Fragwürdige Installationsanleitungen Friendica & Co. (was: Interne soziale Netzwerke mit Freier Software)

Volker Grabsch v at njh.eu
Do Feb 20 12:06:07 UTC 2014


Robert Kehl schrieb:
> Am 18.02.2014 15:19, schrieb theo.schmidt at wilhelmtux.ch:
> > Diaspora ist für mich was Facebook sein sollte. Dadurch ist die 
> > Lernkurve bedeutend steiler, man muss "Freunde" suchen, sie werden einem 
> > nicht vom Datenkraken automatisch empfohlen. Technisch ist es anders 
> > aufgebaut, eher dezentral.
> 
> Friendica ("is what Diaspora meant to be") wurde schon genannt, Red
> Matrix[1] könnte auch noch was sein. Ist aus Friendica entstanden.

Ich habe mir das aus mal kurz angesehen, um zu schauen, ob
das vielleicht eine interessante Alternative zu klassischer
"Groupware" wie Citadel ist. Konkret will ich eventuell eine
Sport-Gruppe oder einen kleinen Verein damit organisieren.


Aber beim Überfliegen der Installationsanleitungen für
Red Matrix und Friendica musste ich staunen:


1) https://redmatrix.me/help/Install

Red Maxtrix empfielt allen ernstes, einem kritischen
Unterordner volle Schreibrechte für jedermann zu geben:

    chmod 777 view/smarty3

Da steht noch nichtmal, dass man erst einmal prüfen soll,
ob dieser krasse Workaround beim eigenen Hoster wirklich
notwendig ist. Ich persönlich würde das genaue Gegenteil
in die Anleitung schreiben: Wenn dein Hosting-Anbieter
sowas wie "chmod 777" von dir verlangt, suche dir schnell
einen anderen! Schließlich soll die Software doch einige
private Daten verwalten.


2) http://friendica.com/node/27

Auch die Friendica-Installationsanleitung sieht es mit der
Computersicherheit nicht so eng. Zum Beispiel leisten sie
sich folgenden Kracher, wenn es um das Hochladen von Dateien
auf den Webserver geht:

| Run your FTP client. [...] If that doesn't work, try
| another protocol - FTP-SSL or SFTP.

Man solle also erstmal unverschlüsseltes FTP machen.
Und nur dann, wenn der Hoster verantwortungsbewusst genug
war, kein FTP anzubieten, solle man mal ein gesichertes
Protokoll versuchen. Eigentlich müsste es heißen: Erst
SFTP, dann FTP-SSL und wenn das auch nicht geht: Hoster
wechseln. Aber _niemals_ würde ich FTP empfehlen, oder
gar als Selbstverständlichkeit hinstellen.


Ich hoffe, es kommt nicht zu arrogant rüber, wenn ich
vorhersage, dass es aus den ganzen dezentralen Friendica-
und RedMatrix-Hubs mehr Daten rausgesaugt werden als
jemals von Facebook. Und dass diese gecrackten Hubs mit
der Zeit ein riesiges Botnet darstellen werden, das sich
gleichberechtigt neben das Plasterouter-Botnet und das
Uraltw-Windows-Rechner-Botnet einreihen wird. (jeweils
vorausgesetzt, dass diese Projekte erfolgreich sind und
viele Leute ihre Friendica/etc.-Hubs nach diesen
Anleitungen betreiben werden)

Von einem Projekt wie Friendica hätte ich das nicht
erwartet. Sie wollen offenbar auf sämtlichen Billig-Hostern
lauffähig sein, und nehmen dafür jedes Sicherheitsrisiko
in Kauf. Ich hätte eher gehofft, dass sie sich gewisse
Mindest-Sicherheitstandards auferlegen würden, gerade
_weil_ das von Laien administriert werden soll.

Besonders kurios: Red Matrix stellt ja sogar Ansprüche
an den Hoster - aber nur, was gewisse Features angeht.
Nicht, was dessen (Unix-)Rechteverwaltung angeht.


Gruß
Volker

-- 
Volker Grabsch
---<<(())>>---



Mehr Informationen über die Mailingliste FSFE-de