Kurze Zeitreise

Es wurde 1999 von Netscape Communications entwickelt. Damals stand die Abkürzung für RDF Site Summary, eine Technologie, die im Rahmen des individualisierbaren Nachrichtenangebots My Netscape Network zum Einsatz kam. Bereits ein Jahr später wurde das Ressource Description Framework (RDF) durch ein einfacheres XML-Format ersetzt, was eine Umdeutung der Abkürzung RSS in Rich Site Summary zur Folge hatte. Siehe meinen Beitrag über XML. Mit der Version 2.0 wurde dann die Bezeichnung Really Simple Syndication eingeführt. Als Nachfolger gilt das daran angelehnte Format Atom. Dies thematisiere ich dann in einem zukünftigen Beitrag.

Solche Dienste waren in den späteren 2000er-Jahren populär und meist auf speziellen Service-Websites vorzufinden, sogenannten RSS-Channels. Ein solcher gewöhnlicher Channel versorgt den Adressaten, ähnlich einem Nachrichtenticker, mit kurzen Informationsblöcken, die aus einer Schlagzeile mit Textanriss und einem Link zur Originalseite bestehen. Zunehmend werden aber auch komplette Inhalte klassischer Webangebote ergänzend als Volltext-RSS bereitgestellt.

Durchsetzen konnte es sich um das Jahr 2005. Besonders durch den Blog Hype, da die meisten Autoren sehr früh RSS-Feeds für ihre Artikel anboten und viele Blogs diese automatisch generierten und es heute noch machen. Ursprünglich ging es dabei vor allem um Text. In der zweiten Hälfte der 2000er wurden auch Podcasts darüber verbreitet, die dann z. B. auf mobile Endgeräte geladen wurden und bis heute noch geladen werden.

Die Bereitstellung von Daten im RSS-Format bezeichnet man auch als RSS-Feed, von engl. to feed – im Sinne von füttern, einspeisen, zuführen. Wenn ein Benutzer einen Channel abonniert hat, so sucht der Client in regelmäßigen Abständen beim Server nach Aktualisierungen im RSS-Feed.

Wie funktioniert ein RSS-Feed?

Wenn man einen RSS-Feed abonniert, kann man die Nachrichten mit einem Feedreader einlesen. Als Abonnent kann man sich dann den (in vielen Feeds enthaltenen) Inhalt direkt anzeigen lassen oder den angebotenen Links folgen und die vollständige Meldung der verlinkten Seite lesen. Die Adresse eines RSS-Feeds entspricht dem Aufbau einer URL, wie sie auch für Webseiten verwendet wird.

Zum Lesen eines RSS-Feeds dienen spezielle Programme, die auf die Ähnlichkeit zum Nachrichtenticker angepasst sind. Diese nennt man (synonym) RSS-Aggregatoren, RSS-Reader oder Feedreader. Einige E-Mail-Programme bieten oder boten RSS-Lesefunktionen, teils via Plugins, an. Früher unterstützten einige populäre Webbrowser dies ebenfalls. Neben diesen nutzte man auch Anwendungen, die wie als Bildschirmschoner agierten. Statt umherfliegende Seifenblasen oder prozedural generierte Rohrsysteme, bekam man dann eben bei Inaktivität die abonnierten Feeds angezeigt.

Im Unterschied zur Benachrichtigung per E-Mail geht die Initiative bei RSS vom Empfänger aus, der den Feed abonniert hat. Dies bedeutet, dass der Anbieter die Leser nicht auswählen kann, sich im Gegenzug aber auch nicht um eine Verwaltung des Leserstammes (zum Beispiel mit einer Mailinglisten-Software) kümmern muss. Der Leser muss nicht offenlegen, dass er die Quelle beobachtet, und kann Quellen wesentlich leichter abonnieren bzw. das Abonnement widerrufen, indem er einfach die Einstellung in seinem Aggregator vornimmt.

Es vereinfacht die Beobachtung einer großen Menge von Quellen wie z. B. Blogs, in denen es eher selten zu Änderungen kommt, deren Aktualisierung der Leser aber ggf. nicht verpassen möchte.

Syndikation

Da Inhalte via RSS in einem standardisierten Format vorliegen, eignen sie sich auch für die maschinelle Weiterverarbeitung. So lassen sich damit beispielsweise Texte einer Webseite automatisch mit Hilfe eines Parsers in eine andere Webseite integrieren oder sehr einfach auf verschiedenen Endgeräten speziell aufbereitet darstellen.

Das Aufbereiten von Informationen in ein standardisiertes Austauschformat/-objekt nennt man auch Aggregation, das Veröffentlichen auf anderen Seiten Content-Syndication. Websites können damit automatisch mit den neuesten Nachrichten aktualisiert werden, ohne dass der Seitenbetreiber jeweils eine Aktualisierung vornehmen muss. Eine Reihe von Content-Management-Systemen wie WordPress unterstützen diese Funktionalität. Auch dieser Blog wurde mit WordPress erstellt.

Fazit

Wenn man lediglich ein paar Webseiten gerne regelmäßig mehrmals in der Woche liest, dann kann die Nutzung eines RSS-Feeds etwas übertrieben sein. Für Vielleser führt jedoch weiterhin kein sinnvoller Weg an Rich Site Summary und einem RSS-Reader vorbei.

Der Beitrag RSS – Immer auf dem Laufenden bleiben erschien zuerst auf CEOsBay.

Zero-Knowledge-Prinzip

Für die Datensparsamkeit wird das „Zero-Knowledge-Prinzip“ genutzt, bei dem der Betreiber keinerlei Zugriff auf Nutzerdaten hat, was unter anderem auch eine FOIA-Anfrage (FOIA – Der Freedom of Information Act ist ein, seit 1967, in den USA, in Kraft getretenes Gesetz, zur Informationsfreiheit und gibt jedem das Recht, Zugang zu Dokumenten von staatlichen Behörden zu verlangen) an das FBI bestätigte.

Auf welchen Geräten kann Signal genutzt werden?

Signal ist als App für Android und iOS sowie als Desktop-Version für Windows, macOS und Linux verfügbar. Auf eine Web-Version wurde aus Sicherheitsgründen verzichtet. Die Desktop-Version setzt allerdings voraus, dass die App bereits auf einem Smartphone installiert ist und durch dieses verifiziert wird. Eine anonyme oder pseudonyme Nutzung ohne Offenlegung der Rufnummer gegenüber Gesprächsteilnehmern ist weder mit der Smartphone-App noch mit der Desktop-Version möglich. Für die Verschlüsselung von Nachrichten, Anrufe und Videotelefonie kommt das „freie“ (Achtung – Auch hier sind Anführungszeichen 😉 ) Signal-Protokoll zum Einsatz.

Erst einmal zu den Anführungszeichen bzgl. Signal

Ab dem 22. April 2020, wurde der Source-Code, den man sonst immer auf GitHub „frei“ und aktualisiert vorgefunden hatte, für fast ein Jahr nicht aktualisiert und veröffentlicht. Die Repo (Siehe Erklärung in meinem Beitrag Git bzw. GitHub), war voll von Beschwerden aus der Open-Source-Gemeinde. Eine Erklärung seitens Entwickler blieb bis heute aus. Sicherlich kann man jetzt versuchen, Gründe dafür zu finden, doch dies erachte ich als Nonsens.

Während die Kommunikation, durch die in den Open-Source-Client-Apps und dem Signal-Protokoll implementierte E2EE (Ende-zu-Ende-Verschlüsselung) sicher zu sein schien, verhinderte eine Closed-Source-Server-App, Forks und hinderte weiter jeden daran, die neuesten Versionen des Sourcecodes einzusehen, zu prüfen oder eigene aktuelle Signal-Server zu erstellen. Auf der Website des Unternehmens war in der Zwischenzeit immer noch ein Zitat von Twitter-CEO Jack Dorsey vorzufinden, der den Dienst lobte, weil dieser quelloffen bzw. Open Source und von Fachleuten geprüft sei. Die fast einjährige Verzögerung bei der Freigabe des Server-Quellcodes, als auch die Funkstille über die Verzögerung sind beunruhigend, wenn man bedenkt, dass sie sich mit der Sicherheit und Anonymität im Internet rühmen bzw. man sich als Nutzer genau auf diese beiden Eigenschaften verlässt.

Wie funktioniert Signal?

Im Grunde genommen werden alle Nachrichten, die zwischen registrierten Benutzern ausgetauscht werden, automatisch verschlüsselt. Signal ermöglicht das verschlüsselte Versenden von Textnachrichten, Dokumenten, Fotos und das Teilen von Kontaktinformationen in Einzel- oder Gruppenchats. Darüber hinaus werden auch Gruppentelefonate mit zuschaltbarer Videofunktion mit bis zu 40 Teilnehmern verschlüsselt übertragen.

E2EE und PFS gegen MiTM

Neben der Ende-zu-Ende-Verschlüsselung, wird auch Perfect Forward Secrecy genutzt, welches auch bei der Kompromittierung bzw. beim Bekanntwerden des geheimen persönlichen Schlüssels des Benutzers, Nachrichtenhistorien nur schwer entschlüsselt werden können. Dies hängt damit zusammen, dass für jede Nachricht aus dem Langzeitschlüssel ein eigener temporärer Schlüssel erzeugt wird, der nach Übermittlung vernichtet wird. Die Authentifizierung mit Gesprächspartnern erfolgt mittels QR-Codes, mit denen sich die Benutzer gegenseitig verifizieren. Auf diese Weise wird sichergestellt, dass wirklich mit der wahren Person kommuniziert wird und nicht mit einem Dritten. MiTM (Man-in-the-Middle-Angriffe) können dadurch minimiert werden.

Die Glaubhafte Abstreitbarkeit schützt Nutzer davor, dass eine bestimmte Nachricht, einer bestimmten Person zugewiesen werden kann. Da die Urheberschaft von Nachrichten nicht nachvollziehbar ist, bleibt der Quellenschutz größtenteils gewahrt. Verschlüsselte Benutzerprofile erlauben es, Benutzerfotos und Namen zwischen den Benutzern zu übertragen, ohne dass der Betreiber diese einsehen kann.

View-Once-Funktion

Einmalig präsentierte Medien bzw. Einmalansicht (View-Once – Sobald ein Foto oder Video mit einmaliger Ansicht gesendet wird, kann es lediglich 1x angesehen werden. Fotos oder Videos, die mit aktivierter Einmalansicht gesendet oder empfangen wurden, können nicht weitergeleitet oder gespeichert, mit Emojis versehen oder freigegeben werden. Ob ein Empfänger ein Foto oder Video mit Einmalansicht geöffnet hat, kann nur in Erfahrung gebracht werden, wenn die Gegenseite die Lesebestätigungen aktiviert hat) erlaubt es Mediendateien zu versenden, die nach einmaligem Ansehen aus der Unterhaltung entfernt werden. Diese Funktion wurde in der Betaversion aus 2019 in Signal implementiert. Es ist aber auf jeden Fall zu bedenken, dass derartige Inhalte durch weitere Geräte aufgezeichnet werden können.

Neben diesen Maßnahmen zur Übertragungsverschlüsselung werden von Signal sowohl in der iOS- als auch in der Android-Variante die auf dem Smartphone abgelegten Daten durch SQLCipher (SQLCipher ist eine Open-Source-SQLite-Erweiterung, die eine transparente, vollständige 256-Bit-AES-Datenbankverschlüsselung bietet – Darüber werde ich in einem zukünftigen Beitrag schreiben) verschlüsselt. Auf den Servern des Betreibers werden Kontoeinstellungen, Kontakte und blockierte Kontakte nicht im Klartext gespeichert, sondern mit einer PIN verschlüsselt, die nur dem Nutzer bekannt ist. Bei Gruppenchats sind die Mitgliederliste und der Admin-Status der Mitglieder sowie andere Gruppendetails als verschlüsselte Liste auf den Servern gespeichert. Aber diese sind auf einem Server gespeichert. Auch sind die Metadaten, zwar verschlüsselt, aber auf einem Server gespeichert 😀

Dezentralisierung

Der dezentralisierte Gedanke greift bei Signal nicht, da es eine Servergebundene Lösung ist. Nichtsdestotrotz kann man durch die Nutzung des Open-Source Codes eigene Server aufsetzen – Vorausgesetzt Signal beschließt nicht mal wieder die Schranken zu schließen. Aus diesem Grund kann sowohl die Sicherstellung der Anonymität, als auch die Sicherheit in Frage gestellt werden 😉

Fazit

Die Aktualisierung bzw. Veröffentlichung des Sourcecodes hat fast für ein Jahr nicht stattgefunden. Dies ist kein gutes Zeichen. Mag sein, dass sie die Updates wieder aktuell halten. Aber wer weiß, wann sie sich mal wieder Umentscheiden (lassen?).

Fakt ist auch, dass Signal ohne persönliche Zustimmung Kalendertermine hinzufügen oder ändern und E-Mails an eingeladene Gäste verschicken kann, die dem Anschein nach von einem selbst stammen. Signal kann auf alle auf dem Smartphone gespeicherten Kalendertermine zugreifen. Jederzeit und ohne Bestätigung kann die Kamera des Smartphones aktiviert werden und es können Bild- sowie Videoaufnahmen stattfinden.

Konventionelle SMS können durch die App gelesen, gesendet und gelöscht werden. Auf die Mikrofone des Smartphones kann die App auch zugreifen und zu jedem Zeitpunkt den Ton aufzeichnen. Die permanente Kommunikation mit einem Server ermöglicht der App und gegebenenfalls Dritten, wann und mit wem telefoniert wurde. Der Messenger kann ohne persönlichen Eingriff Telefonnummern wählen, was zu unerwarteten Kosten und Anrufen führen kann. Alles in allem läuft die App über einen amerikanischen Server und ist somit eine zentralisierte Lösung. Es mag sein, dass es viele Sicherheitsexperten gibt, die Signal für eine gute und „sicherere“ Alternative als Instant Messenger sehen. Nun, ich bin kein Sicherheitsexperte. Daher ist es jedem selbst überlassen, was man von der App hält.

Heute etwas später dran… Ein paar Zimmer benötigten einen neuen Anstrich 😀

Der Beitrag Signal – Vertrauliche Kommunikation und Datenschutz? erschien zuerst auf CEOsBay.