Update: Crypto Message veröffentlicht!

Ich habe nicht behauptet, dass das Produkt fehlerfrei ist. Jedoch ist es bereits jetzt sicher nutzbar. Die Beta habe ich beendet, sobald längere Zeit kein Feedback mehr kam.

Vor der Open Beta gab es zudem eine Closed Beta, in der ich auch wichtiges Feedback erhalten und berücksichtigt habe. Auch davor habe ich selbst das Produkt ausgiebig auf Fehler und Sicherheitslücken analysiert.

Du kannst mir nicht sagen, dass Crypto Message "unsicher" sei. Ich möchte wenn schon auch einen Beweis sehen und nicht nur stupide Behauptungen.
Meinetwegen kann ich für dich eine Nachricht verschlüsseln und wenn du es schaffst, mir den entschlüsselten Text zu liefern oder das Passwort herauszufinden, dann Respekt - ich werde das Projekt überarbeiten. Aber ansonsten möchte ich nicht immer niedergemacht werden, dass alles unsicher sei etc. Ich habe mir damit wirklich Mühe gegeben und Spaß an der Entwicklung gehabt - und werde es hoffentlich auch noch haben!

Zudem möchte ich noch gesagt haben, dass das Projekt eines Vorredners, nachricht.co, sicherlich auch nicht komplett sicher und fehlerfrei ist (es sei gesagt: ich möchte dieses Projekt keineswegs schlecht machen). Auch dieses Projekt hat seine Lücken, z. B. könnte der Einmal-Link von einem Angreifer abgefangen und geöffnet werden, sodass die Nachricht vom gedachten Empfänger nicht mehr gelesen werden kann.
Darauf ist z. B. noch niemand hier eingegangen, natürlich wird nur mein Projekt kritisiert (gut, hier geht es auch um mein Projekt, allerdings hat nachricht.co auch einen eigenen Thread. Dort wurde dieses Problem nicht angesprochen.)

Außerdem zwinge ich niemanden dazu, Crypto Message zu nutzen! Wer denkt, das Produkt sei unsicher, kann auch eine andere Software verwenden.
Ich persönlich bin aber von meinem Produkt überzeugt (und ich bin der einzige, der den Quelltext kennt und weiß, wie das Programm genau funktioniert) und würde es auch für meine eigenen Zwecke verwenden!

Und ich denke nicht, dass du eine "Kopie" meines Projekts innerhalb einer Stunde schreiben kannst. Nach außen hin wirkt das Produkt simpel und einfach, was es ja auch soll, hinter der Fassade verbergen sich allerdings haufenweise kryptografische Funktionen, aufwendige Verschlüsselungs-Algorithmen (neben AES) sowie doppelt und dreifache Überprüfungen der übertragenen Daten auf unterschiedlichsten Wegen.
Das Produkt ist keineswegs in ein paar Stunden (oder weniger) entstanden, die Entwicklung hat mich viel Zeit gekostet...

Bitte versteh mich nicht falsch, ich möchte dich nicht angreifen, aber ich habe es auch satt, immer nur Gemäkel zu hören, und am besten auch noch ohne Beleg. Ich versuche auch nicht, mich zu rechtfertigen, das habe ich nicht nötig, jedoch möchte ich der Öffentlichkeit meine Sichtweise näherbringen und erläutern. Ich lass es mir nämlich nicht gefallen, dass mein Projekt dauernd schlecht gemacht wird... Wenn jemand konstruktive Kritik zu äußern hat, stehe ich dafür sehr gern bereit, aber ich erwarte einen angemessenen Umgang und verständliche, grammatikalisch korrekt formulierte Belege (leider ist dies in Foren kaum möglich; es existiert auch eine Kontaktmöglichkeit per E-Mail!).


MFG

Jetzt nehm es mir bitte nich übel, das soll hier auch kein Kleinkrieg werden, aber:
du hast 3x grobes Feedback bekommen:
1. - Button hat nich gepasst
2. - Die Nachricht soll in ne Textbox eingegeben werden können
3. - Nachricht soll nicht in der URL stehen

Jetzt prüfen wir mal was du umgesetzt hast... Richtig, 1. nich mehr / weniger. Das macht 33,3333% - 5, durchgefallen.

2. Wenn man Feedback nicht umsetzt muss man eben mit Nörgeleien rechnen... Auch da gilt: Hören auf den Wunsch von Kunden: 6, durchgefallen.

Fassen wir die Schulnoten zusammen, sind wir bei einem Durchschnitt von 5,5 - Durchgefallen mit der 2t schlechtesten Note - Respekt.

3. Ich habe nie gesagt das dein Script unsicher ist, ich habe nur bezweifelt das man wirklich produktiv damit arbeiten kann - schließlich können ja in deinen Algorithmen noch Kollisionen enthalten, oder (Wurden ja nur 2 Tage produktiv getestet)?

4. Wenn ich ein Script schreibe, möchte ich, dass es genutzt wird und mache alles dafür das die Leute das nutzen (muss schon sinnvoll sein, also auf Feedback hören). Und das hier zeigt, dass du dein Projekt nicht ernst nimmst:

Warum hast du dann das Projekt hier vorgestellt? Aus Langeweile? Aus Spaß an der Freude?

DU möchtest das WIR DEIN Script AKTIV nutzen. Solltest du nicht auf das Feedback hören - Pech und wir sehen deine Domain sehr bald bei nem Domainreseller.

BTW: Deine Versionsnummer auf der Seite passt nicht. 1.0-prerelease ist noch vor OpenBeta. Wenn dann wäre richtig: 1.0.0-OpenBeta.

MfG

Tim Pasternak

Davon sieht und merkt man herzlich wenig. Wie deine Analyse nach Sicherheitslücken aussah, möchte ich gar nicht erst wissen, da momentan immer noch simpelste Lücken in deinem "Produkt" zu finden sind.

Ich werde dir keine Sicherheitslücken auf dem Silbertablett präsentieren, damit du dich eigenständig mit der Materie auseinander setzt und dich einarbeitest. Du verfügst offensichtlich nicht annähernd über das benötigte Wissen für solch ein Projekt (zumindest nicht um es ernsthaft) anbieten zu können.

In diesem Thread geht es um dein Projekt, nicht um meines. Um dennoch auf deinen Vorwurf einzugehen:

Ein Link kann abgefangen werden, wenn der Nutzer einen unsicheren Kommunikationskanal benutzt. Da ich als Betreiber von Nachricht.co keinen Einfluss auf den vom Nutzer gewählten Kommunikationskanal (wie Facebook, Email etc.) habe, kann ein Abfangen des Links durch Dritte nur durch den Verstand des Nutzers selbst verhindert werden, indem er einen sicheren Kommunikationskanal benutzt und nur der betreffenden Person den Link zukommen lässt. So auch in der Datenschutzerklärung von Nachricht.co angegeben (du hast nicht einmal eine).

Ich finde es wirklich lächerlich, wie du aus mangelnder Kritikfähigkeit versuchst, dich an jeder Stelle zu rechtfertigen.

//edit: Du machst dich aktuell Strafbar

• Impressum & Haftungsausschluss von eRecht24 ohne Quellenangabe
• Du benutzt ein Template von HTML5UP ohne Quellenangabe
  

"2. - Die Nachricht soll in ne Textbox eingegeben werden können
3. - Nachricht soll nicht in der URL stehen"

Zu 2.: Ich sagte bereits, dass ich schaue, was ich da machen kann. Ich könnte natürlich sofort eine Textarea hinklatschen, habe aber noch wegen des Designs gezögert. Ich konzentriere mich lieber erst einmal auf die wichtigeren Aspekte.

Zu 3.: Das ist allerdings das Prinzip, und das wird auch nicht geändert werden, ansonsten müsste ich Daten in einer DB speichern, welche wiederum theoretisch gehackt werden könnte und alle verschlüsselten Nachrichten auf einmal bekannt werden. Außerdem würden dann auch nutzerbezogene Daten gespeichert werden, was ebenfalls gegen mein Prinzip vestoßen würde. Ich kann dir jedoch versichern, dass es nicht möglich ist, den verschlüsselten Text ohne das entsprechende Passwort zu entschlüsseln. Wahrscheinlich glaubst du mir nicht, dann beweis mir bitte das Gegenteil.

Ich persönlich finde die Gewichtung deiner Schulnoten etwas komisch, aber das ist ja Ansichtssache.


"Und das hier zeigt, dass du dein Projekt nicht ernst nimmst:
Zitat:
Außerdem zwinge ich niemanden dazu, Crypto Message zu nutzen! Wer denkt, das Produkt sei unsicher, kann auch eine andere Software verwenden."

Natürlich nehme ich das Projekt ernst, trotzdem zwinge ich keinen dazu, mein Produkt zu verwenden. Das sind zwei völlig verschiedene Sachen.


"BTW: Deine Versionsnummer auf der Seite passt nicht. 1.0-prerelease ist noch vor OpenBeta. Wenn dann wäre richtig: 1.0.0-OpenBeta."

prerelease = Pre Release, deutsch: vor Veröffentlichung
==> 1.0 vor Veröffentlichung

Eigentlich wollte ich Crypto Message erst veröffentlichen, wenn noch ein paar Grafiken fertig sind, jedoch wollte ich nicht mehr bis zur Fertigstellung dieser Grafiken warten, da sie doch eher Nebensache sind. Um das deutlich zu machen, habe ich die Bezeichung "prerelease" verwendet. Ich denke, es bleibt mir wohl selbst überlassen, wie ich meine Versionsnummern gestalte.




"[...] momentan immer noch simpelste Lücken in deinem "Produkt" zu finden sind."

Wieder kein Beleg, schade!



"Ich finde es wirklich lächerlich, wie du aus mangelnder Kritikfähigkeit versuchst, dich an jeder Stelle zu rechtfertigen."

Lies dir diesbezüglich bitte nochmal folgenden Satz aus meinem vorherigen Beitrag durch:
Ich versuche auch nicht, mich zu rechtfertigen, das habe ich nicht nötig, jedoch möchte ich der Öffentlichkeit meine Sichtweise näherbringen und erläutern.


"schließlich können ja in deinen Algorithmen noch Kollisionen enthalten, oder"

Könnte sein, ist aber recht unwahrscheinlich, da ich kein MD5 verwende.


"//edit: Du machst dich aktuell Strafbar

Impressum & Haftungsausschluss von eRecht24 ohne Quellenangabe
Du benutzt ein Template von HTML5UP ohne Quellenangabe"

Danke für den Hinweis, habe die Verweise wieder hinzugefügt. Die Leute machen gute Arbeit, die haben einen Verweis verdient.


Sieht für mich übrigens so aus als ob hier nichts Kontruktives mehr kommen wird, wir sind schon wieder viel zu weit vom Thema abgekommen. In diesem Fall wird der Thread geschlossen (ich warte noch ab).