最近看到象友提到安全性問題,剛好看到 EFF 寫了篇專題,就轉過來順便聊一下。

eff.org/deeplinks/2022/11/mast

mastodon 跟 twitter 還有大部分的社群網站一樣,皆未使用 e2ee(端對端加密)。甚至筆記用的 notion(之前在隱私權政策,還有過去事蹟都蠻不好看的)、團隊常使用的 slack、遊戲常用的 discord 都沒有用。

這代表的意思是不管是公開、非公開訊息、私訊,都可能被網站經營者查看。當伺服器出現問題 or 收到法院傳票時,也有可能主動或被動的資料外洩。

不過 twitter 這種老牌社群網站的好處,是通常都有蠻強的安全團隊。

而 mastodon 給予的好處則是開源、誠實與選擇。

開源讓錯誤可以快速回報、維修;聯邦制可以選擇自己架,或是信任的經營者;而從註冊的使用者條款與隱私權政策,還有 DM 時的提醒,都誠實並努力讓使用者不陷入安全的假想。

而多樣化的跨站、站內的靜音、封鎖、回報功能,則把審核權交還給使用者。

1)

4. 敏感內容過濾

有別於Facebook, Twitter等中心化社群網站,Mastodon基本上把內容過濾(色情、暴力、兒童色情等)全權交給了站點管理員。基本上這更增添了敏感內容過濾的複雜度。

看起來使用機器學習幫助內容過濾是很合理的作法,但我還沒有仔細研究Mastodon目前慣用的實作(乍看之下好像純靠管理員?)

如果要加上點對點加密,情境就更困難了 -- 唯一抵抗惡意的防線剩下在用戶端的機器學習。

顯示討論串

真的要做嚴格的點對點加密(除了收發人,不管是管理員或營運公司都無法解密),易用性以及安全性絕對是一個tradeoff

用戶需要妥善管理自己的私鑰(不管用什麼形式),比方說如果私鑰不見,資料不管如何也無法回覆。

或許有更聰明的設計可以降低這個問題,但基本上仍然會回到信任模型以及複雜的系統設計挑戰

顯示討論串

3. (點對點)加密

那麼,有沒有可能以Mastodon為基礎強化私訊的安全性呢?

我稍微搜尋了一下,看到了幾個嘗試

github.com/soatok/mastodon-e2e

感覺是往對的方向發展 -- 在用戶端進行加解密。然而,這些設計有多少可以套用/相容到ActivityPub目前還不明朗。如果ActivityPub相容的其他軟體無法讀取,我不確定從Mastodon開始改善是否真的優於從頭設計一個系統。

github.com/mastodon/mastodon/p

前篇直接說這篇是往錯誤的方向發展 -- 在伺服器加解密。我完全同意這看起來沒有解決任何威脅模型

(這個可以討論更多,分到下一則)

顯示討論串

忘了先講,這些嘟的用意不是反對Mastodon或說他不好,而是試著做合理的安全分析。

我的理解很有限,甚至還沒花時間深入研究ActivityPub,如果有錯請指教。

顯示討論串

2. 資料安全

當你試著用Mastodon傳私訊時一定看過「Mastodon 上的嘟文並未端到端加密。請不要透過 Mastodon 分享任何敏感資訊。」的警告訊息

當alice@a.party傳訊給bob@b.party時,訊息是以明碼送到a.party,再轉到b.party,然後bob可以在b.party的站點看到

這表是除了alice以及bob以外a.party以及b.party的管理者都有看的到這則訊息(尤其是直接查詢資料庫時)。如果有任何駭客取得的a.party或b.party的權限他們有看得到。

這個安全模型坦白說比Twitter, Facebook或大多數的即時通訊軟體脆弱的多。在Mastodon上就算發私訊或「限追蹤者」嘟,我大概還是會假設全世界都有可能會看到。

顯示討論串

相當享受現在的隱居生活,抑鬱時更是想從所有社交網路與朋友圈的視野消失。

跟十幾年前的暢所欲言自己比,現在發言常常是再三斟酌,擬完稿後又刪掉。另一方面又很討厭這樣的自己。

想在這邊寫些筆記但又不是很有動力。會試著寫一些,但心累了就不寫了。

1. 系統安全

Mastodon是由許多志願者架設站點所組成的聯邦。許多站點可能都是由數個或一個志願者維護。這些志願者可能有優秀的資訊安全長才(也可能沒有)。但簡單來說,數個志願者對於系統安全的關注很難與FB或Twitter可以砸上百個(或更多)SWE/SRE人員去盯安全及營運匹敵,盯好從作業系統, web server, 各種components的漏洞以及zero day attack

這個可以落落長的討論,但我先在此打住。然而,這個問題會被下一個問題(資料安全)所放大

顯示討論串

開一串來筆記一下對於Mastadon資訊安全的了解。我還沒有深入研究Mastodon及ActivityPub,以下都是基於粗淺了解的想法,很可能有謬誤的地方。

首先,Mastodon的核心概念以及強項是去中心化,而不是資訊安全。任何人只要有一些資訊能力以及一些預算,都可以自己架設站點。沒有任何公司、國家可以完整的下架或控制Mastodon。比方說Twitter可以封禁川普,但如果川普選擇請人自架Mastodon的話是很難被封禁的。

然而,Mastodon單純在資訊安全方面我認為是不如Twitter、Facebook等由大公司營運的中心化群網站。這可以分成幾點討論
1. 系統安全
2. 資料安全(站點及管理者可獲取的資料權限)
3. (點對點)加密
4. 敏感內容過濾(嚴格上不算資訊安全)

此外應該還有很多方面可以討論...

2014年前比較熟悉這些,最後一次自己弄DNS大概是2015-2016,還好沒有忘光。

顯示討論串

使用DigitalOcean MarketPlace 1-click app弄了一個測試站大約花了一小時 (包含NameCheap買domain, 註冊Mailgun, 設定email DNS時卡了一下)

如果不用DigitalOcean的template應該會久很多
目前自架Mastodon實在不是對非computer sciences背景的人友善的選擇

顯示討論串

來試試唸起來很像Mascarpone cheese的Mastodon。

g0v這大概不會是永久的家,如果覺得有趣好用的話應該會自架。

g0v.social

去中心化社群架設的去中心化社群網站。宇宙小酒館