開一串來筆記一下對於Mastadon資訊安全的了解。我還沒有深入研究Mastodon及ActivityPub,以下都是基於粗淺了解的想法,很可能有謬誤的地方。
首先,Mastodon的核心概念以及強項是去中心化,而不是資訊安全。任何人只要有一些資訊能力以及一些預算,都可以自己架設站點。沒有任何公司、國家可以完整的下架或控制Mastodon。比方說Twitter可以封禁川普,但如果川普選擇請人自架Mastodon的話是很難被封禁的。
然而,Mastodon單純在資訊安全方面我認為是不如Twitter、Facebook等由大公司營運的中心化群網站。這可以分成幾點討論
1. 系統安全
2. 資料安全(站點及管理者可獲取的資料權限)
3. (點對點)加密
4. 敏感內容過濾(嚴格上不算資訊安全)
此外應該還有很多方面可以討論...
跟隨
2. 資料安全
當你試著用Mastodon傳私訊時一定看過「Mastodon 上的嘟文並未端到端加密。請不要透過 Mastodon 分享任何敏感資訊。」的警告訊息
當alice@a.party傳訊給bob@b.party時,訊息是以明碼送到a.party,再轉到b.party,然後bob可以在b.party的站點看到
這表是除了alice以及bob以外a.party以及b.party的管理者都有看的到這則訊息(尤其是直接查詢資料庫時)。如果有任何駭客取得的a.party或b.party的權限他們有看得到。
這個安全模型坦白說比Twitter, Facebook或大多數的即時通訊軟體脆弱的多。在Mastodon上就算發私訊或「限追蹤者」嘟,我大概還是會假設全世界都有可能會看到。
