03 Jun Evernote-Konkurrent Memonic mit Schwächen

Hinweis: Gemäss Dorian Selz, Geschäftsführer und Mitgründer von Memonic, wurden verschlüsselte Verbindung (SSL) nun für alle Memonic-Benutzer aktiviert. Erfreulich! :)

Epicreal Team stellte mir unverbindlich eine kostenlose Lizenz zum Ausprobieren von ePic zur Verfügung.

Der Schweizer Evernote-Konkurrent Memonic geht gemeinsam mit «COMPUTER BILD» in die Offensive:

Herzstück der Kampagne ist eine Co-Promo mit der deutschen Computer Bild. Leser der morgen, am 4. Juni, am Kiosk liegenden Ausgabe erhalten einen lebenslangen Memonic-Account für 3,33 Euro. Der Deal kommt mit editorialer Begleitung im Heft und online, Memonic wird auf der Titelseite vertreten sein. Das reichenweitenstarke Magazin dürfte dem Online-Notizbuch einen markanten User-Pickup bescheren. […]

Nutzungsbedingungen

Grund genug für einen Blick auf die Mac-Version von Memonic zu werfen. Beim ersten Start von Memonic erscheint der so genannte «Titanium Installer», der darum bittet, die Nutzungsbedingungen genau zu lesen (Memonic wird mit dem gleichnamigen Framewerk entwickelt):

Mit gutem Grund, denn die Nutzungsbedingungen sind zwar erfreulich knapp behalten, beinhalten aber mindestens zwei Überraschungen (jeweils mit Hervorhebungen durch mich):

Communication over the Application which are accessible by the public at large (for example, with a web form) is made unencrypted over the Internet and may be read with simple technical means by third persons, and are clearly related not only to the sender but also to the recipient. The same applies to the delivery of an Email to the Service Provider. It is therefore strongly inadvisable to communicate confidential information to the Service Provider or to third parties over the Application or by Email.

Wieso nutzt Memonic keine verschlüsselten Verbindungen um die Privatsphäre der Memonic-Benutzer zu gewährleisten?

You grant to the Service Provider free of charge a non-exclusive, worldwide, and irrevocable right for commercial use and utilization in an anonymous form of the data submitted by you to the Service Provider in the context of this Application.

Wozu möchte Memonic die «anonymen» Daten der Memomic-Benutzer kommerziell nutzen und wie soll die anspruchsvolle (häufig unmögliche) Anonymisierung gewährleistet werden?

Beide Bestimmungen aus den Nutzungsbedingungen laden nicht dazu ein, Memonic auszuprobieren. Und ja, zumindest der Web-Zugriff auf Memonic erfolgt tatsächlich unverschlüsselt:

Auch noch aufgefallen ist mir, dass Memonic neue Notizen nicht zeitnah synchronisiert:

Fazit

Wieso gibt es immer noch Cloud-Dienste, die ihren Benutzern unverschlüsselte Verbindungen zumuten? Auch mit Verschüsselung gibt es noch genügend Potenzial für Sicherheitslücken …

Aber wie immer gilt: Selbst ausprobieren! Memonic ist für alle gängigen Plattformen und Systeme kostenlos erhältlich und kann entsprechend in aller Ausführlich ausprobiert werden.

20 Kommentare
  • Kettil
    Veröffentlicht um 20:53h, 03 Juni Antworten

    Ich versuche gerade von solcher Software àla Evernote los zu kommen. Ich habe auf meinem Server ein dokuwiki installiert und verwalte damit meine Ideen, Notizen usw. Da jedes Gerät ein Browser hat, funktioniert es auch ziemlich gut. Ich vermisse nur, dass man einfach nicht einfach Fotos hochladen kann, aber dies mache eh nur sehr selten.

    Gerade mit dem langen AGB und kurzfristigen Änderungen von AGB stehe ich letzter Zeit eher kritisch zu solchen Diensten, auch wenn sehr bequem zu benutzen sind.

    • Martin (MacMacken)
      Veröffentlicht um 20:59h, 03 Juni
    • Bianca Blüchel Partner bei Mutscheller & Kollegen
      Veröffentlicht um 18:06h, 12 August

      Hier ein Tipp: Web-Recherche von macropool (www.macropool.de)
      Das Tool führt ein Mauerblümchendasein im Schatten von Memonic & Co.
      Es hat es aber in sich. Es gibt eine Outlook-Erweiterung mit der man E-Mails und Anhänge in die Web-Recherche “schießen” kann. Die WR kann auch als Referenzablage dienen. Ich habe z. B. meine ca. 500 Zeugnisübersetzungen dort abgelegt, die ich dann bequem durchsuchen kann.
      http://www.stroica.com/fehlerhafte-links/
      Einfach mal schauen, bei Rückfragen helfen wir gerne. Wir lokalisieren zur Zeit die englisch Version “WebResearch”.

      Bianca Blüchel

  • Thomas
    Veröffentlicht um 10:17h, 04 Juni Antworten

    Die verschlüsselte Verbindung scheint eines der Extrafeatures des Premium-Plans zu sein ;)
    http://www.memonic.com/subscription/plans

    Naja, wenn man das Premiumangebot günstig raushaut, kann man immer noch die ‘anonymen’ Userdaten zu Geld machen ;)

    • Martin (MacMacken)
      Veröffentlicht um 11:02h, 04 Juni

      Bei Evernote war Verschlüsselung früher auch eine «Premium»-Funktion – aber dann hat Evernote gelernt, dass sich sichere Verbindungen als «Premium» nicht rechtfertigen lassen … dito inzwischen ja auch Facebook und Twitter.

  • Dorian
    Veröffentlicht um 19:03h, 04 Juni Antworten

    Gerne möchte ich kurz zu Martin’s Post Stellung nehmen (Ich bin Mitgründer und CEO von Memonic)

    Zu SSL für alle:
    Ja wir werden das rasch für alle anbieten. Wir sehen das Argument, das du vorbringst.

    Zu den AGB:
    Um was geht es hier: Ein Nutzer nutzt die Memonic Plattform mit eigenen Daten, die klar und eindeutig ihm gehören – Siehe Artikel 7 AGB – Geistiges Eigentum (Und was übrigens auch die Schweizer Datenschutzgesetzgebung regelt). Allerdings, damit wir seine Daten überhaupt bearbeiten können, muss ein Nutzer uns das Recht dazu explizit einräumen (wiederum auch bedingt durch die CH-Datenschutzgesetzgebung). Da wir die Plattform auch mithilfe von Software von Dritten betreiben, muss das auch ausgedehnt werden auf Dritte.

    Um es bildhaft auszudrücken: Wenn man mit der Bahn fährt, muss man sich an die Hausordnung der Bahn halten und der Bahn das Recht gewähren, dass sie einem von A nach B transportiert und dafür – zum Beispiel für Tickets – Daten erfasst.

    Mit anderen Worten der Passus ist kein Hintertürchen, um Schindluderei mit Daten zu betreiben, sondern die explizite Darstellung des Sachverhaltes, dass wir als Plattformbetreiber die eingegeben Daten zum Beispiel speichern, so bearbeiten, dass sie auch mobile zugänglich sind (z.B. Thumbnails von Bildern erstellen), etc.

    Alles andere wäre auch nicht statthaft.

    • Martin (MacMacken)
      Veröffentlicht um 20:16h, 04 Juni

      Vielen Dank, Dorian, ich schätze Deine Rückmeldung!

      Die angekündigte Einführung von verschlüsselten Verbindungen für alle ist erfreulich – auch mit Blick auf das Konkurrenzverhältnis zu Evernote. Die Begründung zu den AGB leuchtet grundsätzlich ein, aber ich frage mich, ob das angestrebte Ziel nicht mit weniger Potenzial für Missverständnisse zu formulieren wäre – heute fällt es leicht, dem Memonic-Team zu vertrauen, aber wird das auch noch möglich sein, wenn Memonic zu einem späteren Zeitpunkt, aber mit den gleichen AGB den Eigentümer wechselt?

  • Nils
    Veröffentlicht um 22:28h, 04 Juni Antworten

    Das COMPUTER BILD-Angebot kann man wie folgt nutzen:

    1. http://www.computerbild.de/aktion/memonic
    2. zd-8989-qj
    3. Bezahlen!

    • Martin (MacMacken)
      Veröffentlicht um 22:34h, 04 Juni

      Funktioniert, merci für den Tipp!

  • Frank
    Veröffentlicht um 22:46h, 04 Juni Antworten

    Noch ne Schwäche: Die Mac-App ist mehr ein primitiver Browser als eine native App. Schon versucht mit Klicken und Ziehen einer Textdatei eine neue Notiz zu bauen?

  • Patrik
    Veröffentlicht um 23:41h, 04 Juni Antworten

    Verständnisfrage: Wenn ich ein Clip oder eine Notiz speichere, dann auf “öffentlich” setze, kann ich einen permanenten “Link schnappen” zu dem Clip / der Notiz. Wenn ich danach das Gespeicherte wieder auf “privat” setze und dann “lösche”, liegt es im Papierkorb, ich seh’s nirgends mehr, ausser ich klicke auf “Papierkorb”. Und dennoch ist das Dokument weiterhin öffentlich einsehbar für alle jene, die den Link kennen. Genau wie beschrieben bin ich mit dem verfahren (grosses Indianerehrenwort!):
    http://www.stroica.com/fehlerhafte-links/
    Wer darauf klickt, sollte – meinem Gefühl nach – das nicht zu Gesicht bekommen. So ist es aber nicht. Fallbeispiel: Angenommen, ich habe den Link verschickt, und finde nach einem Tag, wenn alle Adressaten das Dokument gesehen haben, dass es jetzt wieder “privat” sein soll, damit es nichts mehr nützt, wenn jemand den Link unbefugterweise zugemailt erhält, der das vielleicht nicht sollte, dann wiege ich mich in falscher Sicherheit. Denn ich habe zwar “privat” eingestellt, aber der Link funktioniert weiterhin. Bin nur ich es, der das ein mittleres Privacyproblem findet? Oder habe ich eine Spielregel von memonic nicht verstanden? Heisst “privat” gar nicht, dass ausser mir niemand das Dokument sehen kann? Weder bei “Hilfe”, noch “Support”, noch “Forums” wurde isch schlauer.
    Erst wenn ich das Dokument im Papierkorb mit “Permanent löschen” entfernt habe, ist es definitiv weg. Für Aussehstehende. Und auch für mich…
    Memonic könnte äusserst praktisch sein. Aber das Privacyding – sofern ich nicht ganz falsch liege – dämpft meine Euphorie ein wenig!

    • Martin (MacMacken)
      Veröffentlicht um 00:15h, 05 Juni

      @Patrik: Ich kann Deine Beschreibung problemlos reproduzieren – meine entsprechende Notiz erscheint zwar mit einem roten «Privat»-Hinweis, ist aber dennoch weiterhin Internet-öffentlich über den temporär verwendeten Teilen-Weblink zugänglich.

      Verwendet Memonic allenfalls «Lazy Revocation», das heisst früher oder später ist die wieder als privat deklarierte Notiz nicht mehr Internet-öffentlich zugänglich?

    • Toni Birrer
      Veröffentlicht um 02:06h, 05 Juni

      Hallo.
      Die Sache mit dem Link kann ich erklären.

      Wenn man die Funktion “Den Link schnappen” benutzt (oder auch per Mail, Twitter oder Facebook teilt), wird ein Gästepass erstellt. Also ein Link der Zugang zu dieser Notiz gewährt, unabhängig ob die Notiz öffentlich oder privat ist.

      Den Gästepass erkennt Ihr am /gp/ im URL.
      http://www.stroica.com/fehlerhafte-links/

      Die normale URL deiner Notiz ist:
      http://www.stroica.com/fehlerhafte-links/
      Und diese ist dann für alle bis auf den Besitzer auch gesperrt.

      Mit den Gästepass kann man private Notizen mit bestimmten Personen teilen ohne das diese Memonic Benutzer sein müssen und ohne man die Daten gleich Google und der ganzen Welt preisgibt. Was uns noch fehlt ist eine Dialog mit dem der Besitzer einzelne Pässe zurückziehen kann. Daran arbeiten wir noch.

      Das die Notiz per GuestPass auch dann noch sichtbar ist wenn sie im Papierkorb liegt ist aber wirklich eine Macke und die werden wir schnell beheben.

      Gruss,
      Toni
      Co-Founder / memonic.com

    • Martin (MacMacken)
      Veröffentlicht um 11:53h, 05 Juni

      @Toni Birrer:

      Mit den Gästepass kann man private Notizen mit bestimmten Personen teilen ohne das diese Memonic Benutzer sein müssen und ohne man die Daten gleich Google und der ganzen Welt preisgibt. Was uns noch fehlt ist eine Dialog mit dem der Besitzer einzelne Pässe zurückziehen kann. Daran arbeiten wir noch.

      IMHO sollte es genügen, wenn man eine Notiz wieder auf «Private» oder «Friends» setzt. Ich vermute, den wenigsten Benutzern ist klar, dass ein «Gästepass»-Weblink bedeutet, dass die entsprechende Notiz Internet-öffentlich bleibt, solange sie existiert.

  • Dorian
    Veröffentlicht um 12:04h, 07 Juni Antworten

    @Martin und alle andern: Wir haben den SSL für alle, d.h. auch Gratis-Nutzer aktiviert.

    • Lukas
      Veröffentlicht um 12:18h, 07 Juni

      Danke – ich würde euern Service gern ausprobieren und wäre auch bereit zu zahlen.
      Was mich abhält? – Wenn die Android Applikation beim ersten Start (ohne Interaktion) schon einen Absturz bewirkt ist das ein No-Go.
      Apropo: Wieso startet Ihr erst die Hauptactivity (kurz sichtbar ohne Login) um nachher die Loginactivity zu laden?

    • Thomas
      Veröffentlicht um 12:22h, 07 Juni

      Auch wenn es etwas Off-Topic abdriftet: Mich wuerde mal interessieren, wie viel mehr Last SSL fuer Eure Server eigentlich bedeutet.
      Ich erinnere mich dunkel an einen Blog-Eintrag, dass bei Google die Hauptlast in der SSL-Benutzung durch die Authentifizierung/Handshake enrzeugt wird und dass die nachfolgende Verschluesselung des Datenstroms eigentlich zu vernachlaessigen sei im Vergleich zur unverschluesselten Verbindung.

      Auf die Schnelle habe ich den Beitrag zwar nicht gefunden, aber dafuer zwei verwandte interessante Kommentare ;)
      http://www.semicomplete.com/blog/geekery/ssl-latency.html
      http://blog.chromium.org/2011/05/ssl-falsestart-performance-results.html

      Demnach sollte man elendig viel Last einsparen koennen, wenn man neue Handshakes durch keep-alive-Flags soweit moeglich reduziert.

    • Martin (MacMacken)
      Veröffentlicht um 15:18h, 07 Juni

      @Dorian:

      @Martin und alle andern: Wir haben den SSL für alle, d.h. auch Gratis-Nutzer aktiviert.

      Erfreuliche Neuigkeiten, vielen Dank!

Kommentieren