Ich arbeite schon sehr lange bei #Threema und sehe, dass hier gerade eine Panikwelle durchzieht, man die App jetzt plötzlich boykottiert, weil Threema verkauft wird.

@ljrk @thoralf @f09fa681 ändert ja nichts an den Umständen und an den Interessen der jeweiligen Akteure. Habe den ersten Verkauf auch nicht mitbekommen.

Prinzipiell ist jede Netzinfrastruktur welche single-points-of-failures in privater Hand hat problematisch. Das wird uns irgendwann sowohl bei Signal als auch bei Threema auf die Füße fallen.

@missqarnstein @thoralf @f09fa681 Ändert aber was an dem Statement "nie was Gutes". Denn das ist falsch.

Und ja, aus Resilienz-Gründen ist ein SPoF nicht toll. Aber bau Mal ein Multi-Device-Supporting Messenger mit PFS in dezentral. Bisher ist da nicht einmal die akademische Forschung wirklich weit... . Wenn man Signal & Co. einfach in dezentral machen könnte, wäre das passiert. Und nein, Matrix ist nicht die Antwort.

@ljrk @thoralf @f09fa681 btw is Threema nicht open-source. Der single point of failure aka der Server ist nicht open-source.

@ljrk @f09fa681 Naja, die Apps sind verfügbar.
Und das auch nur, weil sie damit die Qualität der kryptografischen Verfahren beweisen wollen.

@ljrk @thoralf @f09fa681 ich sehe dass das schwierig sein kann. Willst du bestreiten das ein Investor die Absicht hat finanziellen Gewinn zu machen und dazu jedes Mittel nutzen wird was ihm legal zur Verfügung steht?

@missqarnstein @thoralf @f09fa681 Der für die kryptographischen Audits relevante Teil ist open-source, und eben erst unter Afinum. Das war praktisch der erste Schritt den die gemacht haben... .

Und ja, der Server ist nicht open-source. Hat was mit dem Business-Modell zu tun. Signal kriegt unendlich viel Geld einfach gestellt. Matrix nutzt Militär-Contracts. Irgendwovon muss man leider leben in dieser Welt.

Ist Threema perfekt "resilient"? Nein. Aber daran ändert auch ein PE absolut nichts. Ich werde hier auch nicht weiter auf die Pros & Cons von Threema eingehen, das ist nicht die Diskussion die ich hier führen werde. Aber der PE-Wechsel als das absolute böse darzustellen zeigt nur wie uninformiert Leute sind.

@33dBm Ich sehe auch ein Abo-Modell am Horizont, aber ganz unabhängig von einem Investor. Jedem muss klar sein, dass man einen Service mit laufenden Kosten nicht ewig mit einem einmaligen Fixbetrag finanzieren kann. So viel Menschen gibt es auf der Welt nicht, die Threema nutzen wollen, dass die Rechnung auf Dauer aufgeht. Auch heute gibt es IIRC bereits eine seichte Querfinanzierung durch Threema Work.

Ich glaube aber nicht, dass es für den "Standard-Service" des Messagings ein Abo-Modell geben wird.

@ljrk @missqarnstein @f09fa681 Tatsächlich halte ich Matrix für die Antwort.
Das sehen auch einige Bundesbehörden so: #BundesMessenger

@ljrk @missqarnstein @f09fa681 Wer hat denn den Verkauf als "absolut böse" dargestellt.

Die Meinungen bewegen sich zwischen "macht es sicher nicht besser" bis "das könnte gewaltig in die Hose gehen".

Positiv sehe ich ihn allerdings gewiss nicht.

@thoralf @missqarnstein @f09fa681 Nicht auf die von mir angebrachten Aspekte, denn Matrix kann das nicht.

Die Bundesbehörden haben radikal andere Anforderungen an Chats als Privatmenschen. Bspw. Transparenzpflichten. Übrigens nutzen die Bundesbehörden kaum die föderalen Aspekte des Bundesmessengers, bzw. haben eine zentrale Verwaltung ihrer Server. Also ziemlich anders als Matrix in-the-wild.

Also nein, Matrix ist wirklich nicht die Antwort. Nicht auf diese Fragen. Einen Tod muss man sterben, und man kann natürlich Resilienz wichtiger sehen als PFS+Multi-Device+... . Das ist absolut legitim. Dann ist auch Matrix die richtige Wahl. Aber manchmal ist PFS & Co. wichtiger, dann ist Matrix die falsche Wahl.

Die Diskussion über Dezentral vs. Zentral ist so absurd, weil Dezentral immer als das klar Bessere dargestellt wird. Aber die eigentliche Diskussion sollte ja auch über die "Kosten" von dezentral gehen, also Abstriche in der Kryptographie bspw. Und die sind real.

@thoralf @missqarnstein @f09fa681 "soforr deinstallieren", "jetzt beginnt die Enshittification", ...

Was ändert sich denn durch den Verkauf? Es war schon vorher in Hand von PEs, alle die hier dauernd angebrachten Argumente ziehen also wenig.

Und nochmal: Der letzte PE hat als ersten Schritt Threema open-sourced. War das "sicher nicht besser"?

Warum fällt es hier allen so schwer einfach bei den Fakten zu bleiben?

Ja, natürlich kann jetzt alles den Bach runter gehen. Wir sollten das nicht unbeobachtet lassen. Aber die erste öffentliche Änderung (Stelle ausgeschrieben für CISO) ist jetzt wirklich nichts wo ich mir Sorgen machen muss.

@missqarnstein @ljrk @thoralf Das Interesse war wirtschaftliches Wachstum und das haben sie erreicht. Finde ich das geil? Nein. Hat es Threema direkt geschadet? Meiner Meinung nach auch nein. Die Ressourcen hat Threema tatsächlich geholfen, wieder etwas aufzuholen, was essenzielle Features und Kryptographie angeht (da ist aber immer noch einiges offen). Hat ein gieriger Investor das Potenzial, Threema zu enshittifyen? Ja, auf jeden Fall. Genauso ist aber auch das Potenzial da, weiter aufzuholen und auszubauen.

@f09fa681 @missqarnstein @thoralf

Threema ist alt. Threema startete mit Krypto-Messengers zu einer Zeit wo state-of-the-art war, irgendwie etwas mit PGP zu bauen. Das was Threema gemacht hat war innovativ, aber rückblickend absolut nicht perfekt. Dann kamen diverse Zwischenprotokolle. Und jetzt unter Afinum Ibex (Whitepaper öffentlich). Damit kann Threema jetzt endlich in vielen Bereichen wieder mithalten. Und das ist nicht anders als rein Positiv zu bewerten. Gibt noch zig andere Änderungen in den letzten Jahren die ich in anderen Posts aufgezählt hab. Vor 5 Jahren sah Threema noch sehr anders aus.

@missqarnstein @ljrk@todon.eu @thoralf @f09fa681

Ist bei Signal nicht auch nur der Client Open Source?

(Was wohl reicht, um das Protokoll zu analysieren, so dass die Sicherheit selbst dann recht hoch ist, wenn der Server kompromittiert wäre, aber halt Single Point of Failure)