Datenschutz

Qabel – „schlüsselfertiges Ökosystem mit echtem Datenschutz“ (Update: Link zum GitHub-Repo & Lizenz-Berichtigung)

qabel

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Heute wird in Hannover die Alphaversion von „Qabel“ vorgestellt. Qabel – klingonisch in etwa „schwer abzuhören“ – will ein „schlüsselfertiges Ökosystem mit inhärentem Datenschutz“ sein. Möglich machen soll das eine Plattform, die es erlaubt, einfach, aber dennoch so sicher wie mit dem aktuellen Stand der Technik möglich zu kommunizieren und Daten auszutauschen und dabei noch Metadaten zu vermeiden. Dafür setzt man auf Ende-zu-Ende- statt Transport-Verschlüsselung für alle Anwendungen wie Cloud-Dienste, Chat, Mail, Soziale Netzwerke, VoIP etc. Mit der Fülle an unterstützten Diensten will sich Qabel auch von anderen Ansätzen abgrenzen. Statt vieler einzelner Anwendungen, die mehr Sicherheit bieten und die es zweifelsohne bereits in großer Bandbreite gibt, bietet die Plattform ein leicht bedienbares Komplettpaket an Anwendungen und kann damit dem Normalnutzer den Übergang hin zu sichererer Kommunikation erleichtern. Das Konzept wird in diesem Video noch einmal knapp illustriert:

Involviert in das Projekt ist ein bekannter Name: Meinhard Starostik. Starostik ist heute Verfassungsrichter in Berlin, 2007 war er maßgeblich an der Sammelklage gegen die Vorratsdatenspeicherung beteiligt, die 2010 vor dem Bundesverfassungsgericht Erfolg hatte und damit die Vorratsdatenspeicherung in Deutschland außer Kraft setzte. Jetzt engagiert er sich neben der rechtlichen auch für die technische Seite sicherer Kommunikation.

Was an Qabel zunächst skeptisch machen könnte: Die Software ist, um sie vor Investoren zu schützen, zum Patent angemeldet. Doch die Firma Praemandatum aus Hannover, die die Entwicklung koordiniert, hat das Schutzrecht an Starostik verschenkt, aus Schutz vor sich selbst, wie Peter Leppelt von Praemandatum getreu dem Firmenmotto – „Bitte vertrauen Sie uns nicht. Es ist nicht nötig“ – in der aktuellen Spiegel-Ausgabe sagt:

Wir entmachten uns selbst, präventiv für den Fall, dass unsere Firma irgendwann einmal böse oder gierig wird.

In Zukunft soll das Patent von einer europäischen Genossenschaft gehalten werden. Die Lizenz, unter der Qabel veröffentlicht wird (Qabel Public License Version 0.1), erlaubt darüberhinaus leider nur nicht-gewerblich freie Verwendung und verbietet darüber hinaus eine militärische Nutzung.

(Korrektur: Wir haben in einer früheren Version von Qabel als Open Source gesprochen. Aufgrund der obigen Einschränkungen ist die Qabel-Lizenz aber nicht mit der Open-Source-Definition der Open Source Initiative vereinbar)

Um Qabel möglichst sicher zu machen und Vertrauen zu schaffen soll das Programm vor Veröffentlichung der Version 1.0 einem ausführlichen Audit unterzogen werden, finanziert über Crowdfunding auf Indiegogo (für 50€ gibts den Aluhut mit dazu). Zusätzlich dazu ist aber auch jeder aufgefordert, den Code selbst zu inspizieren und die Plattform weiterzuentwickeln. Die erhoffte Beteiligung vieler ist auch einer der Gründe, warum Qabel bereits in einer so frühen Alphaversion veröffentlicht wurde. Denn sichere Kommunikation funktioniert nur dann, wenn möglichst alle sich schützen.

Update: Das Qabel-GitHub-Repository zum Anschauen und Ausprobieren ist jetzt online!

Wir sind gespannt, wie sich das Projekt entwickelt und wünschen viel Erfolg!

Weitersagen und Unterstützen. Danke!
42 Kommentare
  1. Klingt irgendwie nicht so sicher, wenn Qabel die Zugriffsberechtigungen steuert (Video 1:01-1:10). (Habe noch nie etwas verschlüsselt und keine Ahnung von dem Kram)

  2. Die Lizenz ist nicht einmal kompatibel zur GPL. Durch den Ausschluss kommerzieller Nutzung dürfte es weder nach Ansicht der „Free as in beer“ – noch der „Free as in speech“-Fraktion freie Software sein.

      1. Ich sehe keine Korrektur. Im Text steht immer noch „freie Open-Source-Plattform“. Die Software ist weder „frei“ im Sinne der FSF noch Open Source im Sinne der Open Source Initiative.

        Siehe Punkt 6 der Open Source Definition:

        „The license must not restrict anyone from making use of the program in a specific field of endeavor. For example, it may not restrict the program from being used in a business, or from being used for genetic research.“
        http://opensource.org/osd-annotated

      2. Jetzt steht im Text: „ist die Qabel-Lizenz aber nicht mit der Open-Source-Definition der Free Software Foundation vereinbar“

        Auch das ist *falsch*. Für die Open Source Definition ist die „Open Source Initiative“ verantwortlich, nicht die „Free Software Foundation“. Weshalb liefert man euch die Informationen und Links frei Haus, wenn ihr euch trotzdem nicht drum kümmert.

        -1

    1. Stimmt, es ist keine Freie Software im Sinne der FSFE. Vor allem aber deswegen, weil es die Nutzung durch Militär und Geheimdienste ausschließt.
      Wir wissen das, und haben uns nach vielen (auch internen) Diskussionen für dieses Modell entschieden. Auch im Hinblick auf die Finanzierung von OSS Projekten.
      Gruß vom Qabel Team!

      1. Vorab: Die Idee ist super, die involvierten Personen wirken kompetent und haben einen guten Ansatz, die Praesentation gefaellt.

        Aber koennt ihr ein Bisschen mehr zu der Lizenzproblematik sagen?

        1. Am Ende heisst es: „This License shall be governed by German Law.“ Die Lizenz gibt es aber nur auf englisch und in jedem zweiten Satz wird Bezug auf das Copyright genommen, das es im deutschen Recht nicht gibt. Wurde dieser Text wirklich von Anwaeltinnen mit Erfahrung im Lizenzrecht geschrieben? Das Verfassen einer wasserdichten Lizenz soll ja eine sehr anspruchsvolle Angelegenheit sein.

        2. Das Patent wird treuhaenderisch gehalten, aber was ist mit den Urheberrechten der Qabel GmbH? Wir muessten euch doch vertrauen, dass ihr die Gesellschaft niemals verkauft. Sonst koennten die neuen Inhaberinnen einfach die Lizenz aendern, und, da es keine freie Lizenz ist, koennen wir auch nicht forken.

        Damit so ein Projekt wirklich weite Verbreitung finden kann, muss es dauerhaft unbedroht von (Lizenz-)rechtlichen Unsicherheiten sein. Nach dem ersten ueberfliegen eurer Infos scheint das so nicht gegeben zu sein (IANAL).

        Im Hinblick auf euren Claim „Bitte vertrauen Sie uns nicht. Es ist nicht nötig.“ wuerde ich mir noch eine gruendlichere Betrachtung dieser rechtlichen Aspekte wuenschen.

      2. „weil es die Nutzung durch Militär und Geheimdienste ausschließt“

        Wie bitte?! Quabel ist der offenbar tatsächlich der Auffassung, dass Geheimdienste sich an Lizenzrecht halten!

        Ein gefährlicher Unfug. Und netzpolitik.org macht auch noch Werbung dafür.

      3. Der Teilsatz lautet „… nor for military, intelligence or related
        purposes.“ Also auch nicht, was irgendwie mit Militär und Geheimdiensten zu tun hat.

        Das Problem ist jedoch, wie man „Militär und Geheimdienste“ definiert, die ja laut Qabel-FAQ „die Bösen“ sind. Jedoch wäre beispielsweise eine Befreiungsbewegung, die ein diktatorisches Regime bekämpft, ebenfalls Militär, und dürfte die Software damit nicht nutzen. Eine Organisation wie die französische Resistance im 2. WK wäre von der Nutzung ausgeschlossen.

        Bei Geheimdiensten wird es noch schwieriger. Lt. Wikipedia ist ein Geheimdienst eine Organisation, die nachrichtendienstliche Mittel benutzt. Dies sind „Methoden, Gegenstände und Instrumente der heimlichen Informationsbeschaffung“. Das könnten beispielsweise auch Whistleblower sein.

        Mal provokant gefragt: Dürften damit Organisationen wie Wikileaks oder Anonymous, die sicher auch heimliche Informationsbeschaffung betreiben, die Software nicht nutzen?

        Genau deswegen – wenn man es den „Bösen“ verbietet, verbietet man es zwangsläufig auch irgendwo den „Guten“ – ist in freier Software eine solche Klausel nicht enthalten.

      4. @Torsten Die OSI versucht zwar gerne den Begriff OpenSource zu monopolieren, aber prinzipiell heisst das erstmal nur das die Quellen auf die ein oder andere Weise frei zugänglich sind. Das kannst du blöd finden, ist aber so. Und die OSI ist eine Industrieinitiative … naja. Ob so anti-Militärklauseln etc. Sinn machen oder nicht ist zwar fraglich, aber schaden tun sie auch nicht.

    2. Es ist immer wieder bedauerlich, wenn Projekte sich nicht für eine bewährte Standard-Lizenz entscheiden, sei es GPL, Apache-Lizenz oder BSD/MIT usw. Die Nachteile sind weit größer als die Vorteile, wie man gerade erst bei Truecrypt gesehen hat.

      In Fall von Qabel bedeutet es, daß weder Debian noch sonst irgendeine der freien Software verpflichtete Linux-Distribution die Software in ihr Repository aufnehmen kann. Will man Qabel mit GPL-Software linken, so darf diese Software überhaupt nicht vertrieben werden.

      Bitte überlegt Euch das nochmal! Entscheidet Euch bitte für irgendeine Standard-Lizenz, die frei im Sinne von DFSG und OSD ist!

      1. Ergänzung: Der Teilsatz auf der Website „Qabel … bietet …, Open-Source-Entwicklern … an, sich die Plattform zu eigen zu machen“ ist insofern unsinnig, da das Lizenzmodell für Open-Source-Entwickler (in jeder heute üblichen Definition) ein Ausschlußkriterium darstellt.

  3. Auf der Website heißt es: „Es entsteht die weltweit erste Softwareplattform, die Kommunikation und Datenaustausch im
    Internet einfach und gleichzeitig so sicher wie derzeit technisch möglich macht.“

    Das stimmt so nicht, denn es gibt schon einige Vorreiter auf diesem Gebiet (z.B. Trustner – http://www.trustner.com). Eine Plattform für einfache verschlüsselte digitale Kommunikation.

  4. Stimmt, es ist keine Freie Software im Sinne der FSFE. Vor allem aber deswegen, weil es die Nutzung durch Militär und Geheimdienste ausschließt.
    Wir wissen das, und haben uns nach vielen (auch internen) Diskussionen für dieses Modell entschieden. Auch im Hinblick auf die Finanzierung von OSS Projekten.
    Gruß vom Qabel Team!

  5. Ein paar technische Details wären ganz nett? Keine Metadaten? Basiert es auf P2P? VPN? In der FAQ wird hybride Verschlüsselung „Wie bei PGP/GPG “ erwähnt? Also ein eigenes Protokoll?

    Ist mir noch zu wage..

  6. Also ich kenn das mit einem client auch schn von woanders her. Definitiv aber ein löbliches Vorhaben. Auch wenn mir dieses orange ziemlch vor den Augen flimmert.

  7. Einen schönen guten Abend,

    ich wusste grad nicht ob ich lachen oder weinen soll. Seit einem Jahr treibt uns die die NSA um und ausgerechnet jetzt fällt mir ein warum ich Amerika manchmal liebe.

    Ich lese und sage und schreibe 7 Kommentare und ALLES nur nörgeln, kritisieren und das Haar in der Suppe suchen.

    Wie wärs mal mit Applaus, Gratulation, „SUPER – ich werds unterstützten“ oder ähnlichen Kommentaren.

    Statt einem Volk von Dichtern und Denkern,
    ein Volk von Nörglern und Stänkern.
    (nicht korrekt aber egal hier)

    Und ja, um Allem vorzubeugen, ich werd mindestens 50 euro überweisen und es nicht nur bei Worten hier belassen.
    Und ja, hier ein öffentlicher Dank an die Gruppe um das Quabel-Team.

    1. Auch von mir ein „Großartig, weiter so!“
      Das ist das erste mal, dass ich ernsthaft drüber nachdenke, Social Media zu nutzen (okay, ich geb’s zu, das zweite mal nach Diaspora – aber da hab‘ ich mich dagegen entschieden).
      Gibt’s den Code auch kompiliert, oder muss ich den selber bauen? Wenn ja, wo ist die makefile (oder benutzt ihr was anderes als gcc/MinGW)? Und, sind deterministische Builds (wie bei Tor) geplant, dass ich überprüfen kann ob die Binaries auch wirklich von dem Quellcode kommen?
      Das (hoffentlich öffentliche) Audit zu machen ist auch eine sehr gute Idee. Sollte jeder machen der behaupten will etwas sei sicher. Bei Krypto ist es leider verdammt leicht kritische Fehler zu machen die nicht jeder sofort sieht. Den Quellcode zu veröffentlichen ist daher oft nicht genug.

  8. Da muss (werde) ich Andreas B. recht geben!
    Immer nur nörgeln. Warum nicht einfach mal was unterstützen, sei es finaziell oder mittels eigener Programmierung. Es muss ich was bewegen und das ist ein Schritt in die richtige Richtung.

    Weiter so Qabel und ein paar Euros von mir!!!

  9. Von mir gibt’s Applaus Applaus Applaus dafür, dass hier Leute was machen, unternehmen, anbieten! Denn nur jammern hilft nix! Werde mich nach kürzester Bedenkzeit beteiligen! Aluhut muss ich haben!

  10. Welche Definition von „open Source“ wird hier eigentlich gehandhabt? Sicher nicht die der Open Source Initiative, wie bereits mehrfach unter Verweis auf Punkt 6 der Open Source Defintion hier angemerkt wurde.

    Der Ausschluss kommerzieller Verwendung ist nicht mit Open Source Prinzipien vereinbar. Punkt. Basta.

    So wie diese Lizenz gestrickt ist, sollte man es eher als „Shared Source“ bezeichnen, so wie es Microsoft auch tut.

    Open Source zu verwenden ist mehr als nur Etikettenschwindel, es ist ein glatte Falschaussage.

    Ich habe die Open Source Initiative gebeten mal bei Qabel und Indiegogo nachzufragen und für Klarstellung zu sorgen.

    Jan Wildeboer

    1. Mein Güte, bei der Lizenz muss also noch ein kleines bisschen nachkorrigiert werden….na und?
      Bitte sag jetzt nicht, dass du wegen so einer winzigen Kleinigkeit das ganze Projekt schlecht findest.

      Andreas (#9) hat leider recht…sehr traurig.

      @Qabel: Ein Schritt in die richtige Richtung (auch wenn der Weg noch weit ist). Daumen hoch, weiter so!

  11. Die unseriöse fund-raising Kampagne ist *erfreulicherweise* erst einmal gestoppt worden:

    „WICHTIG!!!
    Seit heute Vormittag ist keine Überweisung für unsere Kampagne mehr möglich. Wir konnten bisher nicht klären, an welcher Stelle es genau hängt. Ob an PayPal oder Indiegogo …wir kümmern uns momentan darum.

    Vielen Dank für eure bisherigen Unterstützungen! Wir hoffen, es kann gleich weitergehen. :-/“
    https://www.indiegogo.com/projects/mehr-digitale-autonomie-mit-qabel-von-alpha-zur-1-0

  12. Eigentlich klingt es nach einer super Sache, doch dann habe ich einen Blick in die Sourcen und den Patentantrag geworfen.

    Wenn ich mir den Patent Antrag so durchlese dann steht da:
    – https ist optional (naja da ja schon verschlüsseltes Zeug nur noch übertragen wird muß man es ja nicht noch mal verschlüsseln, aber was ist mit Authentifizierung)
    – Authentifizierung findet nicht statt. Jeder kann schreiben, jeder kann lesen (Wow das ist doch toll! Bin ich der einzige der plötzlich zig Ideen hat wie man den Server ganz einfach tot kriegt? Ich meine ein Server im Internet auf den man schreiben kann ohne Authentifizierung ? Braucht man noch mehr?)
    – polled Broadcast ( Jeder der etwas empfangen will muß alle gesendeten Daten runter laden und dann einzeln prüfen ob er sie wohl entschlüsseln kann. Wie mag das wohl aussehen wenn es plötzlich Millionen von Nutzern gibt? Wohl eher gar nicht, oder?)
    – out of band ( Alles interessante, also Schlüssel Austausch, auf welchem Server man sich bewegt,.. muß „out of band“ soll also heißen „überleg Dir selber wie du die Daten sicher zu deinem Kumpel bekommst“ heißen. Bloß wenn ich sowieso schon sicher Daten übertragen kann wofür genau brauche ich dann noch Quabel? Steht dieser Kram (publik key, UserID, ServerID, Server URL,.. bei den Leuten auf der Homepage. Wenn ja ist das eine tolle Sache, hilft nämlich nochmal beim häcken des Servers wenn man die ServerID kennt, dann kann man nämlich gezielter den Account von jemand speziellen und allen Leuten auf der selber ServerID platt machen.)

    Naja und die Sourcen, da ist noch viel im argen. Das meiste sind nur Gerüste. Also viele Funktionen die einfach nur da sind aber nichts machen und dann noch viele TODOs. Dafür ist aber schon JSON nach implementiert worden, genau wie BASE64. Ist ja auch viel zu langweilig wenn man Bibliotheken für solche Standard Formate nimmt, denn dann gibt es viel zu wenig (schwer zu findende) Fehler.

    Bei den Sourcen könnte man ja noch Hoffnung haben können das es besser wird. Aber ein Konzept das so viele so offensichtliche Probleme hat?

    Naja wies steht es so schön bei Indigogo: „Flexibler Zielbetrag“ Das heißt die bekommen das Geld auch wenn Ihr Ziel Betrag nicht erreicht wird. Und darum geht es ja hier. Geld einzusammeln. Wenn sich nachher herausstellt das es nicht funktioniert ist man dann auch ganz doll traurig. Was kann man auch sonst mit einem Konzept machen das einfach nicht funktionieren kann.

    1. Das passiert, wenn ein Technikphilosoph ein solches Konzept entwirft (Karsten Weber nämlich).

      Danke für die Analyse, ich werf jetzt auch mal einen genaueren Blick. Das sollte Anna Biselli auch tun.

    2. Hm hatte jetzt auch mal Zeit nen Blick drauf zu werfen. Also es fehlt natürlich noch vieles und bei einigen Sachen seh ich noch ein Fragezeichen vor Augen, aber das Konzept ansich hat Potential. Mal auf die Implementierung abwarten. Zu deinen Punkten.
      1) Warum sollte ich mich als Client auf eine Authentifizierung verlassen, wenn man vom Grundkonzept davon ausgeht, dass der Server eh kompromittiert ist? Find ich schon schlüssig.
      2) Auf den Drop Server darf jeder schreiben und lesen, aber dies ist ja auch „nur“ das Nachrichtentreff, wo du andere informieren kannst, was du mit ihnen teilen willst. Inwieweit man damit dann (z.B.) bessere (DDoS) Angriffe fahren kann, weis ich nicht. Der Storage Server ist ohne Authentifizierung ReadOnly.
      3) Hm nein?! Zumindest nicht nach Folie 5 im concept pdf auf doc-master….den entsprechenden Code hab ich mir zugegebenermaßen nicht angesehen.
      4) Das ist so nen Punkt, wo bei mir noch das Fragezeichen aufm Kopf klebt ;-) Wäre natürlich unschön, kA.

      Ein weiteres Fragezeichen: soweit ich das sehe, ist deren Grundansatz Metadaten zu verschleiern der, dass prinzipiell alle Teilnehmer allen (verschlüsselten) Content lesen können und man daher als Server nicht mehr sicher sagen kann, wer sich nur den Content geholt hat und wer ihn dann auch wirklich entschlüsseln konnte. Mag auch stimmen, in der Praxis dürfte das Verschleiern aber doch dann verdammt viel Traffic erzeugen?!

      Mein Fazit: Hat Potential, wir brauchen mehr Leute, die mal wirklich ernsthaft drüberschauen ;-)

      1. Das Konzept _hätte_ Potential, wenn es funktionieren würde.
        Zu deinen Punkten:

        1.) Hier geht es um den Schutz des Servers. Der Server sollte sich vor den Clients schützen indem er nur Daten von Client akzeptiert die sich Authentifiziert haben. Der Client vertraut natürlich nicht einer Authentifizierung die der Server macht. Und Authentifizierungsdaten unverschlüsselt senden ist sagen wir mal ungeschickt.

        2.) Guter Punkt. Es geht nur um den „drop Server“ nicht um den Storage Server. Mann muß aber schon eine tief rosa gefärbtes Bild des Internets haben wenn man riskiert einen Server ins Internet zu stellen auf dem dann die ganze Welt etwas Speichern darf. Vor allem wenn das was einer dort Speichert von allen die diesen Server benutzen gelesen wird. Wenn also $BadGuy 1 MB an den Drop Server schickt (natürlich in ganz vielen kleinen Stücken) dann müssen alle N Clients (N ist hoffentlich groß, da sonst das mit der Meta Daten Verschleierung nicht funktioniert) jeweils ein MB runter laden. Dank „drop Server“ kann $BadGuy also um Faktor N besser die armen Quabel Nutzer ärgern,…

        3.) Oh doch! Auf der Folie 5 steht: „Bob polls on one or many drop servers for messages“. Genau diese Poll ist gemeint. Das er nciht nur seine NAchricht runter läd wird schon durch den nächsten Satz klar. Da steht „[Bob] tries to decrypt incoming messages with his private key“. Er versucht zu entschlüsseln, denn wenn das gar keine Nachricht an Ihn ist dann schafft er es nicht. Im Patent steht noch drin das Bob nur nach Nachtrichten Fragen kann die seit einer Bestimmten zeit eingetroffen sind (Da steht nichts zu Zeitzonen, Sommerzeit,..) er muß also nicht jedes Mal alle Nachrichten seit Anbeginn der zeit runter laden. Aber definitiv alle Nachrichten die über diesen Server ausgetauscht werden und nicht nur die die an Ihn gingen. In der Press Conference wurde zwar angedeutet das noch über einen Hash gefiltert werden könnte, aber wenn beliebige Crypto verwendet werden kann dann kann das nicht funktionieren. Jedenfalls nicht ohne wieder Daten preiszugeben,..

        4.) In der Press Conference wurde der Eindruck erweckt das das der Client irgendwie macht indem er eine „Normale email Addresse“ auflöst. Wie das genau funktionieren soll (und dies ist ja der Haupt Knackpunkt der Konzepts) ist nicht klar. Obwohl gesagt wurde es währe alles gut Dokumentiert. Ich frage mich warum sie diese Dokumentation noch zurück halten.

        Das mit den Meta Daten ist so ein Punkt. Wenn man es so macht wie von denen dargestellt. Dann hast Du recht, dann braucht man sehr viel Daten. Beim Drop Server gehen deswegen ja alle eingehenden Daten an alle Empfänger. Zusätzlich sollten auch die normalen Client öfter mal Nachrichten an den Server Drop Server schicken die nur zufällige Daten enthalten. Schlimm ist es auch beim Storage server. Wenn der Server nicht wissen soll wer von wem Daten bekommt, dann muß man viel Mehr Daten als die eigentlich gewollten Lesen und zwar zufällig aus den Daten der anderen Kunden. Oder man nimmt Tor zum lesen. Ich weiß nicht ob Tor das so toll findet.

        Ich würde mich ja deinem Fazit anschließen, wenn es nicht hier um das grundsätzliche Konzept gehen würde, und wenn nicht schon fest Stehen würde das selbst Wenn die Community hilft das Konzept zu verbessern trotzdem alle Einnahmen an Quabel fließen.

        Sinnvoll wäre es gewesen nicht eine Firma zu haben die dann ein Patent einem gemeinnützigen Verein schenkt, aber dann für die Benutzung dieses Patents bezahlt werden will. Der Verein alleine hätte gereicht. Der sollte das Geld einsammeln und dann wird davon die Software Entwicklung bezahlt und die Software selbst wird Open Source. So würden auch Open Source Entwickler sich vielleicht damit intensiver beschäftigen. Die Quabel Leute würden dann mit Wartungs- und Support Verträgen für Firmen die Quable nutzen wollen schon genug Geld verdienen. Aber nein sie wollen ja das andere Firmen die Server betreiben und an Sie Lizenzen zahlen. Sie wollen jetzt was großes lostreten und nachher fürs nichts tun bezahlt werden. Und damit das klappt sollen die Open Source Deppen auch noch die Arbeit machen,..

      2. 1) Wenn sich der Client authentifizieren müsste, wie verhinderst du dann, dass der Server wiederum seine Clients trackt? Müsstest es in irgendeiner Weise ja wieder anonymisieren…

        2) Also ich glaube, so schlau sind sie dann schon, dass nicht jeder einfach alles auf diesen Drop Server hauen darf. Die Nachrichten werden schon fest spezifiziert sein…hoffe ich doch mal :-D Ansonsten haste recht.

        3) Achso, da hab ich dich falsch verstanden, ich dachte du meinst die Daten vom Storage Server. Die Nachrichten vom Drop Server ja, das stimmt. Hm ob das skalieren wird, kann ich nicht abschätzen. Erinnert mich ein bisschen an Bitcoin.

        Zum Lizenz Zeug: Hab ich kein Problem mit! Das jetzt die „OpenSource-Deppen“ die Arbeit machen, bezweifel ich mal sehr stark, der Hauptteil der Entwicklung wird an den Machern hängen bleiben. Es ist ihr gutes Recht, damit Geld verdienen zu wollen, in welcher Form auch immer. Auch nachher werden die damit noch genug zu tun haben und sich nicht auf die faule Haut setzen können. Klar, Support wäre auch ne Option gewesen. Ob das funktioniert hätte, ist jetzt Spekulation (wie auch, ob ihr jetziges Modell funktionieren wird).

        Ich denke Qabel ist schon ein Schritt in die richtige Richtung. Es ist nicht perfekt und wird auch nicht alle Probleme lösen können, aber es hat Potential besser zu werden als bisherige Sachen. Das ist mir ein paar Euro auf jeden Fall Wert. Und mal ehrlich: Zu warten, bis mal ein Projekt kommt, welches wirklich perfekt ist, dafür fehlt die Zeit.

      3. Wenn Qabel funktioniert ist es eine tolle Sache. Aber der Drop Server ist schon ein zentrales Element im ganzen Konzept. Ohne den Drop Server wird das Konzept nicht funktionieren. Und das ist leider nicht etwas was man dann bei der nächsten Version besser machen kann um sich so Schritt für Schritt einer perfekten Lösung anzunähern.

        1.)Du hast vollkommen recht das eine Authentifizierung am Server wieder ein Tracking Problem darstellt.
        2.) Die Daten sind Spezifiziert als Verschlüsselt mit irgend einem Algorithmus und irgend einem Schlüssel. Damit sind sie für den Server einfach nur ein Haufen zufälliger Bytes. Das muß auch so sein, denn sonst könnte der Server wieder die User überwachen. Man kann natürlich die Maximale Länge festlegen. Aber viele kleine Nachrichten Stören den Server ja auch viel mehr als eine große ;-)

        Ich denke einfach das der drop server in Ihrem Labor gut funktioniert. Aber im Internet keine Chance hat länger zu überleben. Und damit wird das System sofort zusammenbrechen sowie Version 1.0 auf das Internet losgelassen wird. Und genau wegen dieser Authentifizierung – Tracken- Anonym- Hacker Problematik gibt es auch keine einfache Lösung dafür.

        Aber vielleicht Irre ich mich ja auch. Wir werden es sehen wenn der erste Hacker Angriff auf Qabel statt findet.

      4. Hm, DoS kann man ja loswerden, indem man „böse“ IPs (also alles, wo verdächtig viel Traffic herkommt) blacklistet. Gegen DDoS hilft das natürlich nur eingeschränkt (aber zumindest müssen die auch vorsichtig sein).
        Andererseits: Zeig‘ mir irgend eine Seite oder irgend einen Dienst, der immun gegen DDoS ist. Die LOIC hat sie bisher alle gekriegt. Die Frage ist eher ob irgend jemand genug Ressourcen dafür hat, und genug Hass auf Qabel um diese Ressourcen langfristig dafür zu binden. Wenn mal hin und wieder eine Gruppe Arschlöcher den Dienst ein paar Stunden abschießt, werden wir das schon überleben. Das müssten sie schon 24/7 über Monate machen, um zu gewinnen – und ich behaupte einfach mal, dass jeder der das durchziehen könnte und wollte es nicht wagt das PR-Desaster zu riskieren das kommt wenn es auffliegt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.