Diaspora und seine Probleme

Diaspora soll ein Peer-to-Peer-basiertes soziales Netzwerk mit fein abgestuften Einstellungen für die Privatsphäre werden.  Es soll eine Facebook-Alternative werden, welche mehr Wert auf Datenschutz legt. Letzte Woche veröffentlichten die vier Studenten Ilya, Dan, Maxwell und Raphael aus New York  einen Quellcode, der dazu dienen soll genau so ein Netzwerk aufzubauen. Bisher galt die Benutzerfreundlichkeit als  Schwachpunkt. Dieses Problem dürfte aber unwichtiger geworden sein: Es gibt zahlreiche Sicherheitslücken in dem System.  Sollte sich nicht sehr viel tun hat dieses Projekt leider keinerlei Chancen.

In jeder Web-Anwendung gibt es Bereiche die besonders geschützt werden müssen.  In vielen Stellen des Diaspora Codes wird nicht geprüft, ob der eingeloggte Nutzer immer noch der richtige ist und ob dieser die Operationen überhaupt ausführen darf. Dies ist ein schwerer Fehler im Konzept. Bei Diaspora kann man über die Manipulation der URL fast beliebig in den Daten anderer User herum spielen. SQL Injection findet man auch wie Sand am Meer. Die Idee von Diaspora mag für Anhänger von sozialen Netzwerken ja ganz nett sein, die technische Umsetzung ist zum jetzigen Zeitpunkt aber extrem schlecht und unsicher. Von einem Einsatz sollte man unbedingt absehen!

Quelle: http://www.theregister.co.uk/2010/09/16/diaspora_pre_alpha_landmines/


Kommentare

4 Kommentare zu Diaspora und seine Probleme

  1. phymr schrieb am

    Erhm, ja. Das Ding heißt “Pre-Alpha” und ist nichts weiter als ein Proof of Concept. Jegliche Kritik ist völlig Sinnlos. Bis Mitte Oktober wird sich daran eine Menge ändern, allerdings wird es bis dahin auch weiterhin eine Alpha bleiben.

    • Die Kritik ist eben nicht sinnlos. Es handelt sich nicht um einzelne Bugs, sondern schlicht um erhebliche Schwächen im Konzept. Authentifizierung ist nicht das selbe wie Autorisierung: Überall wo es darum geht Nutzerrechte zu prüfen gibt es Fehler. Diaspora will auch sicherer sein als Facebook. Sicherheit fängt schon beim Design der Software an. Jeder der einen Acc hat, könnte volle Rechte innerhalb von Diaspora bekommen, in dem er z.b Nur die URLs etwas anpasst. Der Anspruch mehr wert auf Datenschutz zu legen wäre damit auch futsch. Und das ist nur ein Beispiel.. das geht bei vielen kritischen Punkten so weiter. Es war einfach ein Fehler den Code jetzt schon zu veröffentlichen. Entweder sie halten den Termin nicht, und bekommen zumindest die wirklich krassen Fehler in den Griff oder sie halten den Termin.. und liefern für die Nutzer gefährliche Software. Natürlich ist mir klar das dies ein open source projekt ist, dennoch wäre in meinen Augen eine Veröffentlichung erst ratsam gewesen wenn zumindest das “Fundament” steht.

  2. tarzun schrieb am

    Was ich an dem “Disapora-Hype” als “dezentralem Facebook-Killer” nicht verstehe: Warum meldet sich alle Welt gleich auf dem ersten verfügbaren Server an und wie soll das Ding den “Datenschutz stärken”. Ich muss doch meine Daten veröffentlichen, damit ich gefunden werde und mein soziales Netzwerk hegen und pflegen kann. Welchen Unterschied macht es also ob die Daten nun bei Facebook liegen oder von meinem Server auf die Peers verteilt werden? Wenn meine Daten öffentlich (halt dann auf meinem Server) liegen kann die ja auch nur wieder jeder sich nehmen. Wo issn da jetzt der Benefit?

    • Warum alle jetzt schon so einen Hype darum machen verstehe ich auch nicht. Die Idee ist nett, und man sollte man beobachten was daraus wird. Jetzt schon den Untergang von FB auszurufen halte ich auch für lächerlich.

      Die Idee hinter Disapora ist ja, dass man eben nicht allen Nutzern gleichermaßen Zugang zu seinen Daten geben möchte. Manche Personengruppen sollen vielleicht weniger sehen als andere. Das geht bei FB auch, aber Disapora will das ganze noch feiner einstellbar machen als bei FB. Der Nutzer soll insgesamt mehr Kontrolle bekommen. Neben bei soll es bei der steigenden Komplexität dennoch einfacher bedienbar sein, sagen zumindest die Entwickler. Die Peer-to-Peer Architektur ist auch noch ganz interessant.

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht öffentlich angezeigt. Verbindlich einzugebende Felder werden mit diesem Zeichen kenntlich gemacht: *

Weitere Informationen

Archiv aller Artikel

  • Feinstaubsensoren
  • SH-STOPPT-CETA