News Hike wird SSL nur eingeschränkt unterstützen

[numi]

Ich verstehe jetzt nicht ganz, was daran so schlimm ist.

Eine unverschlüsselte WLAN Übertragung kann wohl jeder Laie abfangen, solange er sich im Netzwerk befindet. Alles was man braucht lässt sich in kürzester Zeit ergooglen und es ist wirklich nicht schwer. Im WLAN hat Hike aber eine SSL Verschlüsselung.

Daten in einem Mobilen Netz abzufangen ist aber sehr viel schwieriger. Zwar ist dies auch möglich, aber es wird deutlich mehr Expertise gefordert und man benötigt auch die passende Hardware. Dadurch besteht hier viel weniger Gefahr als durch das unverschlüsselte Übertragen im WLAN.

Natürlich wäre es schön, wenn auch im Mobilnetz verschlüsselt werden würde, aber so schlimm finde ich das jetzt nicht. So ist Hike immer noch sicherer als WhatsApp (auch wenn ich Hike nicht als Ersatz für WhatsApp ansehe, da es kaum einer benutzt und daher eher nutzlos ist...)

 

[Mexdus]

Finde hier die ganzen Leute, die direkt jetzt Hike wieder tot sehen etwas unbegreiflich. Whatsapp hat gar keine Verschlüssung, Hike zumindest zur Häfte mit WLAN zumindest. Das ist so, als ob man jetzt weiter mit dem Golf fahren will, weil alle ihn haben, obwohl es einen Passat für alle geben könnte...

 

[Madman1209]

Hi,

@Mexdus

wenn ich nicht zu Hause bin läuft bei mir alles über die mobile Datenverbindung. In offene WLANs oder Hotspots gehe ich so oder so nicht. Das Update hat für mich also keinen Mehrwert. Was allerdings bleibt ist der ganz ganz fade Nachgeschmack, dass man sich auf die Aussagen der Entwickler schlicht nicht verlassen kann, nachdem zu Beginn großspurig versprochen wurde "Ende des Jahres, ganz großes Ehrenwort". Ergo kann ich auch der Aussage bzgl. "Schutz persönlicher Daten" nicht mehr viel abgewinnen und der einzige Vorteil (Sicherheit) ist für mich so nicht höher als bei Whatsapp (vom Loginsystem mal abgesehen).

Vielleicht erklärt es das ein wenig.

VG,
Mad

 

[Hot Dog]

@ Madman1209:

In einer News auf CB kann man folgendes nachlesen:

"Die Hike-Entwickler widersprachen der Kritik auf Nachfrage. In einer Stellungnahme erklärte man ComputerBase, dass die von mediaTest digital genannten Daten nicht gesammelt werden. „Wir nutzen einen App-Analyse-Service, der lediglich Downloads und Laufzeiten verfolgt und aufzeichnet. Andere Daten werden nicht gesendet und es ist komplett anonymisiert.“, so die Aussage."

Klar, was man denen glaubt, ist natürlich jedem selbst überlassen, aber ich für meinen Teil vertraue denen, weil dort immerhin die Wahrscheinlichkeit besteht, dass keine relevanten Daten gesammelt werden.
Ich hoffe darauf, dass Hike Geld damit verdient, dass sie berühmt werden und ihr Unternehmen dann an einen größeren Partner verkaufen.

Klar ist es schade, dass sie ihre Versprechen nicht eingehalten haben, aber ich bin zuversichtlich, dass sie hart daran arbeiten und es in naher Zukunft umgesetzt wird.

 

[swz.alucard]

Und das sfunktioniert auch für ein Messaging-App, dafür gibt es Public Key Infratrukturen: Dort wird für jeden Nutzer öffentlich der Public Key hinterlegt. Den Private Key hat eben nachher nur das App beim Nutzer, den er gut aufheben muss.

Theoretisch machbar. Aber warum sollte ein Messanger sich eine PKI ans Bein binden, wenn (persönlich geschätzt) 95% aller User die Sicherheit des Dienstes völlig egal ist? Die meisten User wissen nicht mal, was SSL, x509 oder PGP ist. Wer kennt denn schon jemanden, außerhalb des IT-Bereiches, der seine Emails mit PGP oder Zertifikaten verschlüsselt? Persönlich kenn ich da garkeinen. Gefragt ist ein einfach zu nutzendes, möglichst billiges Tool(am besten noch kostenlos) um instant Nachrichten zu verschicken. Und das erfüllt Whatsapp nunmal ziemlich perfekt. Selbst Leute, für die "das Internet" aus Facebook und Youtube besteht, kommen damit klar. Zudem wäre eine PKI wieder mit Kosten (mehr Server-Kapazität benötigt, eventuell mehr Entwickler um den Kram zu implementieren) verbunden, was dem wichtigsten Argument, nämlich das die Apps fast nichts kosten, stark entgegenläuft.

Und allein mit SSL hätte man auch keine sichere Ende-zu-Ende Kommunikation, spätestens bei den Whats-app Servern muss die SSL-Verbindung irgendwo terminieren. Und spätestens da könnte irgendwer sich die mit Sicherheit hoch brisanten Messages durchlesen. Zudem gilt auch hier-> SSL Verschlüsselung benötigt mehr Rechenkapautität auf den Servern -> mehr Kosten. Und das will ja auch keiner.

 

[Madman1209]

Hi,

@Hot Dog

Womit soll Hike Geld verdienen? Der Spruch "wenn es dich nichts kostet bist du nicht der Kunde sondern das Produkt" ist dir bekannt?

Mir geht es trotzdem nicht in den Kopf, dass man die Ankündigung dann überhaupt macht - jetzt sind viele Leute verärgert / verunsichert und bleiben dann (natürlich) lieber bei WhatsApp... "die haben ja eh schon alles". Man hat den größten Trumpf und das einzige Argument gegen WhatsApp schlicht verspielt, das kann man drehen wie man will, das ist jetzt einfach Fakt.

Wenn ich als Entwickler den Mund derartig voll nehme und behaupte

We take security very seriously and we guarantee you that we’re putting a lot of effort to ensure that hike keeps evolving on all parameters, especially security.

We assure you that 128-bit SSL encryption is coming to hike by end of this calendar year.

dann muss ich das auch liefern - und zwar ohne Einschränkung, ohne wenn und aber!

VG,
Mad

 

[Hot Dog]

@ Madman1209:

Ja das sehe ich natürlich ein. Es ist auf alle Fälle und ohne Zweifel sehr bedauernswert, dass es nicht umgesetzt wurde.
Und mir ist auch klar, dass das viele User verärgern und von einem Wechsel abhalten wird.

Fakt ist aber, dass wir hier nicht von einer Sicherheitslücke (wie z.B. bei WhatsApp oft der Fall) sondern von einem fehlenden Feature reden, das sollte strickt getrennt werden.

Womit Hike Geld verdient? Ehrlich gesagt, keine Ahnung.
Wie gesagt, ich hoffe darauf, dass sie das nicht mit den Daten der User machen.
Vielleicht haben sie einen Publisher bzw. Supporter, der sie in der Anfangsphase unterstützt?
Ich weiß es wirklich nicht, aber meine Hoffnung stirtb zuletzt. Wie bereits erwähnt: Lieber eine App, die eventuell und nur möglicherweise Daten sammelt, als eine App, die 100% und ohne Zweifel Daten sammelt .

Das Problem bei WhatsApp ist u.A. halt auch, dass auch User betroffen sind, die die App nicht benutzen. Es ist bewiesen, dass WhatsApp das Kontaktbuch des Users auf einen amerikanischen Server sendet, was natürlich dazu führt, dass meine Adresse / Telefonnummer / E-Mail-Adressse natürlich auch auf dem Server landen, da einer oder mehrere meiner Freunde diese App benutzen.

 

[r00ter]

das ist das erste mal das ich von dieser software etwas höre. gemessen an der tatsache, das es probleme / scheinbar kaum den willen gibt überhaupt eine verschlüsselung zu implementieren und das im jahr 2013, sagt mir das ich auch in zukunft nicht von der software hören will. im ernst 128 bit ... lol

mal im ernst, wer programmiert so etwas und wer benutzt so etwas?

 

[Madman1209]

Hi,

Fakt ist aber, dass wir hier nicht von einer Sicherheitslücke (wie z.B. bei WhatsApp oft der Fall) sondern von einem fehlenden Feature reden, das sollte strickt getrennt werden.

Nein sorry, fehlende Verschlüsselung bei der Übertragung ist heutzutage kein fehlendes Feature mehr. Wirklich nicht! Das ist eine Sicherheitslücke, da brauchen wir gar nicht mehr diskutieren

Wie gesagt, ich hoffe darauf, dass sie das nicht mit den Daten der User machen.

Dann überleg mal womit sie Profit generieren könnten Ein wenig naiv zu glauben, dass sie es nicht mit dem einzigen "Rohstoff" machen den sie in der Hand haben.

Es ist bewiesen, dass WhatsApp das Kontaktbuch des Users auf einen amerikanischen Server sendet, was natürlich dazu führt, dass meine Adresse / Telefonnummer / E-Mail-Adressse natürlich auch auf dem Server landen, da einer oder mehrere meiner Freunde diese App benutzen.

Macht Hike das nicht auch? Ich dachte schon wenn ich mich richtig an die Aussage eines Entwicklers erinnere... muss ich mal suchen ob ich den Link noch finde.

VG,
Mad

 

[Hot Dog]

@Madman1209:

Ich kann nur noch einmal auf das Zitat in einem meiner vorherigen Beiträge verweisen. Es wäre schon sehr unverschämt, wenn sie die User dermaßen anlügen würden. (Auszuschließen ist es natürlich nicht)
Wie gesagt, wir können nur vermuten, wie sie ihr Geld verdienen, keiner von uns weiß es genau. Ich glaube aber bisher an das Gute in Hike, wer weiß, ob sich das noch ändert . Und das ist keinesfalls Naivität

Ich kann mich nicht erinnern, gelesen zu haben, dass Hike das Kontaktbuch auch nach Amerika sendet. Wär schön, wenn du den Link noch finden würdest, damit ich meine Argumentationsgrundlage anpassen kann.
Wo ist Hike eigentlich ansässig, bzw. wo stehen die Server von denen?

Edit: Alles klar, jetzt haben wir beide unseren Standpunkt klar gemacht. Ich würde sagen, wir beenden unseren Meinungsaustausch an dieser Stelle, würde vermutlich zu nichts führen
Wir wollen ja auch mal die Anderen zu Wort kommen lassen, haha
Aber immer wieder schön, sich auch mal vernünftig mit anderen auszutauschen, ohne dass gleich beleidigt oder verspottet wird

 

[Madman1209]

Hi,

Es wäre schon sehr unverschämt, wenn sie die User dermaßen anlügen würden

Bei der SSL-Implementierung und dem Versprechen diesbezüglich haben sie doch offensichtlich auch gelogen - warum sollte das irgendwo anders sein?

Ich glaube - solange es um profitorientierte Unternehmen geht - schon lange nicht mehr an das Gute. Wir sind das Produkt solange es nichts kostet, also werden die Daten irgendwie verkauft. Nur mit Luft und Liebe werden die Server (die wahrscheinlich in Indien stehen, daher kommt die App zumindest) sicher nicht betrieben

Den Link finde ich nicht mehr leider - die App braucht aber die Berechtigung für das Telefonbuch genauso wie Whatsapp. Sehe da keinen großen Unterschied. Solange sie die Berechtigung haben und kriegen können sie das Telefonbuch auf jeden Fall auslesen und verarbeiten. Wie gesagt, an das Gute glaube ich da nicht mehr

VG,
Mad

 

[Soultaker]

Haha erst machen die Medien einen unglaublichen hype um die App und dann sowas war mir von Anfang an klar

 

[DunklerRabe]

Natürlich lügen die. Das kannst du mit fast an Sicherheit grenzender Wahrscheinlichkeit annehmen. Genau so wie alle anderen in dem Bereich auch lügen. Hike ist mit oder ohne Verschlüsselung kein Deut besser als alle anderen.

 

[mumpel]

WLAN reicht doch erstmal aus. Soweit ich das Problem verstanden habe, ist es relativ einfach, in offenen WLANs solche Daten abzugreifen. Jetzt sind die verschlüsselt. Gut. Daten über Mobilfunk abzugreifen ist deutlich komplizierter. Von daher: Mit wenig Aufwand viel erreicht.

Die Frage ist nur, warum sich die Entwickler mit SSL über Mobilfunk so schwer tun. Wie ist das eigentlich bei Skype? Gehen die überall über SSL? Skype braucht auch deutlich länger, um sich einzuloggen. Ein Grund, warum ich zu Whatsapp gewechselt bin. Während Skype sich noch einloggt, habe ich bei Whatsapp schon zwei Nachrichten abgeschickt.

Grundsätzlich habe ich ja Verständnis für Sicherheit. Aber mein IM auf'm Handy soll möglichst schnell sein. Wenn das einer mitschneidet: Viel Spaß. Ich rede in einer Bar auch nicht so leise, dass man mich am Nebentisch nicht belauschen könnte. Man muss nur einfach wissen, dass das unsicher ist - dafür bin ich dankbar - und entsprechend reagieren. Sensible Daten gehören einfach nicht in einen IM - oder Facebook. Ende.

Whatsapp ist für mich ein Werkzeug. Ich kann nicht einfach so wechseln, wie es mir passt. Mein Freundeskreis muss mitziehen. Ich war der vorletzte, der sich Whatsapp geholt hat, um mit den anderen zu kommunizieren. Das ist wie mit den Facebook- und eBay-Alternativen: Wenn interessiert's, wenn keiner da ist? Und ich benutze lieber Whatsapp, wo ich deren Geschäftsmodell (App-Verkauf/Abo) kenne, als Hike und andere, die kostenlos sind und Geld durch was-weiß-ich verdienen - wahrscheinlich Datensammeln.

 

[Meriana]

Wer es sicher will, soll Threema benutzen: http://threema.ch/de/

Hat End zu End Verschlüsslung!

 

[flappes]

Ich verstehe den Hype um Hike auch nicht. Warum nicht WeChat? Hat definitiv mehr Funktionen als WhatsApp und ist Grün ;-)

 

[Hot Dog]

@ Meriana:

Sehr geil, ich danke dir!
Leider muss man noch auf die Android-Version warten.

@ flappes:

Man kann es sich natürlich auch einfach machen. Wenn alle so denken würden wie du, würden wir bald in einem gläsernen Staat leben.
Und ich finde es überhaupt nicht amüsant oder belustigend, dass sie all diese Daten haben. Darum spiele ich das auch nicht herunter.

 

[flappes]

Das Problem bei WhatsApp ist u.A. halt auch, dass auch User betroffen sind, die die App nicht benutzen. Es ist bewiesen, dass WhatsApp das Kontaktbuch des Users auf einen amerikanischen Server sendet, was natürlich dazu führt, dass meine Adresse / Telefonnummer / E-Mail-Adressse natürlich auch auf dem Server landen, da einer oder mehrere meiner Freunde diese App benutzen.

Und ? WahtsApp hat über 300 Mio. Nutzer... auf Detusch: die haben also eh schon von jedem die Telefonnummer, Adresse, usw. was sollen sie dir noch nehmen? Sie haben es jetzt und damit ist das erledigt.

 

[live@1]

die frage ist doch warum whats-app immernoch keine sicherheitswerte eingebaut hat. - sie wollen nicht.
bei hike "nur wlan ?!"

das ist ein anfang, den whats-app seit monaten nicht auf die reihe bekommt.
womit bezahlen die ihre kosten denn für infrastruktur he ?!

solang full-flat und gut.

edit:

geiz ist scheisse ! geiz ist zur zeit leider deutsch !
will aber niemand jetzt hier als geizkragen bezeichnen.
ihr wisst schon wie ich das meine.
doch ist das alles relativ - wer sich digital im netz bewegt ist im system - mal mehr mal weniger

 

[AlbertLast]

Ich verstehe das problem nicht weil:
Wlan kan von allen Teilernehmer im Wlan abgehört werden (egal ob verschüsselt oder nicht)
daher ist ssl hier richtig und wichtig.
GSM ist verschüsselt und keiner der teilnehmer kann den anderen abhören UND
die verbindung ist unstabiel, würde man hier ein ssl verbindung aufbauen würden das senden noch länger dauern
und sicherer als vorher ist es sowieso nicht weil gsm sowieso verschüsselt ist.

Wo ist das problem?