View previous topic :: View next topic |
Author |
Message |
Erdie Advocate
Joined: 20 May 2004 Posts: 2652 Location: Heidelberg - Germany
|
Posted: Mon Dec 18, 2023 11:43 am Post subject: Kann man Discord trauen? |
|
|
Moin moin,
ich stelle diese Frage hier weil ich in den Kompetenz der Gentoo Community mit Abstand das meiste Vertrauen habe.
Mir ist es mal passiert, dass ich Discord testweise installiert hatte und kurz nach dem Start kam dann die Meldung, so ungefähr:
Quote: |
Hallo, ich habe die Passwortdatenbank deines Browsers durchsucht und leider keinen User für Discord gefunden. Bitte melde Dich neu an oder logge Dich ein, etc. blabal
|
Das hat mich dann doch schockiert, derweil vorher keine Frage um Erlaubnis gestellt wurde. So weit ich weiß ist Discord kein Open Source, was die Sache zusätzlich brisant erscheinen läßt. Was sagt Ihr dazu und wie handhabt Ihr das mit Discord? _________________ Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W |
|
Back to top |
|
|
Max Steel Advocate
Joined: 12 Feb 2007 Posts: 2270 Location: My own world! I and Gentoo!
|
Posted: Mon Dec 18, 2023 11:52 am Post subject: |
|
|
Wait... What?
Das ist neu.
Ich persönlich speichere grundsätzlich keine Passwörter im Browser. Aber thunderbird hat die Passwörter für meine E-Mails, also etwas beängstigend.
Zum Login in Discord verwende ich gerne die QR-Code Variante vom Smartphone.
Hattest du die Discord App verwendet oder im Browser versucht?
Ich vermute aber dass Discord, da es ja auch "nur" eine dieser Chromium-Apps ist entsprechend nur in Chromium-Passwortspeicher suchen kann...
Hoffe ich zumindest. _________________ mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
Back to top |
|
|
Erdie Advocate
Joined: 20 May 2004 Posts: 2652 Location: Heidelberg - Germany
|
Posted: Mon Dec 18, 2023 11:57 am Post subject: |
|
|
Das war die App Variante, die hatte ich dann auch sofort wieder gelöscht. Allerdings passiert das auch nur genau 1-mal. Ich habe jetzt nach geschätzt 1,5 Jahren die App wieder installiert und so etwas kam nicht wieder hoch. _________________ Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1973 Location: Schweiz
|
Posted: Mon Dec 18, 2023 5:34 pm Post subject: |
|
|
Ich wusste zwar das der Passwortspeicher des Webbrowser (so weit ich weis bei allen) von anderen Programmen relativ einfach ausgelesen werden kann und ich hatte Discord auch nie ein besonderes Vertrauen zugestanden aber...
WTF?!
So etwas hätte ich von einer Schadsoftware erwartet, offensichtlich muss diese "Anwendung" neu kategorisiert werden.
Was bin ich froh das meine Passwörter in einem Passwortmanager liegen dessen Inhalt ICH erst persönlich entsperren muss bevor es verwendet werden kann. |
|
Back to top |
|
|
sMueggli Guru
Joined: 03 Sep 2022 Posts: 503
|
Posted: Mon Dec 18, 2023 5:38 pm Post subject: |
|
|
Vor ein paar Monaten habe ich darüber nachgedacht, mich bei Discord anzumelden. Allerdings ist es daran gescheitert, dass Discord ums Verrecken eine Telefonnummer "brauchte". Aus Security-Sicht kann ich es ein bisschen nachvollziehen, aber auch nicht wirklich.
Eigentlich wollte ich Discord nur als App auf dem Computer nutzen, um ab und zu mal zu chatten. Lustigerweise kann ich das angelegte Konto auch nicht deaktivieren/löschen, solange ich keine Telefonnummer angebe. Gut, von mir aus darf sich Discord der Hoffnung hingeben, dass ich eines Tages meine Telefonnummer doch noch herausrücken werde.
Zum eigentlichen Problem:
Vermutlich ist die Discord-App nur ein getarnter Webbrowser. Beim Start wird die App wohl geschaut haben, ob es bereits einen Access-Token gibt (und vermutlich nur bei deinem Standardbrowser). Diese Suche kann aus mehreren Gründen nicht erfolgreich sein und du wirst dann freundlich gebeten, dich auch bei der App zu authentisieren.
Auch wenn ich persönlich nichts mit Discord anfangen kann und auch nicht unbedingt den Eindruck habe, dass Discord eine "erhaltenswerte" Firma ist, glaube ich dennoch, dass Discord kein Interesse daran hat, liederlich mit deinen Personendaten umzugehen.
Es wäre natürlich schön, wenn man beim App-Start eine Erlaubnis geben müsste, um nach einem Access-Token zu suchen. Allerdings würde das wohl grosse Teile der Nutzerschaft verunsichern, weswegen man wohl darauf verzichtet. |
|
Back to top |
|
|
Erdie Advocate
Joined: 20 May 2004 Posts: 2652 Location: Heidelberg - Germany
|
Posted: Mon Dec 18, 2023 7:18 pm Post subject: |
|
|
Ich wurde nach eine Telefonnummer gefragt, als ich einem Server beitreten wollte. Ich probiere gerade das Spiel Valheim aus, was ich ganz interessant finde, bin aber der Meinung, dass man es im Coop mit anderen Leuten zusammen zocken sollte und es so wesentlich mehr Spaß macht. Von daher habe ich Discord wieder ausgegraben, da die ganzen Hardcorezocker eben dort tummeln. Aber mit closed source Anwendungen habe ich einfach schon meine Probleme. Kein Mensch weiß, was das Ding so macht. _________________ Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W |
|
Back to top |
|
|
Erdie Advocate
Joined: 20 May 2004 Posts: 2652 Location: Heidelberg - Germany
|
Posted: Wed Dec 20, 2023 9:35 am Post subject: |
|
|
Ich hatte das schon lange nicht mehr genutzt. Jetzt will das Ding mich zu einem Update zwingen, indem sich eine Fenster öffnet, das zum Download eine .dep oder .tat.gz Datei einlädt. Und man kann es nicht einfach schließen, man muß es killen wenn man gar nichts machen will.Solche Software liebe ich ja .. <Ironie off> _________________ Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W |
|
Back to top |
|
|
firefly Watchman
Joined: 31 Oct 2002 Posts: 5324
|
Posted: Wed Dec 20, 2023 9:54 am Post subject: |
|
|
Erdie wrote: | Ich hatte das schon lange nicht mehr genutzt. Jetzt will das Ding mich zu einem Update zwingen, indem sich eine Fenster öffnet, das zum Download eine .dep oder .tat.gz Datei einlädt. Und man kann es nicht einfach schließen, man muß es killen wenn man gar nichts machen will.Solche Software liebe ich ja .. <Ironie off> |
Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen? _________________ Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
Back to top |
|
|
Max Steel Advocate
Joined: 12 Feb 2007 Posts: 2270 Location: My own world! I and Gentoo!
|
Posted: Wed Dec 20, 2023 10:47 am Post subject: |
|
|
firefly wrote: | Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen? |
Letztlich ist es equivalent.
Aber die "standalone" Apps (hatten diese chromium-apps nicht noch einen anderen Namen? Irgendwas mit 'R'?) haben eine eigene Integrierung mit pipewire/libpulse zwecks Streamen von Bildschirminhalten, als auch eigene Audio/Video Einstellungen die vom Browser entkoppelt für Input und Output sind.
Außerdem muss man nicht den ganzen Browser mitstarten und es ist ein eigenständiges Fenster.
Also ja, hat Vorteile, aber ist letztlich nicht viel anders.
Alle Server von Discord werden von Discord gehostet. Also alles geht über deren Server, auch wenns ein persönlicher oder ein Gruppenchat ist.
Dafür können alle ihre eigenen Instanzen aufmachen.
Ich finds aber immernoch schade dass Teamspeak so in Vergessenheit geraten ist (von Mumble wollen wir mal lieber nicht reden). Die Möglichkeit einen eigenen Server zu betreiben hatte was. Entkopplung von "der Cloud", wenns irgendjemand ein Problem hat betrifft das mich nicht. und so weiter. _________________ mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
Back to top |
|
|
Erdie Advocate
Joined: 20 May 2004 Posts: 2652 Location: Heidelberg - Germany
|
Posted: Wed Dec 20, 2023 11:45 am Post subject: |
|
|
Ja, ich war lange in eine Hörspiel Community und dort wurde sehr lange Teamspeak verwendet. Irgendwann kam dann die jüngere Fraktion und warf den Vorschlag ins Feld doch Discord zu nutzen. Dann gab es lange Diskussion und letztendlich haben sich dann die Discorder durchgesetzt. Ich war auf der Teamspeak Seite, vor allem, weil die damalige Discord Version einen Bug hatte, durch den reines Alsa nicht mehr funktionierte und die Web Version war noch nicht vorhanden/ausgereift. Ich glaube, der ALSA Support funktioniert bis heute nicht. Da ich jetzt Pipewire nutze, ist das für mich nicht mehr relevant. Im Prinzip kann Teamspeak alles, was diese Yogies brauchen aber es ist eben nicht mehr sexy. Heute müssen es Massen von animierten, tanzenden Objekten sein, sonst wird es nicht akzeptiert. _________________ Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W |
|
Back to top |
|
|
Erdie Advocate
Joined: 20 May 2004 Posts: 2652 Location: Heidelberg - Germany
|
Posted: Wed Dec 20, 2023 11:55 am Post subject: |
|
|
firefly wrote: | Erdie wrote: | Ich hatte das schon lange nicht mehr genutzt. Jetzt will das Ding mich zu einem Update zwingen, indem sich eine Fenster öffnet, das zum Download eine .dep oder .tat.gz Datei einlädt. Und man kann es nicht einfach schließen, man muß es killen wenn man gar nichts machen will.Solche Software liebe ich ja .. <Ironie off> |
Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen? |
Wie schon gesagt, im Grunde tut es auch die Browser Version. Vermutlich werde ich die Standalone auch wieder löschen. So eine Vorgehensweise ist einfach nicht akzeptabel. Die glauben wohl, dass jeder Nutzer einfach so überall und alles an seinem Paketmanager vorbei installiert und setzen das auch noch strict voraus. Vlt ist es ja in der Windows Welt so, kann schon sein oder hat sich das inzwischen geändert? Habe schon lange kein Windows mehr, in der Firma nutze ich einen Mac. _________________ Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W |
|
Back to top |
|
|
Max Steel Advocate
Joined: 12 Feb 2007 Posts: 2270 Location: My own world! I and Gentoo!
|
Posted: Wed Dec 20, 2023 12:40 pm Post subject: |
|
|
Erdie wrote: | Vermutlich werde ich die Standalone auch wieder löschen. So eine Vorgehensweise ist einfach nicht akzeptabel. Die glauben wohl, dass jeder Nutzer einfach so überall und alles an seinem Paketmanager vorbei installiert und setzen das auch noch strict voraus. Vlt ist es ja in der Windows Welt so, kann schon sein oder hat sich das inzwischen geändert? Habe schon lange kein Windows mehr, in der Firma nutze ich einen Mac. |
Vorallem dass die ihren Loader in einer Version haben und am Ende dann trotzdem noch local in den user-home weitere Programmteile hin runterladen... Aber egal. mich nervt das auch regelmäßig, in der Regel reicht da ein version-push aber ist halt regelmäßig und nervig. Ich habe für solche Spielereien inzwischen meinen eigenen lokalen in den ich solche Versionspushes mache.
Was ich noch lernen muss ist dann regelmäßig einen bug-tracker Eintrag. Das Problem hierbei ist aber dass ich nicht täglich update und somit davon ausgehe dass meine aktuelle Version nicht die aktuelle ist.
Edith:
Es gibt wohl einen user-related hack der diese "loader-version inkompatibel" Sache deaktiviert. https://bugs.gentoo.org/905289 _________________ mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
Back to top |
|
|
firefly Watchman
Joined: 31 Oct 2002 Posts: 5324
|
Posted: Wed Dec 20, 2023 1:08 pm Post subject: |
|
|
Max Steel wrote: | firefly wrote: | Mal blöd gefragt: Muss es die "standalone" Version von Discord sein? Tut es nicht auch die Browser Version? Oder funktioniert diese nur mit bei Discord selbst gehostete Instanzen? |
Außerdem muss man nicht den ganzen Browser mitstarten und es ist ein eigenständiges Fenster.
|
Das Argument ist etwas schwach. Denn Chromium selbst ist zu 99% der Browser. Der rest ist nur eine UI darum. _________________ Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
Back to top |
|
|
firefly Watchman
Joined: 31 Oct 2002 Posts: 5324
|
Posted: Wed Dec 20, 2023 1:19 pm Post subject: |
|
|
Alternativ wäre die flatpak version. Bei flatpak kann man auch einiges an der sandbox drehen damit eine App so gut wie nichts am system machen kann.
z.b. kann man die flatpak sandbox so einstellen, dass eine flatpak app keinen Zugriff auf das host filesystem bekommt bzw. nur auf bestimmte Verzeichnisse.
Ich hab z.b. für skype, das ich beruflich nutzen muss, alle host filesystem zugriffe gesperrt.
Für kde plasma 5 gibt es kde-plasma/flatpak-kcm um solche Einstellungen bequem via einer UI einstellen zu können. _________________ Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2610 Location: Konradsreuth (Germany)
|
Posted: Wed Dec 20, 2023 1:25 pm Post subject: |
|
|
Abgesehen von Discord (kannte ich gar nicht …):
Wenn man seine Passwörter sicher speichern will, dann nimmt man pass. Exakt so würde ich es machen, wenn ich es selber machen würde. Ein Bash-Script, was meine Passwörter mit PGP verschlüsselt. Eine Datei pro Passwort. Kann auch mehrere Zeilen haben, man kann darin alles, was Text ist, speichern. Man kann es auf ein Git-Repository pushen (das kann ja auch gern öffentlich zugänglich sein, es landen ja nur PGP-verschlüsselte Dateien dort). Es gibt eine Android-App auf F-Droid. Wenn's GUI sein soll, gibt es QtPass. Für Firefox gibt es ein Plugin, mit dem man es direkt nutzen kann.
Ich nehme das für alles. Handy-PIN, -PUK, etc., Geheimzahl meiner EC-Karte, 2FA-Seed für KDE Identity (es gibt mit pass-otp ein pass-Plugin, um direkt 2FA-Tokens auszulesen. Das ebuild muss man aber patchen, damit bashcomp geht. Der Maintainer des ebuilds sieht nicht ein, dass er nicht recht hat ;-) … für alles. Funktioniert perfekt. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|