هرکی ماستودون هاست می‌کنه عملا به همه دایرکتا و اکانت های پرایوت دسترسی داره دیگه؟ 🤔

@mostafa @brdia
به طور نظری بله، دسترسی داره. ماستدون رمزنگاری سرتاسر نداره و این یعنی اگر مدیر خودش بخواد قاعدتاً می‌تونه بره پایگاه دادهٔ کاربرها رو دستی باز کنه (مثلاً با فرمان‌های MySQL و غیره) و پیغام‌های خصوصی رو ببینه. *محیط مدیریت ماستدون* ولی چنین امکانی رو به مدیر نمی‌ده. من به عنوان مدیر #پرسادون تنها چیزی که می‌تونم ببینم (که کاربرهای عادی نمی‌تونن) نشونی ایمیلی هست که کاربر باهاش ثبت نام کرده، به علاوهٔ زمان آخرین ورود به سیستم و چند تا چیز جزئی دیگه.
این کل چیزی هست که من می‌بینم:

@mostafa @brdia
بعدش هم، معماری نامتمرکز ماستدون جوریه که انگیزهٔ زیادی برای فضولی مدیر باقی نمی‌گذاره. خوندن اطلاعات خصوصی کاربرها در دو حالت ممکنه برای مدیر جذاب باشه:
یکی این که تعداد کاربرها خیلی زیاد باشه که بشه باهاش کار آماری کرد یا اطلاعات رو به سرویس‌های تبلیغاتی فروخت. ولی هر کدوم از سرورهای ماستدون معمولاً خیلی کوچیک‌تر از این حرفان و بنابراین چنین کاری معمولاً به زحمتش نمی‌ارزه.

@mostafa @brdia
دومین حالت اینه که مدیر بخواد واقعاً بدجنس‌بازی دربیاره و آدم‌ها رو به طور موردی اذیت کنه: که این هم احتمالش کمه، چون دربیشتر موارد (باز هم به خاطر تعداد کم کاربرها و نسبت بالای مدیر-به-کاربر) مدیرها کاربرهاشون رو شخص‌به‌شخص می‌شناسن و روابط در کل سرور شبیه رابطه در یک گروه دوستی می‌مونه.

Follow

@masoud @mostafa خب فکر کن جمهوری اسلامی بیاد کلی سرور‌ ماستودون بیاره بالا و تبلیغشو بکنه

@brdia @mostafa
اصلاً ایده همینه! مقالهٔ پیام‌رسان من رو خوندی؟
meidaan.com/archive/65469
مربوط به پیام‌رسان‌هاست، ولی ایده‌اش دقیقاً همینه.

@masoud @mostafa اینطوری امنیت کلی آدم به خطر میوفته. به فرض من توتایی میکنم که دولت دوست نداره وای پرایوتم شما منو فالو می‌کنی و ندونسته رفتی روی ماستودونی که دولت هاست کرده عضو شدی یا توی ماستودونی عضو هستی که ادمینش ناشی بوده و سرورش کلی آسیب پذیری داره. اینطوری امنیت کن به خطر میوفته

آقا اینجا امنیت نداره بریم همون تویتر

@danialbehzadi تویتر حداقل دیتات رو نمیده دست دولت ایران ولی اینجا اگه یکی از فالورهات سرورش تو ایران باشه همه توییت هات رو میشه خوند

@danialbehzadi اگه میده پس اون همه اکانت های ضد انقلاب چطوری فعال هستند اونجا؟

@keyvannn نمی‌گم داده یا نداده. می‌گم‌هیچ دلیلی وجود نداره که در برابر پول کافی، نده!

@brdia @masoud @mostafa اصل کلی اینه که نباید بری روی نمونه‌ای که خودت مدیرش نیستی یا به مدیرش اعتماد کامل نداری. یه سری نمونه‌ها مثل اینی که‌من روشم هم اصلاً امکان پیام خصوصی دادن و گرفتن رو از بیخ بستن.

@danialbehzadi @masoud @mostafa شاید تو از یه نسخه استفاده کنی که بهش اعتماد داری و یکی از فالوئرات روی نسخه تا امنه

@brdia @masoud @mostafa خب این آسیب‌پذیری کلی مفهوم شبکه‌های اجتماعیه‌ تو توییتر هم ممکنه یه امنیتی دنبالت کنه

@danialbehzadi @masoud @mostafa خب فرض کن تو فقط فالوئرایی که میشناسی و بهشون اعتماد داری رو اکسپت می‌کنی ولی اون فرد روی نمونه نا امن ماستودون باشه

@brdia @masoud @mostafa هیچ‌وقت نمی‌تونی مطمئن باشی تو ساختار شبکه‌های اجتماعی

@danialbehzadi @masoud @mostafa هیچ وقت تا فیزیکی نری از یکی کلید بگیری و e2e رمز کنی نمیشه مطمئن بود بحث احتمال آسیب پذیریه که توی این ساختار خیلی بیشتر از متمرکزه

Sign in to participate in the conversation
mastodon.cloud

Everyone is welcome as long as you follow our code of conduct! Thank you. Mastodon.cloud is maintained by Sujitech, LLC.