Moin zusammen, ich habe festgestellt das Privnotes nach einer weile von Dritten geöffnet wurden, hat jemand das gleiche Erlebt? Seitdem versehe ich die Notes immer zusätzlich mit Passwort oder nutze Temp.pm oder Cryptogeon. Greetz
Moin zusammen, ich habe festgestellt das Privnotes nach einer weile von Dritten geöffnet wurden, hat jemand das gleiche Erlebt? Seitdem versehe ich die Notes immer zusätzlich mit Passwort oder nutze Temp.pm oder Cryptogeon. Greetz
Temp.pm ist die absolut schlechteste Wahl die du treffen kannst. Bleib bei Cryptogeon.
privnote blockiert außerdem etliche VPN IP's was ziemlich nervig ist, allein deshalb habe ich zu temp.pm gewechselt
setzt euch eigene note auf auf irgend einem server und fertig. zB: https://note.codingcartel.li/ wüsste jedoch nicht wie man eine nachricht die nur one-time-open ist zwischendurch öffnen kann ohne dass der nutzer was mitbekommt. was das LOGGEN betrifft ist das dann wieder eine andere story
Ja ich denke ich setze mir mal einen eigenen Note Dienst auf meinen Server. Greetz
also bei mir ist das noch nie passiert dass eine geöffnet wurde von dritten. nach 30 tagen zerstört sie sich halt automatisch selbst, sieht dann genauso aus als wurde sie gelesen
geht hier eher darum, dass wir nicht wissen können ob die unsere nachricht wirklich nicht loggen auf deren servern oder ob sie lügen.
Nope in meinen Fällen ist es sicher das jemand unbekanntes sie geöffnet hat. deshalb selbst Hosten dann haste Datenhoheit. werde ich wie gesagt demnächst umsetzen. Eine Empfehlung welche Software? Ich meine Veracrypt bietet eine solche an? Greetz
Für echte Datenhoheit benötigst du eine Ende-zu-Ende-Verschlüsselung, bei der die Schlüssel ausschließlich lokal auf einem sicheren Gerät gespeichert werden. Alles, was nicht lokal unter deiner Kontrolle ist, bietet mehr Angriffsflächen. Offshore-Server ändern daran nichts; sie erschweren lediglich den physischen Zugriff für einige Angreifer. PGP ist ein Beispiel für eine sicherere Lösung.
cryptgeon self hosted sieht man doch bei mir ^^
Einfach mit Passwort verwenden, dann bist du auf der sicheren Seite. Mit Passwort ist es faktisch unmöglich, dass jemand auf deine Note zugreift, der das Passwort nicht kennt. Privnote verschlüsselt clientseitig und sendet das Passwort zu keinem Zeitpunkt an den Server. Viele Grüße
Zu dem Zeitpunkt haben wir Privnote ohne Passwort genutzt. Mittlerweile nutzen wir den Anbieter überhaupt nicht mehr und nutzen die meiste Zeit Cryptogeon. Aber wie gesagt Hosten wir einen solchen Dienst ab demnächst auch selbst für noch mehr Sicherheit. Greetz & Stay Safe
und das willst du woher so genau wissen?
Das kann er nicht wissen nur der Anbieter xD Greetz
Auch ohne Passwort ist Privnote sicher. Wenn du kein eigenes Passwort festlegst, wird automatisch clientseitig eines generiert und in der URL (hinter dem #) eingefügt. Dadurch ist es selbst in diesem Fall unmöglich, dass Privnote oder jemand anderes, der die vollständige URL nicht kennt, die Notiz lesen kann. Privnote hat auch in diesem Fall nur die verschlüsselte Version deiner Note auf ihrem Server.
Indem du dir den JavaScript-Code im Frontend anschaust, haha. Im Network-Tab im Browser kann ich doch ganz klar sehen, was ich für Requests raussende. Du, als jemand, der Coding-Services anbietet, solltest das eigentlich auch wissen. xD
soll ich dir eben ein beispiel coden wo im frontend alles so aussieht als wäre ok ich aber alles schön im backend logge, ganz ohne irgendwelche network tabs? erzähl bitte keine scheiße wenn du absolut nicht kapiert hast was ich meine, sonst denkt noch jemand du bist dumm.
Bitte code das, würde mich sehr interessieren. Du kannst im Backend nichts loggen, wenn die Note verschlüsselt an den Server gesendet wird.
Wenn du im Frontend so tust als ob alles clientseitig verschlüsselt wird, aber in Wirklichkeit im Backend mitloggst, dann würde man das sofort merken. Genau dafür gibt es ja den offenen Quellcode im Browser: Jeder Nutzer kann sich den ausgelieferten JavaScript-Code anschauen und sehen, ob die Verschlüsselung tatsächlich lokal im Client passiert oder ob Klartext-Daten an den Server geschickt werden. Das ist der entscheidende Unterschied: Bei Privnote wird die Verschlüsselung nachweislich im Browser ausgeführt, bevor überhaupt etwas an den Server geht. Der Server bekommt also nur verschlüsselten Text und hat keine Möglichkeit, den Klartext zu kennen, solange er nicht den Key hat (der wiederum nur im Fragment der URL # steht und nicht mit an den Server übermittelt wird). Dein Beispiel mit „ich logge das einfach im Backend“ macht in diesem Kontext keinen Sinn, weil genau das transparent überprüfbar ist. Wenn Privnote so etwas tun würde, wäre das direkt sichtbar, da der Clientcode offen einsehbar ist. Mit anderen Worten: Der Punkt ist nicht, dass man dem Anbieter blind vertraut, sondern dass man die Funktionsweise objektiv überprüfen kann.
In diesem Screenshot ist nochmal ganz klar zu sehen, dass die Note besreits verschlüsselt zum Server gesendet wird und somit keine Möglichkeit besteht das Privnote mit liest. Kannst du auch ganz einfach nach machen indem du eine Privnote erstellst und einfach mal den Network-Tab im Browser öffnest und dir die Request anguckst. Bleibe bitte bei den Fakten und mach weiter deinen "coding service"
bitte informier dich, bevor du dich weiter blamierst. du beschreibst einen ideal-fall. nur weil der javascript-code im browser einsehbar ist, heißt das nicht, dass er vertrauenswürdig ist. jeder anbieter kann dir jederzeit manipulierten code ausliefern – selektiv, gezielt oder auf anweisung. wenn der server entscheidet, dir statt version a eine getarnte version b zu schicken – z. b. nur bei bestimmten ips, user-agents oder ländern – dann bringt dir dein "offener quellcode im browser" gar nichts. und solange privnote kein verifiziertes open-source-projekt ist, hast du keine kontrolle, ob du gerade den echten oder einen kompromittierten code ausführst. clientseitige verschlüsselung ist nur so sicher wie der ursprung des codes. wer das nicht versteht, hat websicherheit nicht begriffen.
ja, dein screenshot zeigt, dass die nachricht in diesem moment verschlüsselt übertragen wird. das heißt aber nicht, dass das immer so ist. du übersiehst den wichtigsten punkt: der javascript-code, der die verschlüsselung ausführt, wird bei jedem aufruf neu vom server geladen. das heißt, privnote kann dir jederzeit – gezielt, unauffällig, temporär – einen veränderten code ausliefern, der z. b. den klartext vor der verschlüsselung mitschickt.und nein, das würdest du im network-tab nicht sehen, wenn du nicht gezielt danach suchst oder nicht weißt, worauf du achten musst. dein vertrauen basiert auf der annahme, dass du immer denselben sauberen client-code bekommst du küken. kein open source, kein reproducible build, kein audit. nur „sieht grad verschlüsselt aus“. bleib bitte bei screenshots, ich bleib bei realer sicherheitsarchitektur.
Ich nehm mir mal Popcorn scheint Lustig zu werden
Du vermischst hier zwei verschiedene Ebenen. Natürlich kann ein Anbieter manipulierten Code ausliefern, das gilt aber für jede Webanwendung überhaupt, auch für deine „self-hosted“ Lösung. Wenn jemand gezielt deinen Server oder deinen Browser manipuliert, hast du ohnehin verloren. Der Unterschied ist: Bei Privnote ist transparent nachvollziehbar, dass die Verschlüsselung im Browser passiert. Das kann jeder technisch prüfen. Dein Argument „ja, aber theoretisch könnten sie ja etwas anderes ausliefern“ ist nichts anderes als ein generelles Misstrauen gegenüber jeder Web-App. Dann dürftest du auch kein Online-Banking, keine Cloud-Dienste und keine Webmail nutzen. Wenn man so konsequent denkt, bleibt als einzige Lösung: Offline-Tools wie PGP. Für den Praxisalltag ist Privnote mit clientseitiger Verschlüsselung und optionalem Passwort aber nachweislich sicher. Deine „was-wäre-wenn“-Hypothese macht das nicht weniger korrekt, sie ist nur Paranoia ohne Belege.
ok du bist der schlauste. danke für das nette gespräch aber ich hab keine zeit mit dir küken über sicherheit zu diskutieren. meine meinung ist klar, fakten hab ich dir genannt - wenn du das ignorierst ist das dein problem nicht meins. :*
So, ich habe jetzt extra auf Donator upgraded, damit ich hier Diskutieren kann ohne auf approval zu warten Dein selfhosted cryptgeon nimmt den Code von deinem Webserver. Daher kannst du dort nach deiner Logik auch alles ändern. Wenn man den JS-Code nicht bei jedem Aufruf der Seite checked. Vor allem habe ich mehr Vertrauen in Privnote als in deine Seite. Der Privnote Code ist deutlich besser verständlich und leichter zu prüfen, als der Code auf deiner Website. Vergleiche: https://privnote.com/static-58c8928/js-min/common.js Deine Website lädt 20 verschiedene JS Dateien. Auch wenn dies durch die verwendete Framework entsteht, ist dein Code einfach schlechter zu prüfen. Fazit: Verwendet nicht irgendeine self hostes cryptogeon, sondern nur das offizielle. Wie Codingcartel bereits erwähnt hat:
du sagst also allen ernstes, ich hoste cryptgeon selber für mich und meine zwecke und manipuliere dann meinen eigenen code um mich zu ficken? und ein open source script zu nutzen ist schlechter, als einem closed source code zu vertrauen? hast du den sinn meines beitrags komplett verpasst? nochmal für komplette legastheniker: ich sage, jeder soll am besten selber für sich hosten um nicht abhängig davon zu sein, ob die den code manipulieren oder nicht bei privnote und co. angekommen? gut. gut dass du extra dem forum geld gegeben hast wegen meinem beitrag, aber bitte entfern dich du bist dumm wie scheiße.
Kommt bei mir tatsächlich auch immer, mit STRG + R, komme ich dann aber immer drauf.
Ich sagte ganz klar: Ich habe nur gesagt, dass Privnote auf jeden Fall safer ist, als deine Selfhosted Website zu verwenden. Am sichersten ist man natürlich, wenn man selber die Nachrichten verschlüsselt und selbst hosted.
inwiefern denn? und wo sagte ich, man soll meine benutzen? die wurde nur als beispiel hier reingesendet um zu zeigen wie selfhost aussieht. was denn nun? selfhosted verwenden, oder nicht verwenden? was ein typ.
Sein eigenes selfhosted kann man gerne verwenden. Aber bevor man irgendein random selfhosted verwendet, sollte man das offizielle verwenden.
https://privatebin.info/directory/ regelt...
@devservices Können wir uns darauf einigen, dass Privnote sicher ist, wenn der aktuelle Frontend-Code nicht manipuliert wird?
können wir, jedoch greift bei mir einfach die paranoia und ich traue nichtmal mehr denen obwohl ich sie seit jahren genutzt hab es ist immer eine frage davon, was halt möglich is und was am ende wirklich eintritt. ich sage nicht, dass privnote das macht und 100% unsicher ist, ich sage nur es ist möglich und wir würden davon nix merken. denke da sind wir uns einig. LG
warum sagen soviele dass Temp.pm so eine schlechte Wahl ist ? Woran liegt es ? Hab das auch schon im Thread von diesem Meth Vendor gelesen, der hat auch gesagt kein Temp.pm nutzen. Why?
Weil Temp.pm nicht clientseitig verschlüsselt. Die Note wird im Klartext(unverschlüsselt) an deren Server gesendet. Dies ist bei Privnote und den meisten anderen Alternativen nicht so.