Datenschutz

Diaspora: die ‚gute‘ Alternative zu Facebook

Der Quellcode des Open-Source Social Networks Diaspora wurde heute Nacht veröffentlicht.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Diaspora soll das privatsphären-sensible, persönlich kontrollierte, einmal alles, bitte!, open source Social Network (SN) werden. Damit berührt Diaspora alle hauptsächlich vorgetragenen Kritikpunkte an SN-Riesen wie Facebook.

Während Nutzer von Facebook per default einer groß angelegten kommerziellen Nutzung ihrer Daten zustimmen, und in ständiger Sorge sein müssen, dass sie irgendwelche zufällig über die Seite verteilten Häkchen zum Schutze ihrer Privatsphäre übersehen haben, sollen Diaspora-Nutzer eine zentrale Kontrolle über Ihre Daten bekommen, und die Daten selbst dezentral verteilt werden (daher der Name).

Ähnlich wie beim freien Blog-System WordPress sollen eigene Installationen, aber auch das Wahrnehmen von Hosting-Angeboten wie WordPress.com möglich sein. Der privatsphären-sensible Nutzer setzt also kurzerhand seine eigene Diaspora-Installation auf und hat dann über ihre Funktionen volle Kontrolle. Die Daten liegen auf dem eigenen Server, und der Quellcode ist vollständig bekannt.

Häh, was soll ich denn mit meinem eigenen Social Network? Die ‚eigene‘ Installation wird in keiner Form abgeschnitten sein von allen anderen: Wie in jedem Social Network stehen alle Nutzer als potenzielle Freunde zur Verfügung. Das notification-Konzept kann man sich ähnlich vorstellen wie das der Trackbacks bei Blogs, oder XMPP bei jabber, die auch unabhängig vom jeweiligen Server sind. Selbstverständlich soll bei Diaspora alle Kommunikation verschlüsselt stattfinden.

Der Funktionsumfang von Diaspora soll außerdem beliebig durch Module erweiterbar sein. Das lässt auf viele sinnvolle, aber auch sinnlose zukünftige Features hoffen. Hier wird der Nutzer aber die Wahl haben.

Entwickelt (übrigens in Ruby) wurde Diaspora von Daniel Grippi, Maxwell Salzberg, Raphael Sofaer und Ilya Zhitomirskiy. Die vier wollten sich 3 Monate ihrer Vollzeitarbeit über die crowdfunding-Plattform Kickstarter finanzieren lassen. Dafür strebten sie sparsame $10.000 an, und bekamen sage und schreibe $200.641. Diese hohe Nachfrage lässt auch auf die zukünftig zu erwartende Nutzerbasis schließen, die bei Social Networks der alles entscheidende Punkt ist.

Glücklicherweise liegt dieser wichtige Aspekt zumindest teilweise in unserer Hand. Das Argument, dass man bei Facebook oder einem anderen kommerziellen Anbieter sei, weil es eben keine Alternative gebe, gilt nicht mehr wenn Diaspora an den Start geht.

So weit ist es aber leider noch nicht: Heute wurde nur der Quellcode offengelegt. Interessierte können über github die Entwicklung verfolgen oder daran teilhaben. Ein „richtiger“ Alpha-Release ist für Oktober geplant. Bis dahin möchte man die Funktionen „Facebook Integration“, Internationalization und Data Portability eingebaut haben. Diaspora steht unter der GNU AGPL-Lizenz.

Weitersagen und Unterstützen. Danke!
46 Kommentare
  1. Jetzt die Preisfrage: Wie lange dauert es, bis findige Hacker einen Patch schreiben, der alle Privaten Informationen die einmal auf die eigene Node (stimmt die Terminologie hier?) geladen werden dauerhaft abspeichert, sodass wenn der Originalurheber sie zurückzieht sie immernoch beim Besitzer der gepatchten Node verfügbar sind?

    Und dann gehen wir von einem Datenkragen auf viele Datenkraken, welche die Informationen dezentral und unlöschbar vorhalten zu.

    Zu schwarz gemalt? Naja, man wird sehen. Ich sehe es wie bei DVD-Verschlüsslung: Was angezeigt wird, kann auch gespeichert werden.

    1. @allo:
      Dazu muss der Datenkraken aber erstmal mit allen Nutzern „befreundet“ sein. Denn üblicherweise werden die privaten Informationen nur angezeigt, wem ich sie explizit freigebe. Also gehört auch ein bisschen Vertrauen in die Leute, mit denen ich befreundet bin, dazu – wie überall im Leben. Wer skeptisch ist, verschärft die Privatsphäre-Einstellungen eben und lässt weniger Infos anzeigen.
      Wer seine Infos allen zugänglich macht, kann auch gleich alles auf der eigenen Webseite veröffentlichen.

    2. @allo: Interessanter Gedanke, aber da die Einstellungen für das Teilen von Information in Diaspora sehr granular sein sollen, ist das eher ein Problem der Aufmerksamkeit des Nutzers (er darf eben nicht jedem dahergelaufenen „Freund“ Zugriff auf seine Daten geben) oder Sicherheitslücken im Programm (die hoffentlich mit der nun begonnenen Open-Source-Phase umso besser gefunden und beseitigt werden).

      Falls das Problem mit gepatchen Nodes real wird, werden sicher Gegenmaßnahmen entwickelt, um zum Beispiel die Integrität der Diaspora-Installation von Partnernodes zu verifizieren.

      1. @ron, @LifeScienTology:

        Nicht jeder Benutzer wird eine eigene Diaspora-Instanz aufsetzen.

        Angenommen ein guter Bekannter nutzt Diaspora über einen Server eines Drittanbieters und dieser hat eine „modifizierte” Diaspora-Instanz, die alle Daten dauerhaft speichert: Traue ich nun meinem guten Bekannten oder misstraue ich dem Serverbetreiber, den ich nicht näher kenne? Was wiegt stärker?

        Ersteres wäre der Tod des Datenschutzes in Diaspora; damit könnte ich auch gleich auf Facebook oder *VZ bleiben. Letzteres ist der Tod von Diaspora, weil ein normaler Anwender sicherlich nicht versteht, weshalb seine „Freunde” ihn in diesem Social Network meiden.

  2. Ich weiß nicht. Das Problem bei Facebook ist doch nicht nur, dass Facebook die Daten verwendet um dich besser mit Werbung zuwerfen zu können. Ja und, Spam bekommt man auch so.

    Das Problem ist, dass Freund XY ein Foto von dir hochlädt und dich darauf markiert. Und dass alle Freunde sehen was du alles tust (Gerade bei Facebook was ja sehr aktivitäts-basiert ist, kann man da wenig gegen tun).

    Und das ist dann der nächste patch: verhindere dass X sich von dem Foto entfernt auf dem ich ihn markiert habe. Womit wir dann bei WENIGER Privatssphäre als bei StudiVZ sogar schon wären, weil dort kann man sich entfernen von dem Foto und der User der einen dort markiert hat kann nichts dagegen tun.

    Aber wer hindert einen Diaspora-User daran ein Plugin zur Permanent-Markierung zu bauen?
    Gut, kann man jetzt schon z.B. mit herkömmlicher Webseite. Aber in einem Netz wie Diaspora ist ein Name nicht nur ein Label sondern ein Primary-Key für eine Person. Da wiegt die Markierung schwerer.

  3. Die Integrität kann und darf man nicht prüfen.

    kann nicht: Ich kann speichern ohne dass du es merkst.

    darf nicht: Das wäre schlicht eine Tivoisierung. Du darfst deine Node patchen, aber dann funktioniert sie nicht mehr. Toll!

  4. Ich seh das Problem mit dem gepatchten Datenstaubsauger nicht so wirklich. Wenn ich irgendwo auf Facebook ein Foto hochlade, jemand sieht es sich an und ich lösche das Foto wieder, hat dieser Jemand das Foto nicht nur noch in seinem Browser-Cache, nein er hätte auch auf die Idee kommen können es mit Rechtsklick->Speichern unter auf seine Festplatte zu speichern. Und da kriege ich es auch nicht so ohne Weiteres gelöscht.

    Nein, jeder sollte sich vorab selbst überlegen, wieviel er von sich wem gegenüber preis gibt. Natürlich ist ein manuelles Speichern aufwändiger als ein Staubsauger-Patch, aber wie gesagt: Wenn meine Freunde Partyfotos von mir auf dem Rechner haben, ist das von mir ursprünglich mal so gewollt worden und okay. Wenn nicht, darf ich sie ihnen einfach nicht zur Verfügung stellen. Der beste Schutz sitzt glaub ich auch hier zwischen meinen Ohren…

  5. Stimmt. Wobei Facebook vermutlich das Speichern auch versucht mit transparentem Gif overlay zu verhindern wie Studivz? Naja, wer einen Adblocker hat ist hier klar im Vorteil.

    Ich will es auch gar nicht so schlecht reden, nur denkt nicht dass man jetzt Informationen rausballern sollte wie es nur geht, weil man sie ja jederzeit wieder offline nehmen kann. Der Grundsatz „Einmal online, immer online“ bleibt bestehen.

  6. @Momo:

    Leider kann man heutzutage ja überhaupt nicht mehr kontrollieren, wer alles – offen oder heimlich – Bilder von einem macht und die dann womöglich nicht nicht nur auf seinem Rechner hat sondern auch in’s Web stellt, womöglich noch mit vollem Namen und sonstigen privaten Details…

    Und dank Gesichtserkennungssoftware wird all das dann bald mit einem Mausklick via Suchmaschine für jeden jederzeit zu finden sein…

    Und das sogar von Menschen die selber möglicherweise noch nie im Internet waren.

    So langsam versteht ich was mit dem Ende der Privatsphäre gemeint war.

  7. P.S:
    Gemeint war natürlich, daß man so auch vieles über Menschen FINDEN kann, die das Internet gar nicht nutzen oder dort nie Daten eingestellt haben.

    Es reicht völlig, wenn andere – leichtfertig oder in böser Absicht – dort Daten über sie verbreiten.

    Siehe die Facebook-Freundesuchfunktion über den Mailaccount.

  8. Für 200.641 $ hätten sie sich einen DB-Experten leisten können.

    Die Wahl von MongoDB bedeutet einen großen technischen und finanziellen Aufwand um Diaspora zu benutzen. Es reicht nämlich nicht aus nur eine Instanz auf einem Rechner laufen zu lassen. MongoDB erkauft sich seine Schnelligkeit durch extreme Unsicherheit was die Daten angeht. Es müssen also mehrere MongoDB-Instanzen auf verschiedenen Servern laufen um eine gewisse Datensicherheit garantieren zu können. Replizierung.

    1. @Stefan: Dann wird es ein leichtes sein, bei git nen Clone zu machen, und sich eine mysql, oder postgreSQL, oder SQLite oder wasauchimmer-Schnittstelle dazuzuprogrammieren. Evtl muss man warten, wenn man selber nicht das leisten kann, aber bei OpenSource habe ich ehr die Möglichkeit, das sowas passiert als bei Facebook oder closed Sachen. :). Das die Jungs eine Wahl getroffen haben, um das Projekt aufzubauen, soll nicht bedeuten, dass das der Stein der Weisen ist, der nicht bewegt werden darf. Ich halte das Projekt für ’ne riesen Sache, und man sollte dennoch bedenken, dass es gerade erst laufen lernt und auch noch keine Kinderschuhe hat, um dann da heraus zu wachse.

      1. @nxthor: Warum überhaupt Diaspora?

        Wieso nicht Appleseed, Elgg, onesocialweb, GNU social, …

        200.641 $!! Was da auf github rumliegt ist das Resultat von 200.641 $! WTF?

        Und ich soll denen kostenlos die grundlegenden Design-Fehlentscheidungen reparieren?

  9. Wenns nicht in Ruby, sondern in PHP geschrieben wäre, hätt ich das glatt aufm Server gestellt und laufen lassen… So bin ich aber wieder auf andere angewiesen – mal schauen, der CCC wird das evtl. ja mal anbieten irgendwann :)

    1. @karl
      Das ist genau das Problem und wird meiner Meinung nach auch der Grund sein, warum sich Diaspora nicht durchsetzen wird.
      Wenn man sich den Code ansieht, dann wird direkt klar, das es sich dabei um Bloatware handelt, dessen Anforderungen die Leistungen eines normalen Anbieters und das Wissen eines möglichen Anwenders weit überfordern.
      Es wird also wieder darauf hinaus laufen, dass einige wenige die Masse hosten und damit verliert das ganze Prinzip seinen Effekt.
      Schade drum.

  10. Man darf auch nicht vergessen, dass diaspora ein nicht unerhebliches Problem des Datenschutzes löst: Die Kontakte sind in unterschiedlichen thematischen „Freundeskreisen“ („aspects“), die auch grafisch nachvollziehbar sind. Wenn man etwas postet, kriegen es nicht automatisch *alle* Freunde zu sehen.

  11. Warum Diaspora? Weil sie dran arbeiten, nicht nur darüber reden.
    Während die Möchtegerns noch am meckern sind, über die Wahl der Datenbank und der Skriptsprache und überhaupt, knacken die Jungs von Diaspora hoffentlich schon die kritische Masse an benötigten Installationen zum „Durchbruch“.

    Wer noch ein „Aber…“ hat, liest einfach mal bei nxthor und ron nach.

    Das Projekt geht in die richtige Richtung, strategisch und konzeptionell. Auch wenn der aktuelle Projektname sch***e ist ;-)

  12. @ Marcus
    Hm, und faceook, Studi-VZ, ICQ oder Skype sind nicht Bloatware ?!

    Bei der Frage nach Daten-Eigentümerschaft geht es ja nicht darum, dass sich jeder sein eigenes, privates Social-Networking-Skript auf seinem Server installiert.

    Dass der Code des Tools ‚Open Source‘ ist, ist einfach ’nice-to-have‘.

    Entscheidend (!) ist die Daten-Eigentümerschaft an meinen Profildaten.

    Ich hab mir den Diaspora-Code noch nicht genau angesehen.

    Aber hypothetisches Beispiel:
    Wenn meine Profildaten ‚männlich, HSV Fan, Hobby: Briefmarkensammeln‘ hinter einer SSL Verbindung in einem XML-File auf meinem USB-Stick liegen, und in dem Network nicht mehr findbar sind, wenn ich den USB-Stick entferne, kann es mir egal sein, wer das Skript, das die SSL parsing Hocks herstellt, hostet, und in welcher Sprache es gecoded ist.
    Ich behalte die Kontrolle über die Profildaten.
    Ginge natürlich genauso mit einer SSL Verbindung zu einem eigenen Webspace.

    Wie gesagt, ich hab mir Diaspora jetzt noch nicht angesehen. Aber die entscheidene Frage dürfte sein, wie sie dieses Thema angehen.

    1. @Cosmo
      Bei Facebook ist es ziemlich egal, wie bloat es ist, denn dort sitzen Fachleute hinter der Technik.
      Bei Diaspora wird es wohl nicht anders laufen können. Und dann stellt sich eben doch die Frage, wie groß der Unterschied zwischen Facebook am Ende sein wird, denn natürlich greift Diaspora nicht auf deinen USB Stick zu, sondern du gibst deine Daten wie bei Facebook auch dem Provider des Seeds. Das dieser Seed ein Diaspora Seed ist und kein Node aus dem großen Facebook Cluster bedeutet aber nicht, dass du dem Menschen dahinter blind vertrauen kannst, zumal es ziemlich einfach ist, bei seiner Open Source Software die Verschlüsselung der Daten einfach raus zu nehmen und damit wars das dann auch schon mit dem Traum vom Eigentum der Daten.

      Ergo: wer nicht in der Lage ist, seinen eigenen Seed zu hosten oder jemanden kennt, dem er wirklich vertrauen kann, der gewinnt bei Diaspora nichts.

    1. @schomsko: Das bezweifle ich ehrlichgesagt, nachdem die Version so viel Medieninteresse erzeugt hat und eine Copy & Paste Anleitung zur Installation liegt ebenfalls bei.

  13. Danke für die Versorgung mit Details zu Diaspora. Ich hatte dieses Projekt schon ganz hinten im Kopf abgelegt, nachdem lange nichts passiert war. Aber das ist ja klar, weil man erstmal dran arbeiten musste.

    Jetzt zu unken, die ganze Geschichte wäre doch nicht sicher und man hätte den Code nicht veröffentlichen sollen, weil er fehlerhaft ist usw. (vor allem @joschi), scheint mir wie einem Kalb zur Last zu legen, dass es noch keine Milch gibt.
    Man bedenke bei dieser ganzen Diskussion, dass das hier alles Pre-Alpha-Release ist, also sehr früh UND mit der Angabe, dass Sicherheitslücken und Bugs bekannt sind.

    Zu den generellen Bedenken bzgl. der Anlage von Diaspora mit eigener Installation kann ich wenig sagen, da ich zu wenig Experte dafür bin.

    1. @Addliss: Das Problem ist, dass diese Pre-Alpha-Version inklusive der gravierenden Sicherheitslücken auf sicherlich nicht wenigen Servern produktiv(!) zum Einsatz kommen wird.

      Das ist bei dem starken Medienecho nicht zu vermeiden, aber nicht jeder Betreiber schert sich um die Sicherheit der Nutzerdaten oder ist kompetent genug, die Implikationen der Sicherheitslücken zu verstehen.

  14. Ich sehe für diaspora (grottenschlechter name übrigens…) maximal eine Chance, wenn es neue Funktionalitäten bereitstellt oder bestehende Funktionen und Usability-Aspekte _deutlich_ besser sind als bei den Konkurrenten.
    Im moment sieht es mir aber so aus als ob nur ein Bruchteil der Facebook-Funktionalitäten umgesetzt sind. Und Facebook schläft nicht.
    Zudem dürfte die kritische Masse an Usern nur über massiven Werbeaufwand erreichbar sein.

    Also ich glaub nicht dran.

  15. komische ansichten, die hier vertreten werden.

    mit dieser denkweise wäre das internet wohl kaum da wo es heute ist. wir hätten alle unsere webseiten noch bei t-online als einzigen provider und auch unsere mails werden mit dieser endung versendet. ein zentralistischer ansatz hat doch nichts mit vertrauen oder sicherheit zu tun.

    entscheidend ist nicht, ob diaspora ein erfolg wird. wichtig ist nur, dass eine entwicklung in gang gesetzt wird, an deren ende dann die verschiedensten plattformen interagieren.

    diese entwicklung wird den singuären ansatz von facebook aufbrechen und hoffentlich zu einem social network kommunikationsstandard führen. mit einem solchen standard wird das gesamte internet sozial und wird nicht in die steinzeit mit einigen wenigen anbietern zurückversetzt.

  16. Zum Projekt: die Idee geht in die richtige Richtung. Ob es nun zum Erfolg kommt oder nicht ist eher zweitrangig. Wichtig ist, dass die Idee eines „sicheren“ Social Netzworks (welche nicht neu ist) weiter betrieben wird und andere aus den Folgen lernen und daraus wachsen.

    Zu den Sicherheitslücken in der pre-Alpha: Es wird immer Leute geben, die nicht fertige Software nach irgendwelchen Anleitungen installieren, die sie im Netz gefunden haben. Wie viele Leute fallen denn immer noch auf den alten Gag in Foren rein „dazu musst du ALT-F4 drücken“. Copy&Paste Mentalität wird es immer geben. Das über die Sicherheitslücken berichtet wird ist wichtig. Ebenso das Offenlegen! Ein Exploit der nicht bekannt ist, ist schlimmer als einer, den alle kennen. Das Projekt soll ja auch von der Community aufgegriffen werden und nicht nur von den Jungs alleine (da hätte man auch auf die Ausrichtung Open-Source verzichten können).

    Zum Thema Leistung vs. Geld: Die Jungs „wollten“ keine $200.000, aber die Öffentlichkeit war der Meinung, dass sie sie bekommen sollten. Zu sagen, dass das Ergebnis nicht $200.000 entspricht ist lächerlich. Als ob das Projekt jetzt fertig wäre, wenn’s ne Million gewesen wäre.

  17. Bei all den Diskussionen die hier geführt werden, habe ich noch eine andere Frage: Wie finden sich zwei Personen? Über eine Adresse einer E-Mail-Adresse oder Jabber-Adresse? Falls ja, wie funktioniert der Wechsel zwischen zwei Anbietern eines Seeds? Muss ich mir dann alle Freunde erneut suchen oder kann ich die irgend wie mitnehmen?

  18. Wer sich die Mühe nicht machen will, kann ja mal bei mir vorbei schauen :D … ein SNS das privat initiiert ist, und nicht als Ziel die Datenvergewaltigung hat… zudem kann man hier auch hochgradig verschlüsselte Beiträge schreiben, die nur gelesen werden können, wenn man die Schlüsselphrase kennt.

    Greets,
    JoPhi

    1. Ganz Neu, der in Österreich von Gesetzeswegen garantierte Volldatenauszug. Ich persönlich warte bei Facebook nun schon 1.5 Jahre auf den Datenauszug. Nicht um sonst wird fleißig in Irrland genau deshalb oft geklagt.

      Lange Rede kurzer Sinn, das SNS-Projekt bietet den Auszug gratis, per Mausklick.

      Ich würde mich freuen, wenn sich jemand finden täte (am Besten unabhängig) der oder die sich das objektiv ansieht und beurteilt.

      Grüße
      JoPhi

      Anhang:
      Datenauszug des Nutzers ANONYMOUS http://www.meetus.at/prestige/sns/index.php?exp=DOIT – falls man eingelogged ist, sieht man die eigenen Daten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.