteilen, wenn Du das nicht selbst machst. Threema hat den Vorteil, dass sie nicht in den USA sitzen (und deshalb nicht dem Zugriff der amerikanischen Ermittlungsbehörden ausgesetzt sind). Aber auch hier gilt: Du musst Ihnen vertrauen. Bearbeitet 14. Januar 2017 von dabba
Rosendorn Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 (bearbeitet) Was ist mit der asymmetrischen Verschlüsselung, die bei Signal eingebaut ist? (https://de.wikipedia.org/wiki/Signal-Protokoll) Hier haben wir definitiv eine reine Ende-zu-Ende-Verschlüsselung. Public Keys werden automatisch ausgetauscht (was IMHO völlig unproblematisch und sinnvoll ist), die Private Keys bleiben sicher auf den Endgeräten. Somit lasse ich per Signal also nicht den Dienstleister, sondern tatsächlich mein eigenes Gerät ver- und mit dem Private Key entschlüsseln. Das sollte doch sicher sein (wenn nicht mein Endgerät unter fremder Kontrolle ist). Threema hat angeblich ebenfalls eine Ende-zu-Ende-Verschlüsselung. Das kann leider nicht direkt im Quellcode bestätigt werden, da dieser nicht offen liegt. Trotzdem wird in Sicherheitskreisen ebenfalls Threema empfohlen. Wie gesagt, bitte postet mir doch die entsprechenden Links, wo konkret belegt wird, dass die Ende-zu-Ende-Verschlüsselung von Threema oder Signal nicht funktionieren. Theoretische Überlegungen und Kunigunde-Beispiele sind zwar nett, aber ich bräuchte schon ein wenig mehr, was ich dann ggf. zu meinen Freunden, die tatsächlich beruflich mit Computersicherheit zu tun haben, weiterleiten kann. Es dürfen auch gerne Fachartikel sein! Wäre sogar sinnvoller. Bearbeitet 14. Januar 2017 von Rosendorn
Rosendorn Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 (bearbeitet) Bitte versteht mich nicht falsch, wenn ich kritisch nachfrage. Ich wäre echt dankbar, wenn ich mehr Hilfestellung und Background zur Kommunikationssicherheit bekäme! Ich habe halt ein klein wenig Basiswissen und Beratung durch meine Freunde. Sollten die sich irren oder etwas übersehen, sind die sicher auch dankbar! Momentan gilt halt die Verwendung von Threema und Signal als unproblematisch. Bearbeitet 14. Januar 2017 von Rosendorn
dabba Geschrieben 14. Januar 2017 report Geschrieben 14. Januar 2017 Wie geschrieben: Die Schwachstelle ist die Tatsache, dass man Verschlüsselung aus der eigenen Hand gibt - und in gewisser Weise der Software und ihren Entwicklern und Netzwerkbetreibern vertraut. Ich sag mal: Heartbleed hat gezeigt, dass nicht mal böse Absicht dahinter stecken muss, wenn das Vertrauen unberechtigt ist. Punkte wie asymetrische Verschlüsselung und regelmäßig geänderte Schlüssel habe ich in meiner Geschichte oben bewusst ausgelassen (weil die sich schwer in eine Bildgeschichte gießen lassen). Ich stimme ja zu, dass Threema und Signal weniger wahrscheinlich ausgeschnüffelt werden - aber der Grundgedanke beim Verschlüsseln ist eben eigentlich, dass die Verschlüsselung getrennt abläuft und idealerweise vom Absender selbst vorgenommen wird.
Rosendorn Geschrieben 15. Januar 2017 report Geschrieben 15. Januar 2017 Und wie soll man das deiner Ansicht nach konkret machen? Welche App schalte ich der Kommunikationssoftware vor? Ich habe Android. Klar, im Thunderbird auf dem PC kann man einfach PGP installieren. Wobei ich da aber auch wieder einem "Anbieter" vertrauen muss. Bei Signal wird der offene Quellcode von Experten gecheckt und Fehler ausgemerzt. Das dürfte also so vollkommen sicher sein wie nur irgend möglich, wenn du keinen Trojaner mit Keylogger oder so auf dem Handy hast - aber in dem Falle ist ja eh jedwede Verschlüsselung vollkommen nutzlos. Oder meinst du mit "idealerweise vom Absender selbst vorgenommen", dass ich mein eigenes Verschlüsselungsprogramm schreiben soll?
Rosendorn Geschrieben 15. Januar 2017 report Geschrieben 15. Januar 2017 (bearbeitet) @dabba: Darf ich kurz nach deiner Expertise fragen? In deinem Vorstellungsthread steht ja nur, dass du Softwareentwickler bist - arbeitest du da auch im Bereich der Computersicherheit oder Verschlüsselung? Oder hast du entsprechende Hobbyprojekte zur Sicherheit/Verschlüsselung am Laufen? Hast du dich schon mal mit Signal und dem Quellcode auseinander gesetzt? Bearbeitet 15. Januar 2017 von Rosendorn
dabba Geschrieben 15. Januar 2017 report Geschrieben 15. Januar 2017 (bearbeitet) Nein, mit Verschlüsselung hab ich noch nicht viel gemacht. Das sind theoretische Überlegungen von mir. Verstehe mich nicht falsch. Die Verschlüsselung an sich funktioniert: Es nur sehr aufwendig möglich, die Nachrichten zu lesen, indem man nur die Leitung anzapft und nicht direkt auf den Dienstbetreiber zu geht. Das ist der Hauptzweck von Verschlüsselung: Wer nur die Verbindung zwischen den Kommunizierenden überwachen kann, sieht nichts. Man sollte sich nur im Klaren darüber sein, dass man letztlich immer seine Nachrichten im Klartext der Software übergibt (falls man sie nicht selbst und unabhängig verschlüsselt) und ihr vertraut, dass sie wirklich verschlüsselt und keinen Blödsinn damit macht. Das mit OpenSource ist auch so eine Sache - kaum jemand baut seine Binärfiles wirklich selbst und noch weniger Leute kontrollieren wirklich den Quellcode auf Schwachstellen. Dann bleiben Meta-Informationen: Selbst wenn er die Nachrichten nicht lesen kann, kann der Abhörer mindestens sehen, dass Da jemand mit Signal kommunziert. In der Praxis gibt es zudem die Schwachstelle Mensch: Es kann passieren, dass einer der Beteiligten eine Hausdurchsuchung über sich ergehen lassen muss - und die Polizei so an das Smartphone oder den Rechner kommt, auf der die gesamte Kommunikation vom Messenger abgespeichert wurde. Natürlich hat er die nicht verschlüsselt oder (noch besser) gelöscht - ist ja viel zu aufwendig, bei jedem Start das Passwort einzugeben. Fazit: Wer ernsthaft vertrauliche Daten austauschen möchte (die wirklich begehrt sind und/oder einem in den falschen Händen ernsthaft Probleme bereiten würden), sollte sie selbst verschlüsseln. Das muss nicht aufwendig sein: Packt die Datei mit 7Zip in eine 7Z-Datei mit Passwort. Schickt dem Empfänger die 7Z-Datei. Teilt ihm das Passwort für den 7Z-Datei auf einem anderen Kommunikationskanal (am besten gar nicht elektronisch ) mit. Bearbeitet 15. Januar 2017 von dabba
Rosendorn Geschrieben 16. Januar 2017 report Geschrieben 16. Januar 2017 (bearbeitet) Alles klar, danke für die Infos. Wobei mir zugetragen wurde, dass gerade Signal von sehr vielen Unabhängigen (u.a. vom CCC) ständig kontrolliert wird. Zudem muss man wohl das mit der Backdoor in WhatsApp relativieren: https://www.heise.de/newsticker/meldung/Krypto-Experte-Keine-Backdoor-in-WhatsApp-3596359.html Es scheint doch eher ein (etwas strittiges) Feature zu sein, durch das wenn überhaupt nur zukünftige Kommunikation abgefangen werden kann. Das Problem mit den Meta-Daten ist mir natürlich bekannt und auch, dass man da nur wenig machen kann. Das TOR-Netzwerk wäre da wohl eine Möglichkeit, aber dann wird der Aufwand größer als es meine Kommunikationsinhalte meiner Ansicht nach benötigen. Wobei es mit der Orbot-App recht einfach ist, die allerdings einen Root-Zugriff braucht, den ich auf meinem aktuellen Handy (noch) nicht eingerichtet habe. Auf meinem alten mit Cyanogen-Mod war das kein Problem und lief echt problemlos ... Bearbeitet 16. Januar 2017 von Rosendorn
Meeresdruide Geschrieben 17. Januar 2017 report Geschrieben 17. Januar 2017 Das Problem mit den Meta-Daten ist mir natürlich bekannt und auch, dass man da nur wenig machen kann. Das TOR-Netzwerk wäre da wohl eine Möglichkeit, aber dann wird der Aufwand größer als es meine Kommunikationsinhalte meiner Ansicht nach benötigen. Wobei es mit der Orbot-App recht einfach ist, die allerdings einen Root-Zugriff braucht, den ich auf meinem aktuellen Handy (noch) nicht eingerichtet habe. Auf meinem alten mit Cyanogen-Mod war das kein Problem und lief echt problemlos ...Bei Tor vertraust du irgendwelchen Exit-Knoten-Betreibern. Von denen einige bekanntermaßen nicht vertrauenswürdig sind.
Gast Geschrieben 20. Januar 2017 report Geschrieben 20. Januar 2017 The Fuck - Magnificent app which corrects your previous console command (auf github)
Sulvahir Geschrieben 18. April 2017 report Geschrieben 18. April 2017 Falls mal jemand mit einem alten Mac herumspielen will: Auf archive.org gibt es einen Emulator in JavaScript mit einigen Anwendungen 1
Sulvahir Geschrieben 11. Mai 2017 report Geschrieben 11. Mai 2017 Gibt es in der Hölle eigentlich eine Temperaturgrenze nach unten? Zitat So soll Ubuntu künftig über den Windows Store erhältlich sein und sich leichter über das Windows-Subsystem für Linux installieren lassen [...] Andere Distributionen wie SuSE und Fedora sollen folgen.
Ma Kai Geschrieben 12. Mai 2017 report Geschrieben 12. Mai 2017 Voriges Wochenende sah ich übrigens einen realen Microsoft Store, also so echt zum Reingehen und Anfassen. Im kleinen Yanjiao - das deutsche Äquivalent von der Bedeutung her wäre vielleicht Andernach. Sie hatten auch was zu zeigen, XBox, Surface, ... Wenn mir vor 25 Jahren, als wir eine größere Fallstudie über MSFT bearbeiten durften, jemand gesagt hätte, dass es Microsoft Stores für Endkunden gäbe, hätte ich gefragt, wozu denn das, um endlich die vielen Nutzerprobleme in Windows zu erklären?
Solwac Geschrieben 12. Mai 2017 report Geschrieben 12. Mai 2017 vor 7 Stunden schrieb Sulvahir: Gibt es in der Hölle eigentlich eine Temperaturgrenze nach unten? Zitat So soll Ubuntu künftig über den Windows Store erhältlich sein und sich leichter über das Windows-Subsystem für Linux installieren lassen [...] Andere Distributionen wie SuSE und Fedora sollen folgen. Das ist doch schon länger bekannt, dass Microsoft auch Linux einbinden will.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden