Security? Oder Feature?
Mal was altes. Die verlinkte Security-Meldung bezeichnet die freie Anlegbarkeit von Accounts auf Radio Community Servern (gilt so für alle xmlStorageSystem basierten Server, also z.B. auch für die Python Community Server) als grosses Sicherheitsloch und empfiehlt allen Nutzern ihre Community Server abzuschalten.Liest man sich das ganze durch, so ist das Problem folgendes: jeder kann sich per XMLRPC (das wird ja von den Clients benutzt) über das xmlStorageSystem API auf einem Community Server einen Benutzer anlegen und den mit Inhalten füllen. Im Ergebnis bedeutet das, das dadurch natürlich jeder beliebige Files auf den Community Server legen kann. Horror für viele Systemadministratoren. Für mich ist das ein klassischer Konflikt zwischen offenen Systemen (jetzt nicht im technischen Sinne, sondern im Sinne der Kommunikation) und geschlossenen Systemen. Vertreter der geschlossenen Systeme werden natürlich immer auf die mit offenen Systemen verbundenen Sicherheitsprobleme hinweisen. Vertreter der offenen Systeme werden natürlich immer auf die mit geschlossenen Systemen verbundenen Hürden der Kommunikation und Nutzung hinweisen. Beide haben Recht.
Aber was genau passiert, wenn ein solches offenes System missbraucht wird? Im Prinzip werden natürlich Daten verteilt. Es gibt keine direkten Verantwortlichen, da ja die Daten bei der technischen Anmeldung gefälscht sein können. Der Administrator muss im Nachhinein reagieren - jemand weist auf illegale Inhalte hin, der Administrator sperrt den entsprechenden Account (und damit alle Dateien, die dort liegen). Das ist natürlich in der heutigen paranoiden Zeit für viele nicht sicher genug - aber ist es wirklich so katastrophal, wie es in der Security-News beschrieben wird?
Was ist mit Wikis - jeder kann alles da hinenschreiben. Manche Wikis erlauben Dateianhänge - damit kann jeder Files hochladen. Was ist mit Forensystemen wie Advogato, Kuro5hin oder ähnlichen - jeder kann da alles reinsetzen, teilweise sogar anonym. Alles offene Scheunentore? Oder ist es nicht vielleicht einfach so das es Systeme gibt, bei denen die Offenheit schlicht und einfach ein Feature ist?
Natürlich, jedes der offenen System wird irgendwann mal von Clowns missbraucht, die meinen das es absolut cool ist überall virtuelles Geschmiere zu hinterlassen - nahezu jedes grössere Wiki durchläuft diese Phase mehr als einmal. Dazu gibt es dann passende Mechanismen um solche Aktivitäten rechtzeitig zu bemerken und die entsprechenden Massnahmen zu ergreifen - teilweise muss man dann eben für eine Weile das System restriktiver betreiben. Aber das ganze dann auf Dauer nur mit Schutzmauer und dickem Stacheldraht?
Wollen wir uns tatsächlich nur noch gegen Vorlage des Personalausweises und polizeilichem Führungszeugnis der Welt öffnen? Irgendwie ist mir das zu öde, sorry. Ich habe also weiterhin - entgegen der Empfehlung aus dem referenzierten Artikel - einen offenen Community Server, auf dem jeder sein Blog selber anlegen kann. Denn dafür ist der Community Server nunmal da.
