Okay, weil mir gerade wer das Thema "Es gibt keine E2EE, wenn du nicht alles selbst machst" unterspülte, Hinweis zu solchem Verhalten:
Oftmals gibt es in der Security- und Privacy-Bubble eine gewisse sozial nicht unbedingt hilfreiche Tendenz, darauf hinzuweisen, dass echte Ende-zu-Ende-Verschlüsselung ja nur dann geht, wenn alle Teile der Kette offen und kontrollierbar sind, wenn es also überprüfbaren, offenen Code gibt und du das selbst hostet.
Das stimmt an und für sich, … aber 🧵
Es ist das Privileg vieler Menschen aus dem Open Source, Privacy und Security Bereich, bestimmte Thematiken sehr genau zu kennen und die Kompetenzen zu haben, das alles selbst zu machen.
Das Problem ist aber auch oftmals: Dass diese Kompetenz eine implizite Einstiegshürde normalen Menschen auferlegt, die als arrogant gelesen werden kann.
"Wie du kannst nicht einen Docker-Container auf deinem Server hochfahren? Na dann haste halt auch keine Sicherheit"
Das ist nicht hilfreich.
Open Source krankt als Ökosystem auch daran, dass es zwar gut nutzbar ist, sofern du ein technisches Kompetenzniveau erreicht hast, hast du das nicht, stehst du vor verschlossenen Türen und wirst vielleicht sogar belächelt.
Seid entweder eine Person, die Menschen mit Open Source befähigt oder spart euch die Kommentare. Die abfälligen Kommentare schaden nämlich auch dem Open Source Ökosystem an und für sich.
Denn eigentlich gehört zu den Werten von Open XYZ auch, das, was Mensch da so tut, in einem Zustand veröffentlichst, dass die Welt daran partizipieren kann.
Die technische Begeisterung für "in Dinge ganz genau reingucken" können hilft ganz genau gar nichts, wenn es eine Kultur darum gibt, die Menschen ausschließt.
Dazu gehört auch zu akzeptieren, dass manche Menschen vielleicht einen Full Open Source Stack gerade nicht aufsetzen können, bei dem alles von 0 kompiliert wird.
Um aber die Werte offener Software (zumindest so wie ich sie verstehe) positiv weiterzugeben, ist es vollkommen okay, wenn Menschen daran nur in Teilen partizipieren.
Mensch nutzt erfolgreich Libre Office auf Windows, cool, zumindest eine Abhängigkeit weniger, ein Teil mehr Kontrolle.
Genau ist es auch bei Security.
Du kannst sagen, dass die Technik von Apple mit E2EE nie vollkommen vertrauenswürdig ist. Fair point.
Aber du kannst Menschen dabei helfen, sicherer zu werden, mit ihren Möglichkeiten. Befähigung, ganz ohne Arroganz.
Wie bei etwas mehr Open Source auf meinetwegen Windows.
Und für die technischen Klugscheißer: Ich glaube genau niemandem von euch, dass ihr selbst eine vollkommen trusted Ende-zu-Ende-Kommunikation in allen Teilen hinkriegen werdet.
Am Ende gibt es immer irgendeine Abhängigkeit, der ihr trauen müsst.
Viel Spaß beim Herstellen von Prozessoren.
@bkastl das fängt ja schon damit an, dass mein Gegenüber meine Nachricht auf einem Endgerät jenseits meiner Kontrolle empfängt. Wer weiß wie unsicher und outdated das ist?
Da ist die Frage nach der Verschlüsselung unseres Chats esoterischer Natur. Sobald ich im Kontaktbuch der falschen Person oder ich in einem Gruppenchat mit der falschen Person auffalle, habe ich u.U. bereits ein Problem. Zur falschen Zeit am falschen Ort ohne was falsch gemacht zu haben.
[..] GIMP und Inkscape anstelle von Affinity andrehen wollen [..]
Das ist halt die typische "Was interessiert mich, ob du damit umgehen kannst, nimm open source"-Einstellung.
Gerne gefolgt von "Wenn dir die Usability vom open source tool nicht gut genug ist, dann programmier es doch um."
@hcmh @bkastl als Alternative zu Microsoft Office Word würde ich Microsoft Office Word empfehlen.
Darüberhinaus benutze ich:
- texifier (paid) um mit LaTeX Briefe zu erstellen
- Markdown (cryptpad) um einfache Dokumente zu formatieren
- Apple Pages (free, wenn man ein macOS device hat)
LaTeX, Markdown oder Pages würde ich aber niemals als Wordalternative proaktiv weiterempfehlen.
Die Schwachstellenliste von LO ist btw haarsträubend: https://www.libreoffice.org/about-us/security/advisories/
Da gibt´s auch noch einen praktischen xkcd zu, siehe:
https://xkcd.com/2030/
@littledetritus @leyrer @bkastl
Ja, aber Voting Software ist auch egal, wenn Deine Bedrohung daher kommt, das ganze Wählergruppen ausgeschlossen werden. Das geht auch in physisch.
@bkastl @Bugspriet Hear, hear!!!
Und das sage ich als ein Mensch, das genau solche E2EE Produkte entwickelt. Ich wünschte, alle von uns in der ITSec würden das verstehen.
Eine egal wie geartete ITSec-Lösung, die von normalen Menschen nicht oder nur mit extrem grossem Aufwand benutzt werden kann oder die vielleicht sogar technischen Sachverstand voraussetzt, ist eben NICHT sicher, sondern ganz genau das Gegenteil davon.
@bkastl nach fast 25 Jahren auf Linux habe ich vor langer Zeit aufgehört, aktiv zu missionieren, freue mich allenfalls über Neugier.
Ich weiße einzig darauf hin, wenn jemand anderes mich zur Nutzung von Werkzeugen drängen möchte, die auf meiner Plattform nicht verfügbar sind.
Glücklicherweise passiert das heute eher selten, kein Vergleich zu der Situation vor noch 10 oder 15 Jahren, aber es gibt auch ein größeres Bewusstsein, dass andere Plattformen existieren, als zu Windows-XP-Zeiten.
@bkastl Das. Genau das!
Sage ich als jemand der jetzt schon 35 Jahre OpenSource macht, bevor Phil Zimmerman PGP veröffentlichte und auch das T-Shirt mit dem RSA Code besitzt. Ich betreibe privat eigene Server (eigene Hardware in RZ, keine gemieteten VMs), mache vieles das Joe Average nicht machen sollte. Nicht trotzdem sondern gerade deswegen empfehle ich Menschen die mich fragen iPhone, Mac & Co. Dinge die ich auch selbst nutze - wenn auch teilweise anders als Joe Average.
Now that we’re increasingly concerned about the dominance of ‘big tech’, Open Source is often mentioned as an alternative, especially since our governments are carrying out a Total Migration to Microsoft. This is the English version of this Dutch piece. In Dutch we say you can’t compare apples and pears, but that’s not entirely true. Both are so-called handfruit, and one is a bit harder, the other a bit softer.
@bkastl es gibt eine Schere zwischen "ich muss das alles gar nicht wissen, um es zu benutzen" und "es wäre besser ein paar Dinge zu verstehen, um Risiken einschätzen zu können"
Als "IT-Person" für meine Partnerin erkläre ich ab und zu was, wohlwissend, dass sie das meiste davon wieder vergessen wird. Aber es hält sie ab und zu davon ab, all zu leichtfertig dumme Dinge aus Unwissenheit zu tun.
@bkastl
Ich Klugscheisse mal technisch:
Du kriegst keine OpenSource Implementierung für Openpgpcard und andere. Das scheitert an NDAs und co.
Wir sind in Bezug auf Hardware und Firmware sehr auf unsicherem Boden, aber es ist good enough für die meisten. Wenn es reicht dass verschlüsselt zur Seite gelegt wird, weil keiner die extra Ressourcen aufwenden kann. Weil Ich dann doch nicht so interessant bin.
Dh der oft getane Spruch "nimm doch eine Smartcard" ist imho Murks, wir wissen da nichts.
Bianca Kastl
Flüpke
Not a Spring Onion
Christian Bardey
hubi
Regine
rugk
leyrer
Little Detritus
Thomas Fricke (he/his)
Jens 🇪🇺
Jakob Wilke has moved
i. celeste aurora 
[witchzard]
Patrick
Moritz Karg
Recovered Expert
Reinald Kirchner
…might work for coffee…