The fediverse is a privacy nightmare German

Lemmchen, 11 months ago

Die Tatsache, dass auch DMs über Servergrenzen hinweg migrieren, leuchtet zwar ein, war mir so aber vorher auch nicht klar.
Ist eine Möglichkeit geplant DMs irgendwie e2ee hinzubekommen? Ich möchte eigentlich nur ungern meinen Matrix-Account linken. Der wird a) kaum genutzt und ist b) mit einer anderen Online-Identität verknüpft.

srai, 11 months ago (edited 11 months ago)

Ich wollte grade schreiben, dass das ja auch mal ein guter Grund ist, sich einen GnuPG Keypaar zu erstellen und in den Publickey in die BIO zu werfen, aber die BIO hat nicht genügend Zeichen für um einen Key zu hinterlegen. @wintermute kannst du die Länge der Bio vielleicht ändern über eine config ändern?

Längerfristig wäre es vielleicht sinnvoll ein feature request im git zu posten, dass DMs nur verschlüsselt versendet werden und die Keys unförderiert auf den Heimatinstanzen liegen. Das erhöht dann die Privatsphäre ein bisschen.

wintermute, 11 months ago

kannst du die Länge der Bio vielleicht ändern über eine config ändern?

Nicht ohne weiteres, vllt. wäre es eine Idee in GitHub ein Feature-Request zu öffnen?

Lemmchen, 11 months ago

Reicht nicht schon der Fingerprint um den Key von einem Server zu laden?

gapbetweenus, 11 months ago

Öffentliches Forum ist nicht Privat?!

DubioserKerl, 11 months ago

Na ja, Auch in einem öffentlichen Forum hätte ich wenigstens erwartet, dass DMs privat sind.

gapbetweenus, 11 months ago

Leichter davon auszugehen das alles was im Internet landet öffentlich zugänglich ist, wenn man es selber nicht verschlüsselt hat.

DmMacniel, 11 months ago

Wenn du private Korrespondenz möchtest, benutz lieber Verschlüsselung.

Seltsamsel, 11 months ago

Die angesprochenen Punkte sind ja durchaus berechtigt und ich denke es ist wichtig, dass Benutzer verstehen, was für Daten verschickt werden, wohin, wo sie dann persistent liegen und damit verbunden, welcher Hoheit sie obliegen um sie im Zweifel wieder löschen lassen zu können.

Am Ende des Tages passiert im Fediverse nichts groß anderes als auf monolithischen Plattformen, nur dass dort die Daten innerhalb eines Rechenzentrums verschickt und persistiert werden, d.h. insbesondere von außen erstmal nicht ohne weiteres einsehbar sind. Ich sehe hier aber eine ähnliche Gefahr wie durch Security by Obscurity. Der Datenverkehr ist hinter verschlossenen Türen innerhalb eines Rechenzentrums und damit sicher. Aber das gilt nur solange die Prämisse erfüllt ist, dass die Türen verschlossen bleiben, was, wie sich in der Vergangenheit mehrmals gezeigt hat, nicht immer gegeben ist. Auch der Teil mit dem löschen von Daten ist natürlich vor dem Hintergrund der wiederhergestellten gelöschten Kommentaren auf Reddit kein gutes Argument gegen Fediverse. Kommerzielle Unternehmen mit Werbekunden haben im Gegensatz zum Fediverse eine intrinsische Motivation die Daten der User nicht zu löschen.

Beim Fediverse weiß wahrscheinlich so gut wie jeder Teilnehmer, dass vieles was man so tut quer durch das Internet verschickt wird und entsprechend stellt sich automatisch eine höhere Sensibilität darüber ein, was man eigentlich für Daten preisgibt.

waka, 11 months ago

In other news, people posting a picture onto a lamppost loose all means of preventing people from seeing it there.

Tvkan, 11 months ago

Also the picture cannot be taken off and replicates itself and appears on hundreds of other lampposts around the world. I don't think that's intuitive for most people, who're used to being able to delete stuff - as most personal content isn't automatically mirrored by hundreds of other.

waka, 11 months ago

The lesson is the same: You are posting to a public forum, so you are effectively handing over your rights to your content to the internet. Do not expect the internet to suddenly agree to give it all back to you and erase all traces of it; see the Barbara Streisand effect.

christian_b, 11 months ago

You are right, when it is about you posting your content online.

When it comes to posting other people’s content or online bullying, this is a problem.

plistig, 11 months ago

Bei Facebook, Twitter oder Reddit ist man wiederum vollkommen privat und niemand würde auf die Idee kommen deren Inhalte zu scrapen ...

Ranessin, 11 months ago

Ja, ist ein öffentliches Forum, ich sehe das Problem jetzt nicht wirklich. Eventuell bezüglich DMs, aber ansonsten? Ich stell das Zeug ja absichtlich und bewusst in die Öffentlichkeit.

plistig, 11 months ago

Bei Facebook, Twitter oder Reddit ist man wiederum vollkommen privat und niemand würde auf die Idee kommen deren Inhalte zu scrapen ...

notepass, 11 months ago

Oder in die Datenbank zu schauen

PonyOfWar, 11 months ago

Da ich hier bewusst in einem öffentlichen Forum schreibe habe ich kein Problem dass meine Posts eben öffentlich sind. Ich denke aber dass es eine interessante Frage ist, ob und wie das Fediverse DSGVO-konform sein kann.

notepass, 11 months ago (edited 11 months ago)

Kurze Antwort: Nein

Lange Antwort: lol, nein

Ich könnte jetzt eine Anfrage an den Admin der Instanz senden, bezüglich mit wem Daten geteilt wurden und der bitte sämtliche meiner Daten hier und bei allen geteilten Instanzen zu löschen. Das erste wird schon schwer zu beantworten sein, das zweite ist ja aus Design ziemlich genau unmöglich.

Die DSGVO ist was schönes, aber es stört mich ungemein, dass für milliardenschwere Unternehmen und Freizeitprojekte ohne Erlöse von Privatpersonen dieselben, Recht komplexen, Regeln gelten.

Edit: Alles bullshit, siehe Kommentar von [email protected]

Mettbratwurst, 11 months ago

deleted_by_author

Ranessin, 11 months ago

Eine völlig ausreichende Verteidigung in dem Fall. DSVGO ist kein magischer Zauberstab, der dafür sorgt, dass deine komplette digitale Vergangenheit auf einer Plattform simsalabim getilgt werden muss. Am besten noch auf allen Geräten, die jemals deine Posts gelesen haben oder davon etwas gespeichert haben könnten (Screenshot, CTRL-C/CTRL-V). Das setzt die DSVGO schon recht sinnvoll Grenzen des Möglichen und Notwendigen.

Vegoon, 11 months ago

Auch auf einer Platform die alles richtig macht und sich perfekt an die DSGVO hält können Personen screenshots machen, den Inhalt der Seite kopieren ohne dass die Betreiber bei Löschanträgen Dritten hinterherlaufen müssen um jede Spur eines Posts zu löschen. Imho können sich einzelne Instanzen an die DSGVO halten und sind nicht verantwortlich für andere die gelöschte Inhalte trotzdem anzeigen.

schnauzer, 11 months ago

Kurze Antwort: Völliger Blödsinn

Lange Antwort: www.youtube.com/watch?v=ULUpvnA0KuI

Schon klar, die machen das alle falsch hier, der Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit betreibt unter social.bund.de eine illegale Mastodon-Instanz muss man wissen, das müsste man direkt mal dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sagen!

Ich könnte jetzt eine Anfrage an den Admin der Instanz senden, bezüglich mit wem Daten geteilt wurden

Dann mach das, und dann kriegst Du eine Antwort gem. Art. 15 (1) © DSGVO: “… die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden …”, und dann steht da drin “Fediverse Instanzen und User” o.ä., Ende.

der bitte sämtliche meiner Daten hier und bei allen geteilten Instanzen zu löschen

Auch hier würde es helfen, einfach mal zu lesen, was da tatsächlich steht: Art. 17 (2) DSGVO: “Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen …”

Und wenn Du im Fediverse etwas löschst oder gelöscht haben willst, gibt deine Instanz das weiter. Wenn eine weitere Instanz das nicht tut, musst Du Dich an die wenden. Oder meinst Du die DSGVO verpflichtet feddit.de zu Usern nach Hause zu kommen und die Posts da zu löschen wenn Du das gerne hättest?

notepass, 11 months ago

Hin und wieder freue ich mich, mich zu irren. Das ist einer dieser Fälle.

Danke!

ratatosk, 11 months ago

Warnung! Öffentliche Diskussionsplattform als öffentlich enttarnt!

[…] Wie Experten heute verlauten ließen, hat sich eine Plattform, die als Abwehr von Zensurversuchen geplant wurde, als unzensierbar erwiesen […]

Es tut inzwischen nicht mal mehr weh.

xiao, 11 months ago

So what 😎 ?

I think that most of people using ActivityPub do not share sensitive personal data on those app. In the GAFAM game those data (and hidden ones) are collected, exploited, and sold on purpose.

If someone needs to share sensitive informations better to use Jami, SimpleX, Tox protocol, and so on…

WhiteHotaru, 11 months ago (edited 11 months ago)

Ich frage mich, warum um die Natur des Fedivers so ein Aufriss gemacht wird. Usenet hatte dieselben Qualitäten und dort hat sich niemand aufgeregt. E-Mail war lange Zeit auch nicht unbedingt auf dem Weg geschützt und dennoch haben die Menschen die privatesten Dinge per Mail geschrieben.

Ich begrüße die erhöhte Datenschutzaufmerksamkeit, doch für mich sind gerade Lemmy und Mastodon öffentliche Diskussionsmedien. Wenn ich nicht möchte, das etwas nicht (Edit: doppelte Verneinung) öffentlich wird, darf ich mich nicht auf öffentlichen Plattformen bewegen.

Ich finde es gut, dass durch den Artikel auch deutlich wird, dass DMs nicht Privat sind. Dort haben Nutzende wahrscheinlich eher das Gefühl unter sich zu sein und hier sollte auch nachgebessert werden.

notepass, 11 months ago

Wenn ich nicht möchte, das etwas nicht öffentlich wird, darf ich mich nicht auf öffentlichen Plattformen bewegen.

Es gibt einen großen Haufen Leute, die auf sozialen Medien "private" Accounts haben, die nur von Leuten, die ihnen folgen eingesehen werden können. Das ist glaube ich die Zielgruppe die hier am ehesten angesprochen werden soll. Auch wenn ich private Accounts in öffentlichen Medien nie ganz verstanden habe.

WhiteHotaru, 11 months ago

Im Fedivers müsste ich halt eine eigene Instanz betreiben, diese nicht föderieren und meine homies einladen. Macht halt keinen Sinn.

aard, 11 months ago

. Usenet hatte dieselben Qualitäten und dort hat sich niemand aufgereg

Usenet war eher noch oeffentlicher - hier sind gewisse Daten nur verfuegbar wenn man eine Instanz betreibt, waehrend bei Usenet praktisch alles im Header war.

Auch gegenueber einem eigenen Blog oder so ist Lemmy - dank der idiotischen Impressumspflicht mit der engen Auslegung was ‘privat’ ist - besser wenn man unter Pseudonym schreiben will.

dass durch den Artikel auch deutlich wird, dass DMs nicht Privat sind

DMs sind auf keinem der sozialen Netzwerke wirklich privat - reddit duerfte da eines der schlimmsten sein, aber grundsaetzlich werden DMs praktisch ueberall auf bestimmte Verletzungen gescannt, und koennen vom Plattformbetreiber eingesehen werden.

Um das zu beheben braucht es volle Ende-zu-Ende-Verschluesselung, und der Schluesselaustausch sowie Backup von Schluesseln und Wiederherstellung ist nicht trivial - und da Lemmy die Moeglichkeit hat einen Matrix-Account im Profil zu hinterlegen wo das alles geloest ist eher unnoetiger Aufwand.

ChrisOboe, 11 months ago

E-Mail war lange Zeit auch nicht unbedingt auf dem Weg geschützt

und ists immer noch nicht. Da kann ja auch jeder beteiligte provider mitlesen wie er möchte. e2ee hat sich da ja nie ernsthaft durchgesetzt.

CookieJarObserver, 11 months ago

Welcome to the internet, if you want privat stuff use matrix, this is a 100% public forum, that’s how basically everything works, once posted its open to everyone, the internet doesn’t forget, it never had forgotten anything actually, everything is stored permanently.