Beiträge von Dan

    Wir ü18 Content auch unscharf damit?

    Ich kann mir das Thema der Brille, außer für Medienkonsum, noch nicht so recht vorstellen. Gerade im Vertgleich zu Apple Vision Pro, wo man die komplette Bedienung (es ist ja ein eigener Mac) mit der VP macht.

    Ich bin gerade über eine Niederländische IP ins Forum. Ohne Probleme:

    Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

    Ganz nett, finde ich, wenn man mehrere Dateien hochgeladen hat, sieht man jetzt, welche man schon im Text eingefügt hat, anhand des kleinen grünen Kreises mit Pfeil drin.

    Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community! Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

    Es wird ja im iPhone angezeigt, ob der Betreiber RCS kann. Bei mir (Salt) leider nicht. Ist mir echt unverständlich. Geht in die Richtung: „da machen wir nicht mit, bzw. Bleiben erst mal neutral“, oder eher in „lass uns noch die letzten paar Rappen mit SMS Fallback verdienen, wenn wir dem Kunden im Roaming hohe SMS Kosten berechnen können“

    Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community! Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

    Wahrscheinlich ist das Ganze aber ein eher unwahrscheinliches Szenario. Wenn man sich richtig auskennt, und den privaten Server richtig absichert, wird das vermutlich sehr sicher sein.

    Verwundert war ich ein mal mehr, dass Google keine E2E bei den Passwörtern nutzt.

    1Password

    Hatte ich vor Apple auch. Das Abomodell hat mich dann weg gebracht. Und die in den 2010ern hängen gebliebene GUI.

    Die Untersuchung erwähnt 1Password am Rande (in dem PDF):

    Zitat

    Kritisch:

    1Password authentifiziert öffentliche Schlüssel nicht. Das betrifft insbesondere das Sharing. Ein kompromittierter oder bösartiger Server kann falsche Public Keys ausliefern und so Sharing-Angriffe durchführen .

    Schwerwiegender ist der sogenannte Vault Substitution Attack. Das Vault-Key wird zwar mit RSA-OAEP verschlüsselt, aber nicht authentifiziert. Der Server kann beim Anlegen eines Vaults ein eigenes Vault-Key einschleusen. Der Client merkt das nicht, entschlüsselt es mit seinem privaten Schlüssel und nutzt anschließend dieses manipulierte Vault-Key weiter .

    Folge: vollständige Kompromittierung von Vertraulichkeit und Integrität. Der Angreifer kann alle danach gespeicherten Daten lesen und manipulieren. Voraussetzung: Der Client holt Key-Material vom Server, zum Beispiel bei Login auf einem neuen Gerät oder bei Vault-Erstellung .

    1Password ist konzeptionell stärker gegen Offline-Brute-Force durch den Secret Key.
    Im bösartigen Server-Modell hat es jedoch ebenfalls strukturelle Schwächen bei der Authentisierung von Schlüsseln und Vault-Keys.


    Ich habe die KI mal nach der Analyse befragt:

    Da scheint es wohl doch ein paar Designfehler zu geben, wenn ich das so richtig interpretiere.

    Gerade gelesen:

    Schweizer Forscher knacken beliebte Passwort-Manager

    Betroffen sind

    • Bitwarden
    • LastPass
    • Dashlane

    Passwortmanager sollen unsere Zugangsdaten schützen. Doch ETH-Forscher zeigen in einer Studie: Drei beliebte Tools mit 60 Millionen Usern weltweit haben massive Sicherheitslücken

    Passwortmanager bieten weniger Schutz als versprochen
    Forschende der ETH Zürich haben bei drei populären, cloudbasierten Passwortmanagern gravierende Sicherheitslücken entdeckt. In Tests konnten sie gespeicherte…
    ethz.ch

    https://www.blick.ch/digital/studie-von-eth-zuerich-schweizer-forscher-knacken-beliebte-passwort-manager-id21701779.html


    Aus Seite 2 der PDF steht:

    Apple und Google haben zwar 55 Prozent Marktanteil, aber wegen fehlendem Quellcode war keine einfache Analyse möglich. Zudem ist End-to-End-Verschlüsselung bei Google nur optional aktiviert, Apple hingegen ist generell End-to-End verschlüsselt.

    Was mir, unabhängig von Apple, oder der Passwort App immer als Argument dient (und hier hatte ich damals schon eine Schulung bzgl. Sicherheits-Argumenten):

    Da draußen gibt es Firmen, die Millionen $ investieren, um irgendwelche Systeme von Apple zu diskreditieren. Ebenso gibt es wahrscheinlich mehrere tausend „Hacker“, die sich den A… aufreißen, um irgendwelche Schwachstellen zu finden.

    Wahrscheinlich gibt es Gleiches für Google, MS, usw.

    Was würde es Samsung entgegen kommen, würde man Apple eine Schwachstelle nachweisen. Oder Google, würde man Apple nachweisen, dass sie fahrlässig oder gewinnbringend mit Daten umgehen, obwohl sie Privacy propagieren. Für solche evtl. Unlauteren Konkurrenzgebahren werden Millionenbeträge ausgegeben. Dazu kommen dann noch die ganzen Vereine, Hobby-Hacker, Gruppierungen, die ehrenwert auf der Suche nach solchen Exploits sind.

    Dies Alles sind in meinen Augen größere Argumente, als eine Keynote mit:

    Externer Inhalt youtu.be
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    (Mein Zusammenschnitt von damals)