Einloggen
[c] [test] [fefe]

/fefe/ – Fefes Kommentarfunktion


Antwort erstellen

(≤ 4)



[Zurück]

  • [l] Oh Graus. Signal baut jetzt Payment ein.Das ist ja ... Effe ## Mod Tue, 06 Apr 2021 22:35:34 GMT Nr. 49821
    JPG 800×441 78.8k
    Oh Graus. Signal baut jetzt Payment ein.

    Das ist ja schonmal grundsätzlich eine ganz schlechte Idee, weil es Signal zu einem Ziel für Scammer macht. Im Moment ist es nur ein Ziel für Geheimdienste. Schlimm genug.

    Aber Signal baut nicht nur Payments ein. Nein, nein! Signal baut Blockchain ein [0].

    Das ist der letzte Sargnagel. Ich habe schon aufgehört, Signal zu empfehlen, seit sie dieses desaströse Pin-Update eingebaut haben. Inhaltlich hat das bedeutet, dass sie dein Telefonbuch in die Cloud hochladen. War nicht so klar kommuniziert, aber das war das. Sie machen eine Packung Bullshit-Voodoo über deine Pin, dann verschlüsseln sie damit dein Telefonbuch, und dann laden sie es in die Cloud hoch.

    Weil Smartphones sich überhaupt nicht für die Eingabe von Text oder Passwörtern eignen, ist die Pin entweder unbrauchbar, weil man sie nicht eingegeben kriegt, oder sie ist unbrauchbar, weil sie zu wenig Entropie hat und auf dem Server einfach durchprobiert werden könnte.

    Und Signal hat diese verkackte Pin nicht Opt-In gemacht sondern einmal allen aufgezwungen. Das war der Moment, seit dem ich Signal nicht mehr benutze.

    Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwitch draus machen?

    Und nicht mal eine echte Blockchain sondern so ein Voodoo-Handwaving-Hybrid-Schlangenöl.

    Ich habe mir das letztes Jahr mal näher angeguckt. Das gesamte Ding fußt auf Intel SGX. Das ist Intels Enklaven-Voodoo-Tech. Laut Signal funktioniert das so: Deren Krypto-Blockchain-Voodooware ist Open Source und du kannst sie selber bauen. Dann kannst du davon eine kryptografische Checksumme nehmen. Dann fragst du einen proprietären unprüfbaren closed-source Cloud-Dienst von Intel, und der sagt dir dann die Checksum von dem Kram in der SGX-Enklave. Dann kannst du sehen, dass die Software unmodifiziert war.

    Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU mit SGX.

    Ihr merkt schon: Lange hat mich nicht mehr ein Konzept so dermaßen wenig überzeugt. Die Anzahl der Schichten an "guck hier mal nicht so genau hin"-Level Krypto ist atemberaubend. Die Humanisten unter euch werden die Wortbedeutung von Krypto kennen und an der Stelle die Ironie genießen, dass Krypto-Voodoo hier als Flimflam-Zutat für ein Bullshit-Cocktail aus wilden Ablenkungs-Handbewegungen hergenommen wird, das man sonst nur von Hütchenspielern und Bühnenzauberern kennt.

    Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sind sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!

    Aber Fefe, sagt ihr jetzt vielleicht, Intel hat doch gar keinen Anreiz für Beschiss an der Stelle!!1! Ach ja, ist das so? Wir reden von einem fucking Payment-Dienst! Wer da bescheißen kann, kann sich anderer Leute Geld überweisen! Da seht ihr keinen Anreiz?!

    Nee, sorry. Signal hat über die Jahre eine Menge Vertrauen aufgebaut. Das ist jetzt weg.

    Oh, übrigens, erwähnte ich, dass deren "Open Source"-Serverkomponenten seit nem Jahr nicht mehr geupdated wurden? Und auf deren Servern andere Software läuft als was sie im open source-Repo veröffentlichen?

    Ja, äh, klar stinkt das, aber komm, wir schmieren da jetzt ein paar Lagen Krypto-Blablah drüber und dann decken wir das mit einer Decke unvertrauenswürdigen Intel-Versprechungen zu. Hier, noch ein bisschen Pseudo-Open-Source-Parfüm drübergespritzt, dann riecht man das gar nicht mehr so!1!!

    Ich habe ja neulich schon bei der Meldung zu den hopsgenommenen Krypto-Messengern angedeutet, dass in Zukunft die wichtigste Eigenschaft von Krypto-Messengern sein wird, ob sie auch dann noch vertrauenswürdig einsetzbar sind, wenn die Infrastruktur von schattigen Behörden oder Geheimdiensten oder Kriminellen übernommen wurde.

    Alle Messenger, die dich nicht selber Key-Management über QR-Codes o.ä. machen lassen, sind direkt durchgefallen. Dazu gehört leider auch Signal.

    Ich persönlich schiebe die Schuld an dieser ganzen Misere ja den Sprallos in die Schuhe, die seit Jahren PGP madig reden. PGP ist die einzige fucking Krypto-Software, die explizit mit dem Ziel entwickelt wurde, dass du nicht dem Netz, nicht der Cloud, nicht irgendwelcher von Dritten betriebenen Infrastruktur glauben musst, sondern zur Not alles zur Hand bootstrappen und betreiben kannst. Diese ganze Hipster-Kacke, die heute unter Krypto läuft, kannst du alles einmal in der Pfeife rauchen. Ja, auch Browser-Krypto. Oder hat jemand von euch schonmal manuell Zertifikats-Hashes im Browser verglichen? Und dann verstanden, dass nächstes Mal ein anderes Zertifikat kommen könnte und man das bei jeder HTTPS-Verbindung einzeln verifizieren müsste eigentlich?

    Ja, kommt, ihr Apple-Hipster. Erzählt mir mehr darüber, wie man ordentliche Krypto macht. Aber aber aber Signal ist doch viel einfacher zu bedienen!!1! Ja, der bedient sich sogar ganz von selbst und lädt deine Daten in die Cloud hoch!

    Apropos Signal. Lacher am Rande. Bei dem Facebook-Datenreichtum ist ja auch der Datensatz von Mark Zuckerberg drin gewesen. Jemand hat die Telefonnummer in sein Adressbuch eingetragen. Und wisst ihr, was als nächstes passierte? Signal hat ihm gesagt: Zuckerberg ist auf Signal! Connect with him! Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?

    Na sowas.

    Sic transit gloria mundi.

    [0] https://signal.org/blog/help-us-test-payments-in-signal/

    https://blog.fefe.de/?ts=9e9221ad
  • [l] Felix Tue, 06 Apr 2021 23:03:50 GMT Nr. 49822
    Dann schreib halt mal eine bessere App, liebster Fefe.
    Anscheinend hast du sehr, sehr viel Ahnung davon, also mach.
  • [l] Felix Tue, 06 Apr 2021 23:08:39 GMT Nr. 49824
    >>49822
    Dann schreib halt mal einen besseren Blog, liebster Felix.
    Anscheinend hast du sehr, sehr viel Ahnung davon, also mach.
  • [l] Felix Tue, 06 Apr 2021 23:11:28 GMT Nr. 49825
    und wat is nu dat neue signal?
  • [l] Felix Tue, 06 Apr 2021 23:16:06 GMT Nr. 49826
    Felix hat schon seit Ewigkeiten gesagt, dass Signal Scheiße und dieser Moxie Marlinspike wahrscheinlich Ex-Contractor ist. Aber nein, muss man ja unbedingt drauf, weil für Kryptonörds gebrandmarkt.
  • [l] Felix Tue, 06 Apr 2021 23:28:45 GMT Nr. 49827
    Briar keine Option?
  • [l] Felix Wed, 07 Apr 2021 04:01:04 GMT Nr. 49828
    Vor Jahren sah sich Felix den Tüpen und sein Projekt mal an. Ist eher so ein Surfer vong Aussehen her. Weil das nicht in Felix Weltbild passte, wollte ich sein Programm nicht und war irritiert warum er so viele Fans im CCC Umfeld (damals noch mit dem Dicken) hat.

    Fühlt gut wenn Misstrauen bestätigt.
  • [l] Felix Wed, 07 Apr 2021 07:10:16 GMT Nr. 49832
    >>49827
    >Briar keine Option?
    Das klingt wie ein feuchter Traum von den Diensten. Die betrachten Tor als sicher und machen dann P2P mit den Kontakten darüber. Ist es natürlich nicht, weil du früher oder später einen Circuit bekommst, der vollständig von den Diensten kontrolliert wird. Und dann leckt dein gesamtes Netzwerk an Kontakten.

    Außerdem ist das fraktal komplexer Scheiß mit mutmaßlich mehr Sicherheitslücken als Fefes Wildschweinkonsum in einem Monat. Merke, dass dieser Drogen-Messenger nicht aufgemacht wurde indem die Krypto geknackt haben sondern weil die den Dienstleister hopsgenommen haben und ein verwanztes Update ausgeliefert haben. Ginge hier genauso.
  • [l] Felix Wed, 07 Apr 2021 07:13:40 GMT Nr. 49833
    >>49826
    >>49828
    >Matthew Rosenfeld,[2] known as Moxie Marlinspike
    Jedes verfickte mal
  • [l] Update Effe ## Mod Wed, 07 Apr 2021 07:21:05 GMT Nr. 49835
    @@ -19 +19 @@
    -Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU mit SGX.
    +Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU (in der Management-Engine, die Intel allen Kunden unausschaltbar aufzwängt) mit SGX.

  • [l] Update Effe ## Mod Wed, 07 Apr 2021 07:31:12 GMT Nr. 49836
    @@ -46,0 +47,2 @@
    +[b]Update[/b]: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert.
    +

  • [l] Update Effe ## Mod Wed, 07 Apr 2021 07:36:15 GMT Nr. 49837
    @@ -47 +47,3 @@
    -[b]Update[/b]: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert.
    +[b]Update[/b]: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert. Ein Schelm, wer Böses dabei denkt!
    +
    +[b]Update[/b]: Bei Signal kann man übrigens Kontakte manuell verifizieren. Ja, sogar mit QR-Code. Weiß nur keine Sau, weil das so geschickt in der UI verborgen ist. Haben sie irgendwann nachgerüstet und keiner hat's gemerkt. Man geht in die Kontakte-Liste, dann öffnet man einen Gesprächsverlauf mit jemandem, dann geht man im Menü auf Conversation Settings, dann scrollt man runter, denn diese unwichtige Randgruppenoption ist die letzte in der Liste: View Safety Number. Wenn man da raufgeht, dann kommt ein Screen namens Verify Safety Number. Dann muss man nur noch ein paar Jungfrauen in einem Pentagramm opfern und lateinische Inkantationen sprechen.

  • [l] Felix Wed, 07 Apr 2021 08:08:04 GMT Nr. 49841
    >>49837
    Was soll diese Anleitung im Computer-BILD-Stil? Stockholm-Syndrom? Hatten wir nicht gerade der Signal-Nutzung endgültig abgeschworen?
  • [l] Felix Wed, 07 Apr 2021 08:43:21 GMT Nr. 49844
    Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern > uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sind sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!

    Nicht die AMDs Grützechips waren ausgebremst, sondern die Intel CPU liefen schnell.

    Ich verstehe den Fefe echt nicht, ist der jetzt heute gegen die gesunde Konkurrenz? Ist er jetzt komplett durch die Grippe senil geworden? Fragen über Fragen
  • [l] Felix Wed, 07 Apr 2021 08:46:09 GMT Nr. 49845
    Payment bla, Payment hin. Wenn du Schiss um dein Paypal hast, gib einfach deine Kreditkartennummer nicht ein, du kannst sicher doch den Schritt überspringen. Mein Gott, so dämlich muss man doch nicht sein, oder?
  • [l] Felix Wed, 07 Apr 2021 08:49:41 GMT Nr. 49846
    >Misere ja den Sprallos in die Schuhe, die seit Jahren PGP madig reden.
    Wenn PGP so geil sein soll, warum ist das so Scheiße? Außerdem ist dass nur so ein Textverschlüsselungsdingsie vor 30 Jahren. Wie sollen die Texte dann geschickt werden? Per Brieftauben in einem Rosabeutel?
  • [l] Felix Wed, 07 Apr 2021 09:30:25 GMT Nr. 49849
    >>49845
    >du kannst sicher doch den Schritt überspringen
    Noch. 2FA ist inzwischen auch überall Pflicht. Natürlich nur wegen der Sicherheit und nicht wegen Datensammeley.
  • [l] Update Effe ## Mod Wed, 07 Apr 2021 10:14:44 GMT Nr. 49854
    @@ -23 +23 @@
    -Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sind sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!
    +Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!

  • [l] Felix Wed, 07 Apr 2021 10:16:36 GMT Nr. 49855
    Wer PGP lüftert, hat es noch nie wirklich benutzt.
    Oder versucht nem normalen Menschen zu erklären.
    Selbst die ganze PEP Scheiße und Enigmail sind unbenutzbar.
  • [l] Felix Wed, 07 Apr 2021 10:18:29 GMT Nr. 49857
    Haha, fefe, der Handwaver vor dem Herren, meckert über Handwaving und neuere Crypto, die er einfach nicht mehr in seine dicke Birne bekommt. Dann noch irgendwas über PGP faseln und fertig ist der "Ich hab's schon immer gesagt"-Pfosten.
    Selten jemanden so unwürdig altern sehen. Bitte mehr davon!
  • [l] Update Effe ## Mod Wed, 07 Apr 2021 13:14:23 GMT Nr. 49879
    @@ -13 +13 @@
    -Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwitch draus machen?
    +Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwich draus machen?

  • [l] Felix Wed, 07 Apr 2021 13:52:57 GMT Nr. 49881
    >>49879
    Hex hex!
  • [l] Felix Wed, 07 Apr 2021 22:26:49 GMT Nr. 49896
    >>49832
    Dein Punkt ist also:
    Digitale Kommunikation ist per se Müll, weil die Software geriggt sein könnte.
    Magst du recht haben.
  • [l] Felix Thu, 08 Apr 2021 10:13:58 GMT Nr. 49920
    >>49896
    Es gibt nur ICQ Skype Discord oder Steinzeit. Muss man wissen.
  • [l] Felix Thu, 08 Apr 2021 10:15:58 GMT Nr. 49921
    >>49896
    >Digitale Kommunikation ist per se Müll, weil die Software geriggt sein könnte.
    So weit würde Felix nicht gehen. Es ist möglich, relativ sicher verschlüsselt zu kommunizieren, wenn man gut abgehangenen Kot verwendet. Also sowas wie nc über OpenVPN mit symmetrischem Schlüssel.

    Allerdings kannst du damit nur die Kommunikationsinhalte schützen, nicht aber die Metadaten. Soweit Felix erkennen kann, gibt es da keine brauchbare Lösung für. Man muss also abwägen, ob man das Leaken von Metadaten oder das Gehacktwerden für das größere Problem erachtet. Briar deckt aber keinen der beiden Punkte ab. Signal natürlich auch nicht.
  • [l] Felix Thu, 08 Apr 2021 10:31:49 GMT Nr. 49925
    >>49881
    Munzelte.
  • [l] Felix Thu, 08 Apr 2021 11:47:51 GMT Nr. 49958
    >>49920
    Wie? Bist immer noch nicht bei Clubhouse?
  • [l] Felix Thu, 08 Apr 2021 11:49:49 GMT Nr. 49959
    >>49921
    Ja, man kann auch den Metadatum einigermaßen verwaschen. Und zwar mit toten Briefkästen. Aber die sind ja tot.
  • [l] Felix Thu, 08 Apr 2021 12:55:28 GMT Nr. 49966
    >>49959
    >Ja, man kann auch den Metadatum einigermaßen verwaschen. Und zwar mit toten Briefkästen.
    Das hat in der Praxis nie richtig funktioniert.
    https://ritter.vg/p/AAM-defcon13.pdf
    Wenn du der einzige bist, der halbwegs OpSec beherrscht, dann bist du halt für die Dienste auch wieder identifizierbar.


[Zurück]
[c] [test] [fefe]