Das Fediverse, auch bekannt als das offene soziale Netz, das Mastodon, Meta's Threads, Pixelfed und andere Apps enthält, verstärkt seine Sicherheit. Am Mittwoch kündigte eine gemeinnützige Organisation, die sich darauf konzentriert, Governance in Open-Source-Projekte zu bringen, die Nivenly Foundation, die Einführung eines neuen Sicherheitsfonds an, der diejenigen bezahlen wird, die Sicherheitslücken verantwortungsbewusst bekannt geben, die Apps und Dienste des Fediverse betreffen.
Obwohl alle Software Sicherheitsprobleme haben kann, hat Mastodon - eine Open-Source- und dezentrale Alternative zu X - im Laufe der Jahre zahlreiche Bugs behoben, was die Notwendigkeit eines solchen Programms begründet. Ein weiteres Problem im Fediverse ist, dass viele Server von unabhängigen Betreibern betrieben werden, die nicht unbedingt über einen Sicherheitshintergrund verfügen oder bewährte Verfahren kennen.
Bereits hat die Nivenly Foundation einigen Fediverse-Projekten geholfen, ihren grundlegenden Prozess zur Meldung von Sicherheitslücken einzurichten, und plant nun, geringe Entschädigungen an diejenigen zu verteilen, die andere Sicherheitslücken verantwortungsbewusst melden, die noch nicht behoben sind.
Die Entschädigungen belaufen sich auf insgesamt 250 US-Dollar für Schwachstellen mit einem Schweregradwert (bekannt als CVSS) von 7,0-8,9 und 500 US-Dollar für kritischere Schwachstellen mit einem CVSS-Wert von 9,0 oder höher. Die Mittel für die Entschädigungen stammen von der Stiftung, die direkt von Mitgliedern unterstützt wird, einschließlich Einzelpersonen sowie anderen Handelsorganisationen.
Die Schwachstellen selbst werden durch Akzeptanz der Fediverse-Projektleiter sowie öffentliche Aufzeichnungen in Datenbanken zur Offenlegung von Schwachstellen (CVE) validiert.
Der Fonds befindet sich derzeit in einem begrenzten Test nach der Entdeckung einer Sicherheitslücke in der dezentralen Instagram-Alternative Pixelfed. Die Open-Source-Mitarbeiterin Emelia Smith stieß auf das Problem, und die Nivenly Foundation zahlte ihr, um es zu beheben, erklärt sie.
Ein weiteres Problem trat auf, als der Schöpfer von Pixelfed, Daniel Supernault, die Details einer Schwachstelle öffentlich machte, bevor Serverbetreiber die Möglichkeit hatten zu aktualisieren, was das Fediverse anfällig für böswillige Akteure gemacht hätte, sagt sie. (Supernault hat sich bereits öffentlich für sein Vorgehen bei dem Vorfall entschuldigt, der private Konten betroffen hat.)
„Ein Teil des Programms ist... die Bildung der Projektleiter, um ihnen zu helfen zu verstehen, warum verantwortungsbewusste Praktiken bei der Offenlegung von Sicherheitslücken wichtig sind“, sagte Smith gegenüber TechCrunch. „Wir sind auf mehrere Projekte gestoßen, die einfach gesagt haben 'melden Sie Sicherheitslücken in unserem öffentlichen Problemverfolgungssystem', was absolut nicht sicher ist, da jeder bösartige Akteur, der dieses Repository beobachtet hat, nun in der Lage wäre, Instanzen dieser Software anzugreifen“, fügte sie hinzu.
Typischerweise ist die übliche Praxis, minimale Informationen über eine Schwachstelle offenzulegen, um den Serverbetreibern Zeit zum Upgrade zu geben, sagte Smith. Dies erfordert jedoch, dass die Projektleiter Sicherheitsbewährte verstehen.
Im Fall des Pixelfed-Problems entschied sich der Hachyderm Mastodon-Server, der über 9.500 Mitglieder hat, dazu, sich von anderen nicht aktualisierten Pixelfed-Servern zu trennen, um ihre Benutzer zu schützen.
Mit diesem neuen Programm, das darauf ausgelegt ist, bewährte Verfahren bei der Offenlegung von Schwachstellen zu befolgen, könnte es weniger häufig erforderlich sein, sich zur Schutz der Benutzer zu trennen.
Willkommen im Fediverse: Ihr Leitfaden zu Mastodon, Threads, Bluesky und mehr
Dezentralisierte Instagram-Alternative Pixelfed startet mobile Apps
