Diaspora: Automatisch ‚gut‘ dank Open Source?

Der Quellcode von Diaspora, der „Alternative“ zu Facebook, ist veröffentlicht worden. netzpolitik.org:

Ähnlich wie beim freien Blog-System WordPress sollen eigene Installationen, aber auch das Wahrnehmen von Hosting-Angeboten wie WordPress.com möglich sein. Der privatsphären-sensible Nutzer setzt also kurzerhand seine eigene Diaspora-Installation auf und hat dann über ihre Funktionen volle Kontrolle. Die Daten liegen auf dem eigenen Server, und der Quellcode ist vollständig bekannt.

Diaspora: die ‘gute’ Alternative zu Facebook : netzpolitik.org.

Der Titel des Artikels auf netzpolitik.org ist bezeichnend.

Alles, was mit Open Source umgesetzt ist, als grundsätzlich ‚gut‘ zu bezeichnen, ist eines der Probleme der Open-Source-Community. Während ich den Grundgedanken verstehen kann, verdeckt er leider schnell jede Diskussion über die Nachteile, weil man sich a priori auf der Seite der Open-Source-Variante verortet.

Wird so etwas wie Diaspora zum Beispiel automatisch sicherer sein? Nein. Wird es aufwendiger für den einzelnen User sein? Mit an Sicherheit grenzender Wahrscheinlichkeit ja.

Wir werden sehen, wie sich Diaspora entwickelt. Man sollte die Erwartungen aber nicht zu hoch setzen.

Ich hatt über Facebook und Diaspora vor einiger Zeit geschrieben:

Würde Diaspora innerhalb der ersten ein, zwei Jahre nach dem (aktuell noch nicht ersichtlichen) Launch auf 50 Millionen aktive Nutzer kommen, wäre das ein gigantischer Erfolg – und immer noch nur ein Zehntel von der Größe, die Facebook heute bereits innehat.

Selbst unter den optimistischsten Annahmen würde ein bei Null anfangendes Projekt wie Diaspora wahrscheinlich fünf bis zehn Jahre brauchen, um überhaupt als ernsthafter Facebook-Konkurrent wahrgenommen zu werden. Und dabei ist die Entwicklung, die Facebook selbst in den nächsten Jahren erfahren wird, noch gar nicht mit eingerechnet.

Und noch etwas: Auf netzpolitik.org heißt es:

Die Daten liegen auf dem eigenen Server, und der Quellcode ist vollständig bekannt.

und weiter:

Die ‘eigene’ Installation wird in keiner Form abgeschnitten sein von allen anderen: Wie in jedem Social Network stehen alle Nutzer als potenzielle Freunde zur Verfügung. Das notification-Konzept kann man sich ähnlich vorstellen wie das der Trackbacks bei Blogs, oder XMPP bei jabber, die auch unabhängig vom jeweiligen Server sind.

Die Daten liegen auf dem eigenen Server. Aber für ein dezentrales Netzwerk wie Diaspora muss man die eigene Instanz mit Instanzen auf anderen Servern verbinden, die dann selbst wiederrum auf die Daten zugreifen können (weil sonst eine Vernetzung sinnlos ist), wie sollen also die privaten Daten sicher sein? Ein erfolgreiches Diaspora mit Millionen Instanzen hat auch Millionen an Einfallstoren. Das liegt in der Natur der Sache. Dezentralität hat eigene Vorteile und Nachteile. Letztere werden leider oft einfach ausgeblendet. Es ist aber bei den unterschiedlichen Ansätzen immer eine Abwägung.

Woher weiß ich, ob mein Freund bei der Wahl seines Diaspora-Hosters aufmerksam genug war? Mit jedem zusätzlichen Freund, der einen mir unbekannten Diaspora-Hoster nutzt oder seine Diaspora-Instanz nicht aktuell hält, entsteht ein steigendes Risiko, dass Angreifer auf meine privaten Diaspora-Daten zugreifen können. (Das gilt mehr oder weniger auch für die Vorhaben von Google, mit offenen Standards gegen Facebook anzutreten.)

Vielleicht gibt es dafür auch eine Lösung. Sie ist mir aber nicht bekannt. Hinweise bitte gern in die Kommentare.

About Marcel Weiß

Marcel Weiß, Jahrgang 1979, ist Gründer und Betreiber von neunetz.com.
Er ist Diplom-Kaufmann, lebt in Berlin und ist seit 2007 als Analyst der Internetwirtschaft aktiv. Er arbeitet als (Senior) Strategy Analyst bei Exciting Commerce, schreibt für verschiedene Publikationen, unterrichtet als Gastdozent an der Popakademie Mannheim und hält Vorträge zu Themen der digitalen Wirtschaft. Mehr zum Autor.
Marcel Weiß auf Twitter und auf Facebook abonnieren. (Mehr)

  • Hallo Marcel,

    die Anführungszeichen solltest du tatsächlich nicht übersehen. Ich habe mich bemüht, meine eigene Meinung über social networks hinter dem Berg zu halten. Ich würde sogar sagen „Es gibt keine richtige Alternative in der falschen Sphäre der Social Networks“

    Die Daten liegen auf dem eigenen Server. Aber für ein dezentrales Netzwerk wie Diaspora muss man die eigene Instanz mit Instanzen auf anderen Servern verbinden, die dann selbst wiederrum auf die Daten zugreifen können (weil sonst eine Vernetzung sinnlos ist), wie sollen also die privaten Daten sicher sein?

    -> Bei Facebook sind alle Daten vollständig bei Facebook. Freunde können sie sehen, wenn ich das möchte, Facebook selbst hat sie alle.

    -> Bei Diaspora sind alle Daten zunächst nur auf meinem Server. Freunde können sie sehen, wenn ich das möchte. Eine große Datenkrake wird nur in Besitz meiner Daten kommen, wenn ich es ihr erlaube, oder Diaspora eine Sicherheitslücke hat (natürlich ist davon auszugehen, dass es welche gibt).

    Allerdings wird es allein aufgrund der Dezentralität kaum jemandem gelingen, einen vollständigen Dump aller Diaspora-Daten in seinen Besitz bringen zu können. Seien wir doch mal ehrlich: Wer etwas online stellt, sollte sich bewusst sein, dass in dem Moment dort draußen ist. Jeder kann Bilder aus Facebook herausnehmen, und woanders hinstellen. Der Privatsphäre-Aspekt wird bei der Anzahl an „Freunden“, die Menschen bei Facebook haben auch nur lächerlich. Es macht doch gar keinen Unterschied, ob ich meine Bilder blogge, oder den Menschen bei Facebook unter die Nase reibe – außer dass sie in meinem Blog evtl von weniger(!) Menschen wahrgenommen werden.

    Das Problem der Social Networks (wenn man es als Problem sehen möchte) ist die zentrale Datenverwaltung, die Macht und das Wissen, das aus den aggregierten Daten resultiert! Facebook interessiert sich doch gar nicht wirklich für den einzelnen.

  • Die Verschiebung hin zum Protokoll wäre auf jeden Fall spannend.

    Warum die „Weltrevolution“ von Diaspora erwartet wird: Die Gründer
    selbst und die meisten, die darüber berichtet haben, haben Diaspora
    als Facebook-Alternative beschrieben. Daran müssen sie sich messen
    lassen.

  • „Das Problem der Social Networks (wenn man es als Problem sehen
    möchte) ist die zentrale Datenverwaltung, die Macht und das Wissen,
    das aus den aggregierten Daten resultiert!“

    Das stimmt. Beide Ansätze, zentral vs. dezentral, haben ihre
    jeweiligen Vorteile und Nachteile sowohl für Anbieter als auch für die
    User.

  • Sie waren mal kinderleicht aufzusetzen; mit OpenID 2.0 bin ich mir da nicht mehr so sicher (und was danach kommt, keine Ahnung).

    Man sollte sich jedenfalls bei eigenen Instanzen (Mail, OpenID, Social Network) immer mal fragen, ob sich die Kosten, der Aufwand und das Risiko im Vergleich zu kommerziellen Anbietern und in Abwägung mit deren Datenschutzbestimmungen lohnen. Es entstehen Kosten für den Server. Die können niedrig bis hoch sein, abhängig von Ausfallsicherheit, eigenen Adminfähigkeiten,… Ich bin selbst für Patches (der Serversoftware, der auf dem Server laufenden Dienste wie OpenID, Social Network,…) verantwortlich. Ein kommerzieller Anbieter wird mir auch keine 100% Uptime garantieren können, aber ich kann ihn mit Mails, Anrufen, Trouble Tickets,… nerven. In der Regel hat der Anbieter kompetente Leute, verteilte Server,… und den Stress.

  • Yep, eine Kosten-Nutzen-Frage. Die Uptime von GMail und co. (und auch
    besonders Facebook) ist oft ja hoch genug für alle Nutzer und weit von
    der Grenze entfernt, ab der sich der gemeine Nutzer ernsthafte
    Gedanken über die Zuverlässigkeit machen würde.

  • Die eigenen Server stehen übrigens auch einer großen Verbreitung von Diaspora entgegen. Denn wie viele an Social Networking interessierte Nutzer gibt es, die einen eigenen Server betreiben? Selbst wenn es Hoster in der Art von WordPress.com geben sollte, dürfte die Nutzerzahl begrenzt bleiben.

    Nur mal so: Jeder kann einen Mail Server betreiben, jeder kann OpenID Provider werden. Frage: Wie viele Leute betreiben einen eigenen Mail Server und wie viele Leute sind ihr eigener OpenID Provider? Genau.

  • Stimmt. Gerade die geringe Verbreitung von usereigenen

    OpenID-Providern, die selbst kinderleicht aufsetzbar sind, spricht

    gegen große Erfolgschancen von Diaspora.

  • allo

    Man sollte die ' bei 'gute' beachten ;)

  • Jonas Pasche

    Diaspora muss nicht besser sein als Facebook. Ich glaube auch keine Sekunde daran, dass es ein auch nur annähernd so großer Erfolg wird wie Facebook – wie schon angeführt wurde: Wer betreibt schon seinen eigenen Mailserver, seinen eigenen OpenID-Provider? Klar, das sind vielleicht nur wenige. Aber so what? Ich weiß nicht, wieso hier von Diaspora die Weltrevolution erwartet wird (oder besser gesagt, das Ausbleiben selbiger). Für mich ist es einfach nur die Verschiebung des Prinzips „Soziales Netzwerk“ weg von einem _Anbieter_ hin zu einem _Protokoll_, dessen Referenzimplementierung eben Diaspora ist. Das ist ein entscheidender Unterschied, weil es mir nämlich _Wahlmöglichkeiten_ eröffnet. Ich muss ja vielleicht auch gar keinen eigenen Diaspora-Server betreiben. Vielleicht reicht mir ja schon, einen Anbieter eines Diaspora-Servers zu wählen, mit dessen Datenschutzbestimmungen ich besser zurechtkomme als mit denen von Facebook – und ich aber, im Gegensatz zu Facebook, dann mit allen anderen Diaspora-Nutzern in Verbindung treten kann; nicht nur mit denen des gleichen Anbieters.

  • Stimmt auch wieder. :)

  • Pingback: Die Woche im Rückspiegel – 37. KW « kadekmedien's Blog()

  • Pingback: Diaspora: Welche Chancen hat die dezentrale Facebook-Alternative? » t3n News()

  • Pingback: Freitags Links Abbiegen | ikusei Blog()

  • „Vielleicht gibt es dafür auch eine Lösung. Sie ist mir aber nicht bekannt. Hinweise bitte gern in die Kommentare.“

    Ein Lösungsansatz: Daten clientseitig verschlüsseln und „host-proof“ ablegen. Ich hatte Diasporas Ansatz ursprünglich auch so verstanden, sehe aber in den bisherigen Beispielimplementierungen nichts, was darauf hinweist, dass das auch geschieht. Das mag aber auch dem „pre-alpha“-Status geschuldet sein.

    Dieser Lösungsansatz eröffnet natürlich gleich das nächste Problemfeld: Wie wird die dafür notwendige PKI aufgebaut und verwaltet? Das lässt sich mit einem zentralen Service deutlich einfacher und nutzerfreundlicher realisieren als dezentral.

    Ein Beispiel für einen zentralen (und nur bezüglich der verwendeten Crypto-Routinen Open Source) Service, der diesen Ansatz verfolgt ist pidder.com.