Mike Kuketz
29. Oktober 2018 | 10:56 Uhr

Mastodon: Datenschutz und Sicherheit verbesserungsfähig

Mastodon ist eine großartige Plattform und wunderbare Alternative zu Twitter – das steht außer Frage. Allerdings müssen wir uns auch bei dezentralen, offenen Plattformen wie Mastodon mit dem Thema Datenschutz und Sicherheit befassen.

Anbei ein paar Beobachtungen und Verbesserungsmöglichkeiten:

  • Deutsche Datenschutzerklärung: Viele (oder die meisten) deutschen Mastodon-Instanzen haben keine Datenschutzerklärung in deutscher Sprache. So war es bis vor ein paar Tagen auch auf der Instanz, die ich gewählt hatte: social.tchncs.de. Nach einem kurzen Hinweis an den Admin dieser Instanz (@milan) war eine Lösung schnell gefunden: Wenn man in den Administrationseinstellungen das Feld bei Sprache leer lässt, bietet Mastodon automatisch eine Sprachversion an, die zu den Browsereinstellungen passt.
  • IP-Logging über 12 Monate: Der unveränderten Datenschutzerklärung einer Mastodon-Instanz lässt sich folgendes entnehmen: »Die letzte verwendete IP-Adresse wird bis zu 12 Monate lang gespeichert.« Das ist ein langer Zeitraum. Auch hier wollte ich vom Administrator (@milan) der Instanz wissen, ob eine solch lange Speicherung technisch überhaupt erforderlich ist. In meinem Toot an Milan habe ich ebenfalls auf eine mögliche Lösung verlinkt: Privacy option: Disable storage of IP addresses. Aktuell warte ich auf Rückmeldung von Milan, der diese Speicherdauer verkürzen möchte.
  • Veraltete Mastodon-Instanzen: Viele Mastodon-Instanzen setzen veraltete Versionen bzw. Software ein (bspw. < 2.5.2) die für eine Reihe von Schwachstellen anfällig sind. Unter anderem:
    • Fix XSS vulnerability (#8959)
    • Bump nokogiri from 1.8.4 to 1.8.5 (#8881)
    • Fix vulnerability allowing impersonation of remote users (#8372)
    • […]

    Über den Instanz-Filter könnt ihr sehen, dass aktuell 513 Mastodon-Instanzen Versionen kleiner als 2.5.2 einsetzen. Das ist ein äußerst bedenklicher Wert. Zumal wir uns vor Augen führen sollten, dass die Dunkelziffer höher liegt, weil einige Instanzen die Versionsnummer nicht veröffentlichen.

Das solltet ihr tun – Handlungsempfehlung:

  • Weist den Administrator eurer Instanz auf die multilinguale Datenschutzerklärung hin, sofern er das Feld einfach leer lässt bzw. keine Sprache definiert.
  • Weist den Administrator eurer Instanz auf das übermäßig lange IP-Logging hin und ob er diese verkürzen mag – inklusive einer Anpassung der Datenschutzerklärung. Insgesamt wäre es sinnvoll dieses Thema beim Entwicklerteam von Mastodon gezielt anzusprechen.
  • Weist den Administrator eurer Instanz auf die Notwendigkeit von aktuellen Software-Versionen hin. Ansonsten sind die Nutzer einer Mastodon-Instanz unnötigen Risiken ausgesetzt, die bereits behoben wurden.

Auf geht’s – es gibt mal wieder viel zu tun. Auch im Mastodon-Universum.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
Fediverse
26. April 2022

Tschüß Twitter! Hallo Fediverse! Hallo Mastodon!

Bist du dabei? Schaffen wir es gemeinsam Social Media von den Fesseln kommerzieller Interessen zu befreien?
Mastodon Suche
4. November 2022

Mastodon: Die Mythen und Zweifel der Twitter-Community

Nachdem Elon Musk Twitter übernommen hat, erfreut sich das #Fediverse und insbesondere #Mastodon eines regen Zulaufs. Das schmeckt einigen Twitter-Nutzern…
Fediverse - Social-Media
9. September 2021

Das Fediverse: Social Media losgelöst von den Fesseln kommerzieller Interessen

Bringt das Fediverse womöglich das Potenzial mit, die Welt der sozialen Medien nachhaltig (positiv) zu verändern? Ich meine: Ja!
searx
5. November 2019

searx-Instanz: Einstellungen, Hintergründe und Infos zu www.kuketz-suche.de

Die Kuketz-Blog searx-Instanz hat das Ziel die Privatsphäre der Suchenden bestmöglich zu schützen.
Jitsi Meet
20. März 2020

Kurzanleitung: Jitsi-Meet-Videokonferenz per Browser oder App

Jitsi Meet ist eine Software, die Videokonferenzen mit einem oder mehreren Teilnehmern ermöglicht. Einfach, schnell und datenschutzfreundlich.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.