هرکی ماستودون هاست می‌کنه عملا به همه دایرکتا و اکانت های پرایوت دسترسی داره دیگه؟ 🤔

@mostafa @brdia
به طور نظری بله، دسترسی داره. ماستدون رمزنگاری سرتاسر نداره و این یعنی اگر مدیر خودش بخواد قاعدتاً می‌تونه بره پایگاه دادهٔ کاربرها رو دستی باز کنه (مثلاً با فرمان‌های MySQL و غیره) و پیغام‌های خصوصی رو ببینه. *محیط مدیریت ماستدون* ولی چنین امکانی رو به مدیر نمی‌ده. من به عنوان مدیر #پرسادون تنها چیزی که می‌تونم ببینم (که کاربرهای عادی نمی‌تونن) نشونی ایمیلی هست که کاربر باهاش ثبت نام کرده، به علاوهٔ زمان آخرین ورود به سیستم و چند تا چیز جزئی دیگه.
این کل چیزی هست که من می‌بینم:

@mostafa @brdia
بعدش هم، معماری نامتمرکز ماستدون جوریه که انگیزهٔ زیادی برای فضولی مدیر باقی نمی‌گذاره. خوندن اطلاعات خصوصی کاربرها در دو حالت ممکنه برای مدیر جذاب باشه:
یکی این که تعداد کاربرها خیلی زیاد باشه که بشه باهاش کار آماری کرد یا اطلاعات رو به سرویس‌های تبلیغاتی فروخت. ولی هر کدوم از سرورهای ماستدون معمولاً خیلی کوچیک‌تر از این حرفان و بنابراین چنین کاری معمولاً به زحمتش نمی‌ارزه.

@mostafa @brdia
دومین حالت اینه که مدیر بخواد واقعاً بدجنس‌بازی دربیاره و آدم‌ها رو به طور موردی اذیت کنه: که این هم احتمالش کمه، چون دربیشتر موارد (باز هم به خاطر تعداد کم کاربرها و نسبت بالای مدیر-به-کاربر) مدیرها کاربرهاشون رو شخص‌به‌شخص می‌شناسن و روابط در کل سرور شبیه رابطه در یک گروه دوستی می‌مونه.

@masoud @mostafa خب فکر کن جمهوری اسلامی بیاد کلی سرور‌ ماستودون بیاره بالا و تبلیغشو بکنه

@brdia @masoud @mostafa اصل کلی اینه که نباید بری روی نمونه‌ای که خودت مدیرش نیستی یا به مدیرش اعتماد کامل نداری. یه سری نمونه‌ها مثل اینی که‌من روشم هم اصلاً امکان پیام خصوصی دادن و گرفتن رو از بیخ بستن.

@danialbehzadi @masoud @mostafa شاید تو از یه نسخه استفاده کنی که بهش اعتماد داری و یکی از فالوئرات روی نسخه تا امنه

@brdia @masoud @mostafa خب این آسیب‌پذیری کلی مفهوم شبکه‌های اجتماعیه‌ تو توییتر هم ممکنه یه امنیتی دنبالت کنه

@danialbehzadi @masoud @mostafa خب فرض کن تو فقط فالوئرایی که میشناسی و بهشون اعتماد داری رو اکسپت می‌کنی ولی اون فرد روی نمونه نا امن ماستودون باشه

@brdia @masoud @mostafa هیچ‌وقت نمی‌تونی مطمئن باشی تو ساختار شبکه‌های اجتماعی

@danialbehzadi @masoud @mostafa هیچ وقت تا فیزیکی نری از یکی کلید بگیری و e2e رمز کنی نمیشه مطمئن بود بحث احتمال آسیب پذیریه که توی این ساختار خیلی بیشتر از متمرکزه

Sign in to participate in the conversation
Librem Social

Librem Social is an opt-in public network. Messages are shared under Creative Commons BY-SA 4.0 license terms. Policy.

Stay safe. Please abide by our code of conduct.

(Source code)

image/svg+xml Librem Chat image/svg+xml