Henry: Was haltet ihr (Erfahrungen) vom Signal Messenger?

problematische Seite

Hallo,

heute landete ich zufällig, nach Lesen einiger Artikel, bei diesem Messenger. Nach einiger Recherche und dem sehr positiven Feedback zu dieser Software, auch von bekannten Unterstützern, die sich mit der Materie auskennen, dachte ich wow, warum ist das nicht längst so präsent im Netz, dass es locker Whatsapp ablöst. Geld genug für Werbung haben die schließlich. Dachte so bei mir, da müsste mal dringend eine Medienkampagne her. Aber natürlich wollte ich es erst mal ausprobieren.

Als ich dann aber die erforderlichen Berechtigungen sah, verging mir die Lust, weil ich höhere Erwartungen hatte. Insbesondere hatte ich gehofft, das wäre jetzt vielleicht mal ein Messenger, der sich nicht die vorhanden Kontakte einverleibt, sondern zb. eine eigene seperate Kontaktverwaltung mitbringt. Noch schlimmer, warum will der die Standortfreigabe?

Selbst wenn keine Daten als Klartext beim Anbieter landen, schreckt mich die Anforderung bei einem Unternehmen, dem der Datenschutz an oberster Stelle steht, schon ab. Sehe ich das zu kritisch? Was sind eure Erfahrungen damit?

Gruss
Henry

--
Meine Meinung zu DSGVO & Co:
„Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
  1. problematische Seite

    Lieber Henry,

    dachte ich wow, warum ist das nicht längst so präsent im Netz, dass es locker Whatsapp ablöst.

    dazu:

    Insbesondere hatte ich gehofft, das wäre jetzt vielleicht mal ein Messenger, der sich nicht die vorhanden Kontakte einverleibt, sondern zb. eine eigene seperate Kontaktverwaltung mitbringt.

    Ist das wirklich der Königsweg? Kontakte an verschiedenen Stellen pflegen? Mit den üblichen Inkonsistenzen? Ja? Will das die Mehrheit der User? Was die App mit dem Zugriff alles anstellt, ist selbstverständlich eine berechtigte, aber andere Frage.

    Noch schlimmer, warum will der die Standortfreigabe?

    Darüber könnte man wirklich diskutieren.

    Sehe ich das zu kritisch?

    Vielleicht. Vielleicht auch nicht. Letztlich kommt es wie immer darauf an, inwiefern Du dem App-Anbieter und seinen Diensten vertraust. Denn bei closed-source software hast Du keinerlei Einblick in die tatsächliche Funktionalität.

    Liebe Grüße

    Felix Riesterer

    1. problematische Seite

      Hallo,

      Noch schlimmer, warum will der die Standortfreigabe?

      Darüber könnte man wirklich diskutieren.

      Und zwar direkt mit der App ;)

      Sie läuft nämlich auch ohne diese Berechtigung.

      Gruß
      Kalk

      1. problematische Seite

        Hallo Tabellenkalk,

        Und zwar direkt mit der App ;)

        Sie läuft nämlich auch ohne diese Berechtigung.

        Das bedeutet wahrscheinlich, lässt sich nach der Installation abstellen? Hmm.. ok gut zu wissen. Bleibt natürlich die Frage, warum es dann nicht umgekehrt gehandhabt wurde, Default nicht gefordert? Es ist ja nunmal so ich frage ja nicht nur für mich, sondern damit die Software Sinn macht muss ich meine Kontakte dazu bringen diese ebenso zu installieren und das will ich ohne schlechtes Gewissen tun können.

        Gruss
        Henry

        --
        Meine Meinung zu DSGVO & Co:
        „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
        1. problematische Seite

          Hallo Henry,

          warum Signal welche Permission anfordert ist hier dargelegt: https://support.signal.org/hc/en-us/articles/360007062172-Signal-Permissions

          Du kannst das auch überprüfen, denn sowohl der Server-part als auch der Client-Part von Signal sind OSS.

          Bleibt natürlich die Frage, warum es dann nicht umgekehrt gehandhabt wurde, Default nicht gefordert?

          Das geht meines Wissens nach gar nicht. Bei Android musst du alle Permissions, die du verwendest, im Manifest angeben. Sie nicht anzugeben und nachträglich danach zu fragen ist meines Wissens nach nicht möglich.

          LG,
          CK

          1. problematische Seite

            Hallo

            Bleibt natürlich die Frage, warum es dann nicht umgekehrt gehandhabt wurde, Default nicht gefordert?

            Das geht meines Wissens nach gar nicht. Bei Android musst du alle Permissions, die du verwendest, im Manifest angeben. Sie nicht anzugeben und nachträglich danach zu fragen ist meines Wissens nach nicht möglich.

            Das kommt auf die Android-Version an. Seit Android 6 oder 7 kannst du einzelne Rechte, die du bei der Installation automatisch erteilst, wieder entziehen. In LineageOS kannst du das sogar noch besser steuern. Dort kannst du bestimmen, dass neu installierte Apps erst einmal überhaupt keine Rechte auf Zugriff auf sonstwas haben und diese Rechte bei Frage um Erlaubnis einzeln erteilen oder weiterhin verweigern (verweigern, einmalig erlauben, grundsätzlich erlauben).

            Tschö, Auge

            --
            Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
            Hohle Köpfe von Terry Pratchett
            1. problematische Seite

              Hallo Auge,

              Bleibt natürlich die Frage, warum es dann nicht umgekehrt gehandhabt wurde, Default nicht gefordert?

              Das geht meines Wissens nach gar nicht. Bei Android musst du alle Permissions, die du verwendest, im Manifest angeben. Sie nicht anzugeben und nachträglich danach zu fragen ist meines Wissens nach nicht möglich.

              Das kommt auf die Android-Version an.

              Ja, vermutlich. Aber es ging hier ja um die „install time permissions,“ die gibt es ja nur bis Android 5.5. Und da ist es meines Wissens nicht möglich zu sagen „ich frage später danach,“ sondern man muss immer die vollständige Liste angeben.

              Seit Android 6 oder 7 kannst du einzelne Rechte, die du bei der Installation automatisch erteilst, wieder entziehen. In LineageOS kannst du das sogar noch besser steuern. Dort kannst du bestimmen, dass neu installierte Apps erst einmal überhaupt keine Rechte auf Zugriff auf sonstwas haben und diese Rechte bei Frage um Erlaubnis einzeln erteilen oder weiterhin verweigern (verweigern, einmalig erlauben, grundsätzlich erlauben).

              Erstmal: falsche Perspektive, wir sprechen von der Entwickler-Perspektive 😉

              Dann: unter Android 6 wurde das Permission-System vollständig überarbeitet und es werden nicht mehr install-time requests gemacht, sondern runtime requests: die Software muss nach der Permission zur Laufzeit fragen, und der User bekommt dafür ein Popup. Da läuft das also grundsätzlich anders. Dazu muss man dann aber auch mindestens das Android-6-SDK benutzen… was keiner tut, weil die meisten User kein Android 6 haben *seufz*

              LG,
              CK

              1. problematische Seite

                Hallo

                Bleibt natürlich die Frage, warum es dann nicht umgekehrt gehandhabt wurde, Default nicht gefordert?

                Das geht meines Wissens nach gar nicht. Bei Android musst du alle Permissions, die du verwendest, im Manifest angeben. Sie nicht anzugeben und nachträglich danach zu fragen ist meines Wissens nach nicht möglich.

                Das kommt auf die Android-Version an.

                Ja, vermutlich. Aber es ging hier ja um die „install time permissions,“ die gibt es ja nur bis Android 5.5. Und da ist es meines Wissens nicht möglich zu sagen „ich frage später danach,“ sondern man muss immer die vollständige Liste angeben.

                Als letztes Android-System unterhalb 7 hatte ich eine CyanogenMod-Version (CM, für's Archiv: Vorläufer von LineageOS), die Android 4.4 entsprach, im Einsatz. Dort gab es schon die Privacy-Extension, mit der ich die Rechte, wie im Vorposting beschrieben, einzeln gewähren oder verweigern konnte. Der kleinen Gruppe, die CM im Einsatz hatte, konnte das also schon damals egal sein. Dem Rest mussten saure Äpfel schmecken.

                Davon abgesehen, die Permissions werden bei der Installation doch immer noch angegeben und müssen erst einmal akzeptiert werden, egal, ob man die Rechte später beim Ersteinsatz einzeln gewähren muss (wie unten von dir beschrieben), oder?

                Seit Android 6 oder 7 kannst du einzelne Rechte, die du bei der Installation automatisch erteilst, wieder entziehen. In LineageOS kannst du das sogar noch besser steuern. Dort kannst du bestimmen, dass neu installierte Apps erst einmal überhaupt keine Rechte auf Zugriff auf sonstwas haben und diese Rechte bei Frage um Erlaubnis einzeln erteilen oder weiterhin verweigern (verweigern, einmalig erlauben, grundsätzlich erlauben).

                Erstmal: falsche Perspektive, wir sprechen von der Entwickler-Perspektive 😉

                Tun wir das? Bis eben ging es doch darum, welche Rechte warum gewährt werden (müssen) und ob man die einschränken kann. Das ist meiner Meinung nach nicht die Entwickler- sondern die Anwendersicht.

                Dann: unter Android 6 wurde das Permission-System vollständig überarbeitet und es werden nicht mehr install-time requests gemacht, sondern runtime requests: die Software muss nach der Permission zur Laufzeit fragen, und der User bekommt dafür ein Popup. Da läuft das also grundsätzlich anders. Dazu muss man dann aber auch mindestens das Android-6-SDK benutzen… was keiner tut, weil die meisten User kein Android 6 haben *seufz*

                Stimmt, in meinem Haushalt ist ein Android 7, eines der Version 7.1.2 und eines der Version 9 im Einsatz. 😉

                Aber ja, das ficht die App-Entwickler nicht an, solange Google es zulässt, für neue Apps/App-Versionen die APIs für die alten Android-Versionen zu benutzen. In dieser Hinsicht ist Google sehr träge.

                Tschö, Auge

                --
                Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                Hohle Köpfe von Terry Pratchett
                1. problematische Seite

                  Hallo Auge,

                  Davon abgesehen, die Permissions werden bei der Installation doch immer noch angegeben und müssen erst einmal akzeptiert werden, egal, ob man die Rechte später beim Ersteinsatz einzeln gewähren muss (wie unten von dir beschrieben), oder?

                  Sie werden wohl bei den meisten Apps immer noch angegeben, ja, aber eher aus Gründen der Rückwärts-Kompatiblität. Wenn ich heutzutage eine Android-App mit dem Android-6-SDK oder neue entwickle, ist es AFAIK nicht mehr nötig, die im Manifest anzugeben.

                  Seit Android 6 oder 7 kannst du einzelne Rechte, die du bei der Installation automatisch erteilst, wieder entziehen. In LineageOS kannst du das sogar noch besser steuern. Dort kannst du bestimmen, dass neu installierte Apps erst einmal überhaupt keine Rechte auf Zugriff auf sonstwas haben und diese Rechte bei Frage um Erlaubnis einzeln erteilen oder weiterhin verweigern (verweigern, einmalig erlauben, grundsätzlich erlauben).

                  Erstmal: falsche Perspektive, wir sprechen von der Entwickler-Perspektive 😉

                  Tun wir das? Bis eben ging es doch darum, welche Rechte warum gewährt werden (müssen) und ob man die einschränken kann. Das ist meiner Meinung nach nicht die Entwickler- sondern die Anwendersicht.

                  Also ich habe Henry so verstanden, dass er fragte, warum Signal es nicht anders herum macht: die Permission nicht bei der Installation einfordern, sondern sie explizit erfragen durch etwa den Permissions Manager. Und das ist halt technisch nicht möglich, wenn man nicht Android 6 oder neuer voraussetzt, auf den großen Android<6-Teil scheisst und keine Install-time permissions angibt.

                  LG,
                  CK

                  1. problematische Seite

                    Hallo

                    wir sprechen von der Entwickler-Perspektive

                    Tun wir das?

                    Also ich habe Henry so verstanden, dass er fragte, warum Signal es nicht anders herum macht: die Permission nicht bei der Installation einfordern, sondern sie explizit erfragen durch etwa den Permissions Manager. Und das ist halt technisch nicht möglich, wenn man nicht Android 6 oder neuer voraussetzt, auf den großen Android<6-Teil scheisst und keine Install-time permissions angibt.

                    Habe soeben im PlayStore nachgeschaut. Signal messenger ist kompatibel bis hinunter zu Android 4.4. 😕

                    Erforderliche Android-Version
                    4.4 oder höher

                    Ob die iOS-Version mit der Mindestanforderung iOS 9 ebenso weit in der Vergangenheit festhängt, kann ich nicht wirklich beurteilen. jedenfalls ist Android 4.4 von 2013 [1] und iOS 9 von 2015 [2] und ersteres somit etwa zwei Jahre älter.

                    Weil ich wohl zu doof bin, die Maskierung der schließenden Klammer hinzukriegen, schreibe ich die URLs nun als Text als Fußnoten.

                    Tschö, Auge

                    --
                    Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                    Hohle Köpfe von Terry Pratchett

                    1. https://de.wikipedia.org/wiki/Android_(Betriebssystem)#Versionen ↩︎

                    2. https://de.wikipedia.org/wiki/IOS_(Betriebssystem)#Versionen ↩︎

                    1. problematische Seite

                      Hallo Auge,

                      Weil ich wohl zu doof bin, die Maskierung der schließenden Klammer hinzukriegen, schreibe ich die URLs nun als Text als Fußnoten.

                      Wo ist das Problem?

                      LG,
                      CK

                      1. problematische Seite

                        Hallo

                        Weil ich wohl zu doof bin, die Maskierung der schließenden Klammer hinzukriegen, schreibe ich die URLs nun als Text als Fußnoten.

                        Wo ist das Problem?

                        Den Weg, die URL in spitze Klammern einzuschließen, kannte ich nicht.

                        So hatte ich es zuerst gemacht. Mir wurde nach dem speichern des Postings aber der Markdown-Rohtext [Android (Betriebssystem)](https://de.wikipedia.org/wiki/Android_(Betriebssystem)#Versionen) angezeigt (natürlich ohne die Code-Formatierung).

                        Das hatte ich danach versucht, aber die Maskierung der öffnenden Klammer vor „Betriebssystem“ vergessen. Werd' ich mir wohl merken müssen.

                        Tschö, Auge

                        --
                        Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                        Hohle Köpfe von Terry Pratchett
                      2. problematische Seite

                        @@Christian Kruse

                        Wo ist das Problem?

                        Beim 🔗-Button. ☞ Bug 119

                        LLAP 🖖

                        --
                        „Man kann sich halt nicht sicher sein“, sagt der Mann auf der Straße, „dass in einer Gruppe Flüchtlinge nicht auch Arschlöcher sind.“
                        „Stimmt wohl“, sagt das Känguru, „aber immerhin kann man sich sicher sein, dass in einer Gruppe Rassisten nur Arschlöcher sind.“

                        —Marc-Uwe Kling
          2. problematische Seite

            Hallo Christian,

            Bleibt natürlich die Frage, warum es dann nicht umgekehrt gehandhabt wurde, Default nicht gefordert?

            Das geht meines Wissens nach gar nicht. Bei Android musst du alle Permissions, die du verwendest, im Manifest angeben. Sie nicht anzugeben und nachträglich danach zu fragen ist meines Wissens nach nicht möglich.

            Ah... das macht Sinn, klingt logisch. Gibt ja Leute, die das tatsächlich von einem Messenger erwarten und denen das von vornerein zu verweigern wäre dann auch kontraproduktiv. Werde das Teil jetzt mal testen. Vielen Dank an alle.

            Gruss
            Henry

            --
            Meine Meinung zu DSGVO & Co:
            „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
            1. problematische Seite

              Hallo Henry,

              Werde das Teil jetzt mal testen. Vielen Dank an alle.

              Ich persönlich nutze ihn auch, sogar (fast) ausschließlich. Er hat ein paar Quirks, ist aber IMHO insgesamt sehr brauchbar.

              LG,
              CK

              1. problematische Seite

                Hallo

                Werde das Teil jetzt mal testen. Vielen Dank an alle.

                Ich persönlich nutze ihn auch, sogar (fast) ausschließlich. Er hat ein paar Quirks, ist aber IMHO insgesamt sehr brauchbar.

                Kann ich bestätigen. Ich benutze ihn zwar nur für vier meiner Kontakte, die Erfahrungen lassen mich aber generell zufrieden sein.

                Tschö, Auge

                --
                Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
                Hohle Köpfe von Terry Pratchett
    2. problematische Seite

      gudn tach!

      oh, klasse! kannte ich noch nicht. seit hongkong koennte man wohl auch noch briar dort aufnehmen.

      prost

      seth

  2. problematische Seite

    Hallo Henry,

    Als ich dann aber die erforderlichen Berechtigungen sah, verging mir die Lust, weil ich höhere Erwartungen hatte. Insbesondere hatte ich gehofft, das wäre jetzt vielleicht mal ein Messenger, der sich nicht die vorhanden Kontakte einverleibt, sondern zb. eine eigene seperate Kontaktverwaltung mitbringt. Noch schlimmer, warum will der die Standortfreigabe?

    Der Messenger nutzt den Zugriff auf die Kontakte, um dir in der App neben der Telefonnummer auch den Namen der Person anzuzeigen. Meines Wissens bleibt diese Datenbank lokal.

    Aber die Standortdaten, das ist durchaus kurios.

    Was sind eure Erfahrungen damit?

    Ich bin überzeugter Signal-Nutzer, nicht zuletzt seitdem Edward Snowden den Messenger empfohlen hat. Allerdings nutze ich Signal bisher nur auf einem Jolla Phone und da kommt die App an einiges gar nicht heran.

    Viele Grüße
    Robert

  3. problematische Seite

    Lieber Henry, deine Bedenken sind absolut gerechtfertigt.

    Die meisten Messenger (auch Signal) gleichen die Telefonnummern deiner Kontakte auf ihren Servern mit allen App-User/innen ab.

    Hierbei entsteht Datenschutztechnisch bereits ein Grundproblem. Du bräuchtest eigentlich eine Einwilligung deiner Kontakte, dass du deren Daten hochlädst. Gerade auch der Kontakte, die nicht auf irgendeinem (Signal-)Server hochgeladen/abgeglichen werden wollen.

    Weiter ist zu beachten, dass bei Kontakteinträgen vielleicht auch weitere relevante Informationen enthalten sind. E-Mail-Adressen, Geburtstage, Spitznamen, Web-Seiten-Adressen, und und und zu finden/auszuwerten sind.

    Bei Signal wird versichert, dass relevante Daten vor dem Hochladen auf ihrem Server gehasht und dabei Datenschutzrechtlich einwandfrei gearbeitet wird ...

    "Trau schau wem?" Du bist auf s Glauben angewiesen. Du musst den Server-Betreibern glauben "schenken", dass sie mit deinen Daten keinen Schindluder betreiben.

    Ich persönlich möchte meine Daten nicht auf einem Server in den USA wissen.

    Edward Snowden hat den Messenger damals nicht wegen seiner (vermeintlichen) Sicherheit, sondern weil er einfach einzurichten/benutzen ist und eine vernünftige Verschlüsselung bietet. Ob Geheimdienste, NSA und Co. (aber auch andere) Server "hacken" oder deren Betreiber eischüchtern und zur Mitarbeit verpflichten/zwingen können sei dahingestellt.

    Es gibt noch andere Messenger, die nicht nach diesem zentralisierten/proprietären System funktionieren. Ich bevorzuge den XMPP(Jabber)-Messenger "Conversations", der nicht über Telefonnummern funktioniert, sondern mit XMPP-Accounts funktioniert, die sich anonym, weltweit auf hunderten Servern einrichten lassen. Dieser bietet den gleichen Leistungsumfang wie andere Messenger auch. Das Auslesen deiner Kontakte kannst Du bei Conversations einfach unterbinden und wird zur Funktionalität der App auch nicht benötigt.

    Deine Sicherheit/Anonymität lässt sich noch vergrößern in dem du ein Android-Telefon nutzt, dass ohne Google-Dienste arbeitet (LineageOS). Zum Beispiel lassen sich für deinen Provider, aber auch für Google relativ einfach deine Kontakte aus den generierten Meta-Daten deiner (z.B. Signal-)Nachrichten generieren ... Den Provider halte ich Metadatentechnisch durch Benutzung der Conversation-App über Tor aus dem Spiel.

    Ich empfehle Dir grundsätzlich mal einen Blick in den www.kuketz-blog.de zu richten und dort mal nach Signal, Conversations, Google und so weiter zu schauen. Eine sehr informative Datenschutz-Seite ...

    Hoffe (k)ein bisschen Verwirrung gestiftet zu haben

    Liebe Grüße Anderster