Fast zum Jahresende gibt es noch ein großes Update:
- Neben WhatsApp gibt es nun auch ein Transport nach Signal
- Es gibt wieder ein Telegram Transport
Ursprünglich hatte ich angekündigt, dass es das nicht mehr gibt. Allerdings war die Nachfrage doch etwas größer.
Ich habe mich jetzt durchgerungen, es doch wieder anzubieten. Das Problem mit der Datensammlung würde aber weiterhin bestehen. Ein Script sorgt daher dafür, dass Bilder, Sticker, Videos oder Sprachdateien nach 12 Stunden automatisch gelöscht werden. Damit kann ich leben.
JabJab.de bietet damit insgesamt 11 Transports an.
Datenschutzhinweis: Ich möchte an der Stelle nochmal deutlich darauf hinweisen, dass zwischen JabJab.de und dem externen Dienst teilweise keine Verschlüsselung existiert, wegen der Architektur auch nicht existieren kann. Nachrichten werden zwar transportverschlüsselt, liegen auf dem Server aber im Klartext vor. Es existiert KEINE Ende-zu-Ende Verschlüsselung. Insbesondere bei der Verwendung von mod_mam. Das gilt auch für Zugangsdaten bei sog. "legacy Transports" wo noch Benutzername und Kennwort verlangt werden.
- Anpassungen bei Spam
Bisher war es so, dass Server von denen Spam versendet wird und deren Admin nicht antwortet oder nichts dagegen unternimmt, hier auf der Blocklist landen. Zukünftig nutze ich stattdessen (testweise) mod_block_strangers. Damit wird erstmal alles geblockt, sofern sich der Absender nicht in eurer Kontaktliste befindet. Damit aber trotzdem Nachrichten von neuen Kontakten zugestellt werden können, wird in dem Fall ein Captcha präsentiert, dass gelöst werden muss. Server, die von mod_block_stragers gefiltert werden, müssen natürlich Spam versendet haben, das ist nicht grundsätzlich eingeschaltet.
Ich denke, dass das eine sinnvollere Lösung ist, als hart zu blocken. Benutzer:innen die sich kennen, können so weiter kommunizieren.
- Das XMPP Observatory ist nun komplett abgeschaltet. Ich habe daher das Badge von der Seite entfernt, da jetzt ohnehin keine Kontrolle mehr möglich ist. An der Verschlüsselung hat sich natürlich nichts geändert. Sobald ein Nachfolger existiert, binde ich den sofort mit ein.
Abschließend möchte ich noch einmal auf die Möglichkeit zu Spenden hinweisen. Das geht insbesondere in Richtung der Firmen, die diesen Dienst hier nutzen.
Bei einer Serverwartung jetzt am Wochenende fiel mir auf, dass meine Festplatte zu 30GB mehr belegt war, als ich gerechnet hätte. Ich habe mich auf die Suche gemacht und festgestellt, dass davon 19GB auf das Verzeichnis mit den Transports fallen. Zunächst dachte ich, dass da über die Zeit ein Logfile durchgedreht ist, was mir erst jetzt auffällt. Dann habe ich aber gesehen, dass das alles zu Telegram gehört und kein Logfile ist.
Ich hatte 19GB persönliche Daten von fremden Leuten auf dem Server: Bilder, Videos, PDF, Musik und Dateien.
Mir ist bekannt, dass Telegram alles in seiner Cloud speichert, unverschlüsselt. Mir war nicht klar, dass das alles hier lokal gespeichert bleibt, sobald du Telegram über deinen JabJab Account nutzt, oder von einem fremden Jabber Server kommst.
So wie ich das sehe, gibt es auch keine Löschroutine, falls du deinen JabJab Account inkl. Telegram Verknüpfung löschst bzw. nur der Telegram Account gelöscht wird. Deswegen biete ich Telegram ab sofort nicht mehr an. Erstens bin ich keine Cloud und zweitens ist das aus Datenschutzsicht wohl mehr als gefährlich.
Die Daten sind gelöscht, Backups dazu existieren nicht. Die anderen Transports sind davon nicht betroffen.
Wer möchte, kann Telegram weiterhin über einen anderen Anbieter nutzen. Hier wird es das nicht mehr geben. Jeder sollte sich aber im Klaren darüber sein, dass Telegram auf alles, was nicht explizit verschlüsselt wurde, Zugriff hat. Der Jabber Dienst, über den ihr Telegram nutzen wollt, auch.
Hier läuft ein Script im Hintergrund, das nach un- oder nie genutzten Accounts sucht und die dann löscht. Im Anschluss gibts eine Zusammenfassung per Mail an mich. In den letzten Wochen fiel mir auf, dass die Zahl der gelöschten Accounts ungewöhnlich hoch war. Anscheinend wurden kontinuierlich Accounts erstellt und dann nicht genutzt. Grund: unbekannt.
Um das alles mal zu untersuchen, habe ich mir ein bisschen Logging gebastelt und sehen können, dass häufig Registrierungen von der gleichen IP kommen, die dann irgendwann wechselt.
Ab sofort gibts daher hier einen weiteren Spamschutz bei der Registierung:
Wenn ein Account angelegt wird, speichert der Server einen Teil(!) der IP Adresse als Hash(!) für eine zufällig ausgewählte Zeitspanne von 1-120 Minuten. Kommt in dieser Zeit eine weitere Registrierung rein, die den gleichen Hash erzeugt, klappt die Registrierung nicht und es gibt eine Fehlermeldung.
Mal gucken, ob das hilft.
... ja, der Server lebt selbstverständlich noch und wird auch noch betreut.
... ja, es werden nach wie vor so wenig Daten wie möglich erhoben (habt ihr ja größtenteils ohnehin selbst in der Hand).
... ja, es wird auch wieder Updates geben.
Ein kurzes Update am Wochenende:
Auf der Webseite wird es keine Hashes der Zertifikate mehr geben.
Ich habe es nie rechtzeitig zum Wechsel geschafft, die Hashes zu erneuern. Das hat immer zu Rückfragen geführt, was denn nun stimmt.
Sicherheitsbedenken habe ich trotzdem keine: Wer es schafft, böswillig das Zertifikat auszutauschen, ist auch im Anschluss in der Lage, den Hash anzupassen und die User zu täuschen.
DSGVO Teil 2:
Wer schon immer mal wissen wollte, was dieser Server alles speichert, hat jetzt die Gelegenheit dazu. Im Loginbereich gibt es den neuen Punkt DSGVO, der einen Export der Userdaten ermöglicht. So könnt ihr auch kontrollieren, ob die Angaben der Speicherfrist (z.B. 14 Tage für MAM) stimmen und eure Verschlüsselung geklappt hat ;-).
Achtung: Wer den Server intensiv benutzt, muss hier mit einer großen Seite rechnen :-).