Det ser ud til at feddit.dk er hosted hos DigitalOcean og jeg kom til at tænke på, hvor(dan) data mon bliver opbevaret. Er det i USAnien, Europa eller et helt tredje sted? https://the-federation.info/platform/73 siger Holland og et GeoIP lookup siger det samme, så der er nok noget om det, men det kunne være fedt at vide lidt mere om, hvordan feddit.dk er sat op.
edit: stavefejl
Enig. Jeg er også nysgerrig efter at vide om man om man uden specielle privilegier kan tage en backup af en Lemmy-instans.
Det ville være problematisk, hvis du mener al data. Fx skulle alle og enhver nok ikke kunne få en backup af private beskeder mellem brugere.
Ah, klart. Alle private beskeder. Selvfølgelig er der DMs, det havde jeg ikke tænkt over. Jeg havde heller ikke tænkt over at de ville ligge ukrypteret i en database håndteret af admin på ens instance.
Det er faktisk derfor der er en lille advarsel om at private beskeder er usikre når du prøver at sende en besked. Måske vil Lemmy i fremtiden have krypterede beskeder, men det er ikke en ting lige nu.
Så ja, i princippet kunne jeg kigge i databasen og læse private beskeder. Det gør jeg ikke. Det må i så enten stole på eller bruge et sikrere alternativ til private beskeder.
Även om det är krypterat i databasen kan SorteKanin fortfarande läsa dem om han vill. Hans server förvarar de privathashes allt (inklusive e-post och lösenord) krypteras med. Inget fel med det, eftersom det är han som tar lagligt ansvar för allt på den här instansen. Använd inte ett lösenord du använder för dina andra konton här om du vill vara säker
Det er ikke sådan passwords og kryptering virker. Jeg kan ikke se folks passwords bare fordi jeg har adgang til databasen. Passwords er selvfølgelig kun gemt i krypteret form.
Men ja, private beskeder er gemt som klartekst.
Teknisk set ville du som admin nemt kunne ‘intercepte’ passwords, hvis du havde lyst. Det er bare en lille ændring i Lemmys login handler, så den også dumper clear text passwords når login requests kommer ind. Passwords bliver ikke hashed client-side, så serveren modtager clear text password fra brugeren (over en sikker TLS-forbindelse, selvfølgelig).
Men sådan er det med stort set alle websites. Brug en password manager og unikke password til alt, folkens!
Jo, det er klart. Se også min kommentar her https://feddit.dk/comment/31021
Har läst docs och förklaringar om de krypteringsmetoder databasen använder i en timme nu. Förstår ingenting. Men jag litar på dig som admin!
IT-person her. Den er god nok. Korrekt implementerede systemer kender ikke dit ukrypterede password. Faktisk er det normalt heller ikke det krypterede password, der gemmes, men det er en anden historie.
Der er vel tale om hashede og saltede passwords, der opbevares. Som Tom Scott også omtaler i Computerphiles video How NOT to Store Passwords. @[email protected]
Passwords er hashed ikke krypteret :)
Hashing er en envejs funktion. Hvis vi bruger sha256 som vores hashing algoritme “password” -> “5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8”
Den lange tekst string vil ikke kunne omvendes til tilbage til “password”, hvis man ville bryde den skulle man gætte sig frem til at adgangskoden er “password” hvorefter man ville kunne sammenligne hashen og bekræfte at de er ens.
Kryptering er anderledes og kan betragtes mere som en nøgle.
Der er generelt 2 typer kryptering, synkron og asynkron. Den ene er som hvis jeg låser en fil med en adganskode. Så skal man bruge adgangskoden for at gendanne filen.
Den anden er hvis jeg vil sende en fil til dig som kun du må kunne åbne, så ville jeg kunne kryptere den til din nøgle, hvorefter filen selvfølgelig kun ville kunne åbnes af din nøgle.
Jeg er udmærket klar over forskellen, men en lægperson ved ikke hvad “hashing” betyder. Kryptering kan de dog godt forstå.
Hvis man er meget nysgerrig, så ja, det kører på DigitalOcean i et af deres hollandske datacentre. Jeg kan ikke se hvorfor det skulle være særlig relevant dog (så længe det er inden for EU).
Det var i udgangspunktet ren nysgerrighed, for jeg studsede over, at der var et Hollandsk flag i den oversigt, jeg linkede til. Men så kom til også til at tænke på GDPR, Schrems II, DMCA takedowns, mv. Altså, hvem der juridisk kan tilgå mine data, om jeg kan få mine data ud, osv.
Som det er lige nu har Feddit.dk ikke nogen privatlivspolitik eller noget. Jeg er ikke advokat så jeg er ikke sikker på hvornår sådan en politik er nødvendig (er den altid det?). Data bliver naturligvis ikke delt med nogen (jeg er igen ikke advokat så jeg ved ikke om der findes institutioner der kan tvinge sig selv adgang til data, rent juridisk).
Personligt har jeg ingen udfordringer med det (endnu). Jeg er bare glad for, at du gider bruger din tid på at lave et sted, vi kan lege, og tak for det i øvrigt :)
Men DigitalOcean er amerikansk. Og amerikansk lov dikterer, at amerikanske virksomheder skal udlevere data til staten (læs: efterretningstjenester) efter forgodtbefindende (der sikkert skal en dommerkendelse til). Det har bl.a. medført en afgørelse i EU-domstolen (læs evt. om Schrems II), som kort fortalt siger, at offentlige virksomheder i Europa ikke må anvende amerikansk ejede virksomheder, hvis de opbaverer eller behandler personfølsom data. Nu er du ikke en virksomhed, men det forhindrer stadigvæk ikke amerikanere i at være trælse. Måske Hollandsk lovgivning kan noget, jeg ikke ved noget om. De er i hvert fald god til at hoste USENET binary groups.
Tak, det er god info at tage i mente i fremtiden hvis det skulle blive relevant at flytte.
Det er relevant fordi det er nok veldig mange nerder her inne som liker å vite detaljer uten at man har reelt behov for å vite dem :).
Hvem betaler for det og hvad er planen når feddit.dk på et eller andet tidspunkt kræver flere resourcer end der for nuværende er allokerert, mest ift. betaling?
Jeg betaler lige nu (det koster ikke meget). Hvis det bliver stort nok kunne man overveje at tage imod donationer for at dække prisen.
@[email protected] Lidt apropos, og jeg ved godt det stadig er “early days” for feddit.dk, men har du nogle overvejelser omkring at oprette en forening til at drive Lemmy (både finansielt og administrativt)? Det er klart det ikke er voldsomt aktuelt lige i dag, men hvis der kommer mange medlemmer kan det godt blive en udfordring at imødekomme alle opgaver, og finansiering. Her ville en forening måske være et godt fundament.
Du svarer lidt på dit eget spørgsmål :). Det er lidt tidligt til at overveje den slags synes jeg. Lad os tage tingene som de bliver nødvendige.
En fornuftig afmålt tilgang. Det er godkendt! (:
