Follow

Folgende Informationen hat der Messenger Signal über seine Nutzer gespeichert:
- Letzte Verbindung zum Server
- Datum, an dem der Account erstellt wurde
- Sonst nichts

signal.org/blog/looking-back-a

@kuketzblog ist für mich unglaubwürdig. Die US-Gesetze können die genauso dazu zwingen, in Zukunft mehr zu speichern, ohne es den Nutzern mitzuteilen. So lange weder Server noch App Code wirklich open source sind (also selbst kompiliert genutzt werden können), so lange ist Signal (a) per se unsicher da unkontrollierbar und (b) verdächtig, da die Entscheidung zu dieser Politik für mich ohne Hintergedanken nicht nachvollziehbar ist.

@held @kuketzblog also zunindest für den Appcode ist das definitiv der Fall. Man hat hier sogar reproducible Builds erzeugt um zu ermöglichen eine Version von Google Play mit einem eigenen Build zu vergleichen. (Zumindest wenn das Wiki keinen kompletten Unsinn erzählt, da ich es bisher noch nicht selbst ausprobiert habe)

github.com/signalapp/Signal-An

@held
Wenn mehr auf den #signal Servern gespeichert werden soll, muss der client auch mehr Daten liefern. Also muss der client geändert werden, was auffallen wird, weil er opensource ist.

@kuketzblog

@jedie @kuketzblog er ist nicht open source. OWS stellt irgend eine source zur Verfügung, lässt dich aber damit nicht deren Ökosystem nutzen. Es bestehen also erhebliche Zweifel, dass der offene Code dem App Code entspricht. Daher auch kein Fdroid.

@jedie @kuketzblog na dann kompiliere ihn mal. Du wirst ihn nicht nutzen können. OWS (Signal) lässt das nicht zu...

@held @jedie @kuketzblog ich nutze selbst kompilierte Version auf Android, auf signals github gibt es etwas veraltete Anleitung zum selberbauen. Läuft problemlos, nur die Akku ohne Google services wird mehr beansprucht

@psdnmsc @held @jedie @kuketzblog D.h., dass die selbst compilierte Signalversion nur WebSockets nutzt auch wenn die Google Play Services mit GCM/FCM verfügbar sind?

@RogerWilco @held @jedie @kuketzblog gute Frage, ich habe keine Google play services, gehe aber davon aus, dass es versucht wird für FCM zu registrieren falls Google play services verfügbar sind.

@kuketzblog sie könnten aber bestimmt wesentlich mehr Metadaten erheben oder dazu gezwungen werden.

Zum anderen wird Google Messaging verwendet. Alle Teilnehmer sind dort permanent mit ihrem Google Account angemeldet. Da das auch eine Komponente von Signal ist darf das nicht verschwiegen werden. Ich nehme an, dass die Bilanz dann wesentlich schlechter ausfällt.

@kuketzblog genau den Absatz finde ich auch diskussionswürdig. Meine Erfahrung zu dem Thema ist: Wer wechselwillig ist, ist es nach dem Wechsel nicht mehr. Er sollte also gleich richtig wechseln - und nicht zu so einer dubiosen Bude. Und gerade die äußerst wertvollen Metadaten können problemlos gesammelt werden, denn den Server kann wirklich keiner kontrollieren (auch nicht durch die vielbeschworenen reproducible builds), erst recht nicht, wenn der Firmensitz in den USA ist.

@nipos @kuketzblog Was für jeden Dienst gilt, den man nicht selbst administriert. Und selbst da weiß man nicht, obs jemand gehackt und verändert hat.

@kuketzblog
Soweit ich weiß hat sich an der Basis für meine Kritik von Anfang 2017 nichts geändert: blogs.fsfe.org/larma/2017/sign
Betrifft natürlich nur die, die Google Play nutzen.

Nur weil Signal dafür sorgt, dass die Daten nicht bei Ihnen anfallen, heißt das noch nicht, dass keine Daten anfallen.

@kuketzblog Wie ist Ihre Bewertung der Tatsache, dass die App nun Algorithmen zur automatischen Gesichtserkennung beinhaltet? Den meisten Dingen wohnt ja ein Dualismus inne.

@kuketzblog
Session ist doch ein Clon auf Basis von Signal Opensoure.

Dann wäre es ja möglich Signal auch auf anderen Servern zu betreiben.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!