Open-Source-Facebook-Alternative Diaspora hat massive Sicherheitsprobleme
Das Open-Source-Projekt Diaspora verfolgt ein ehrenhaftes Ziel – ein soziales Netzwerk zu erschaffen, in dem der Anwender komplette Kontrolle über seine Privatsphäre haben. Man will damit Facebook attackieren, das immer wieder in die Kritik der Medien aus Datenschutzgründen und Datensammelwut gerät. Allerdings scheint Diaspora auch massive Schwierigkeiten in Sachen Sicherheit zu haben. Das sagen zumindest Leute, die es getestet haben.
In der Ankündigung der Pre-Alpha-Version sagten die Entwickler, dass der Code alles andere als frei von Fehlern und Sicherheitslöchern sei. Außerdem seien die Daten noch nicht voll exportierbar. Dieser Aussage zum Trotz haben frühe Tester die Sicherheit des sozialen Netzwerks kritisiert, beziehungsweise das Nicht-Vorhandensein solcher.
“Der Code ist wirklich sehr sehr schlecht”, schreibt Steve Klabnik, CTO von CloudFab in seinem Blog. Er wolle andere nicht mit Dreck bewerfen, aber es befänden sich grausame Sicherheitslöcher im Code.
Diaspora wurde von den Studenten Daniel Grippi, Maxwell Salzberg, Raphael Sofaer und Ilya Zhitomirskiy ins Leben gerufen. Viele Nutzer zeigten sich an dem Projekt interessiert und es kamen doch recht schnell Spenden im Wert von 200.000 US-Dollar zusammen. Ebenso geriet das Projekt in den Fokus von Medien wie der New York Times, die einen längeren Bericht über Diaspora zum Programmstart veröffentlichten.
Diaspora soll Peer-to-Peer-Technologien einsetzen. Statt die Daten über die zentralen Facebook-Server zu schicken, können Anwender Seeds oder persönliche Server aufsetzen und somit persönliche Daten direkt mit Freunden austauschen. Das reale Privatleben hat keinen zentralen Manager und so sollte es auch für das virtuelle sein, lautet ein Credo der Diaspora-Entwickler.
Auch andere Seiten und Kommentare (GitHub, Y-Combinator, Slashdot) bestätigen offensichtlich, dass der Code noch lange nicht das Gelbe vom Ei sei. Klabnik schreibt zum Beispiel, dass die im Code von Diaspora enthaltenen Sicherheitslücken einem professionelen Programmierer erst gar nicht passieren würden. Auf GitHub gibt es bereits über 140 Problemmeldungen, die zum Beispiel von Cross-Site-Scripting oder Code-Einspeisung sprechen.
Software-Entwickler und Blogger Patrick McKenzie hat via Twitter gewarnt, Diaspora auf gar keinen Fall zu benutzen oder andere einzuladen. Es sei schrecklich unsicher. Über gefundene Schwachstellen schweigt er sich allerdings aus.
Unterstützer des Projekts sagen jedoch, dass solche Sicherheitsprobleme in einer frühen Alpha-Version nicht so ungewöhnlich seien. “Der Code wurde als unfertige Vorschau veröffentlicht”, lautet ein Kommentar auf Y-Combinator. “Ich bin mir nicht sicher, warum Leute es auf die selbe Stufe wie ein fertiges Produkt stellen.”