[Jiayu S3] geht es auch ohne Google?

[N2k1]

Sorry, aber das ist eine Kindergartenargumentation.

Nein, es ging darum, daß sie Deine Daten nicht hätten. haben sie aber schon, wenn sich Deine Kontakte nicht an das Postulierte halten.
Ich hatte mal Deine Haltung - habe es aber aufgegeben, da das ein Kampf gegen Windmühlen ist.

Wenn du den Haken bei "ich wünsche einen Telefonbucheintrag" nicht machst, dann landest du auch nicht in selbigem.
Das erschwert die Kaltaquise am Telefon ungemein.

Das Gesetz dazu ist mir bekannt - allerdings hatte ich erst unlängst einen Anruf auf einer Nummer, die nie veröffentlicht wurde .. nur dummerweise war die dazugehörige Adresse schon seit 10 Jahren nicht mehr aktuell.
Wo diese Daten wohl herkommen?
Und die NSA braucht es dafür nicht. Solltest mal lesen, was aktuell derzeit über Dich alles gespeichert wird - und das quasi legal.

Schon wieder nur ungare Argumente.
Warum sollte ich Kontakte verlieren wenn ich sie nur mit meinem eigenen Server synchronisiere?

Bitte erst lesen und dann schreiben! Ich schrieb DATEN nicht Kontakte - die Kontakte sind doch nur ein Bruchteil!

Vielleicht haben die was geändert, aber afaik gleichen die nur Telefonnummern ab und gucken, ob sie einen Nutzer mit dieser Telefonnummer kennen.

Da wurde schon immer der Komplettzugriff auf Deine Kontakte angefordert.

Aber nochmal zu ownCloud: Solange Du keine Ende-zu-Ende-Verschlüsselung benutzt, kommt man an Deine Daten schneller als Du glaubst.
Und wenn "mir das unabsichtlich gelingt" ist es nichtmal ein Ausspähen von Daten.

 

[egalus]

Warum sollte ich auf https beim Zugriff auf meine Owncloud verzichten? Und den ssl key habe ich natürlich per csr erstellt, also nie aus der Hand gegeben.
Also bitte, tobe dich dran aus

Und bezüglich whatsapp, die können garnicht anders als bei Android den komplettzugriff zu verlangen. Das muss aber nicht heissen, dass alles übertragen wird.

 

[N2k1]

die können garnicht anders als bei Android den komplettzugriff zu verlangen

Weil? Das kann so schön getrennt werden unter Lollipop aufwärts.
Naja, https:// ist leider nicht sicher - aber das hast Du sicherlich bedacht.

 

[egalus]

Wie sillst du das unter Lollipop schön trennen? Whatsapp legt dir doch lokal User an, damit Android die Kontakte für dich mergen kann und dir bei Kontakten, die auch Whatsapp nutzen das auch anzeigen kann.
Außerdem ändert Google alle Nase lang das Sicherheitskonzept und die Konfigurationsmöglichkeiten und den Support für ältere Versionen schneidet man ja auch nicht gerne ab.

Warum sollte https nicht sicher sein?
Gut, man sollte Zertifikatspinning einsetzen und mir ist nach wie vor schleierhaft warum seit Ewigkeiten bei ssh die Fingerprints verglichen werden, bei https aber kaum einer ans Zertifikatspinning denkt.
Aber so lange du Zertifikatspinning mit Key benutzt, die dich nie verlassen haben sehe ich nicht, wo das unsicher sein sollte.
Natürlich traue ich der NSA durchaus zu noch weitere Lücken in den SSL Code geschleust zu haben, aber gegen die NSA wird es eh schwer sich abzusichern wenn die einen auf dem Kieker haben.

 

[N2k1]

Inzwischen sind wir hier weit weg vom Thema - ich will dir dennoch antworten:
Es unter Lolli recht einfach die Lese-Schreib-Rechte sehr fein einzustellen. Aber genau bei dem von Dir beschriebenen Szenario - WA darf Dir anzeigen, welcher Deiner Kontakte WA nutzt - wird ja alles ausgehebelt.
Wenn ich hier sage: ich weiß, wem ich schreiben will, und der Rest geht WA nichts an, dann verliere ich eine Komfort-Einstellung, gewinne aber die Entscheidung über meine Daten.

Aber auch hier gilt: Facebook/WA weiß, wer mich unter welchem Namen gespeichert hat - und mit welcher Mail-Adresse ich verbunden wurde.

Zum Zertifikat unter https: Ich gehe davon aus, daß Du SHA1 nicht (mehr) benutzt - denn dann wäre die Diskussion schon beende ;-). Aber Dir sollte bekannt sein, daß OpenSSL einige Fehler - schon in der Schlüsselerzeugung - hat. Diese 32k Schlüssel kann man "durchprobieren", wenn man es auf Deine Daten abgesehen hat.
Und dazu muß ich nicht für die NSA arbeiten. Wenn ich nur den tatsächlich erzeugten Pool durchprobieren muß, dann schaffen das die mir (privat) zur Verfügung stehenden Rechner in überschaubarer Zeit (und die beim Spoofing gewonnenen Daten werden dabei ja nicht verändert. Habe ich erst mal den passenden Schlüssel, dann steht Deine Tür weit offen.oder wechselst Du Deinen Schlüssel jede Woche?
Zu ownCloud speziell: Dir ist das hier bekannt? Owncloud : Security vulnerabilities
Und auf der 22. DFN Konferenz wurde folgendes festgestellt:

 

[egalus]

Zu WA:
Natürlich weiss Facebook wer dich unter welchem Namen angezeigt hat, wie sollte der Client es sonst anzeigen?

Zu SSL und Owncloud:
Das nichts 100% sicher ist ist völlig klar.
Und nein, ich nutze kein SHA1 sondern 4096 Bit RSA.
Und nein, mir ist nicht bekannt, das SSL aktuell Fehler in der Schlüsselerzeugung hat, gibt es da nen Link zu?

Und natürlich kann man Schlüssel durchprobieren, versuchen Owncloud Sicherheitslücken auszunutzen usw.
Nichts desto trotz ist das ein Akt der in so ziemlich jedem Land strafbar ist und Aufwand kostet.
Daher werden ihn große Unternehmen wohl eher nicht gehen. Warum auch, wenn viele andere Ihnen die Daten freiwillig aushändigen.

 

[N2k1]

Nichts desto trotz ist das ein Akt der in so ziemlich jedem Land strafbar ist und Aufwand kostet.

Ausspähen von Daten ist auch bei unverschlüsselten Daten strafbar - aber wen interessiert das schon?

Daher werden ihn große Unternehmen wohl eher nicht gehen. Warum auch, wenn viele andere Ihnen die Daten freiwillig aushändigen.

Genau das sehe ich genau anders herum. Wer verschlüsselt "hat wohl etwas zu verbergen". Würden alle Menschen ihre Mails verschlüsseln, dann wäre das doch schonmal ein erster Schritt. Ich konnte genau 2 meiner Kontakte überzeugen, fortan per PGP zu verschlüsseln. Ich selbst hatte auch mal ein PlugIn für PegasusMail geschrieben, welches eine doppelte Verschlüsselung nach RSA und DES implementiert hatte - aber wie schon geschrieben: Genau 2 meiner Kontakte hatten daran Interesse.
Links zu Fehlern in OpenSSL: Muß ich suchen. Aber in dem Link zu ownCloud sind ja auch solche Fehler aufgelistet - die nur zum Teil gepatcht wurden.
Gerade bei heartbleed wurde das ja mal eine Weile kritischer betrachtet.

 

[borisku]

@egalus: Selten jemanden hier so straight kontern gesehen... alle Achtung!