Troet.Cafe & Muenchen.Social — 003
Wie viele von euch sicherlich mitbekommen haben macht gerade ein Heise Online Artikel über Sicherheitslücken in Mastodon die Runden. In diesem Artikel wird erwähnt, dass Mastodon Server der folgenden Versionen von diesen Sicherheitslücken betroffen sind:
- 3.5.16 und älter,
- 4.0.12 und älter,
- 4.1.12 und älter,
- 4.2.4 und älter.
troet.cafe und muenchen.social sind auf der Version 4.1.9, was bei „4.1.12 und älter” mitgemeint ist.
Zudem ist die genaue Sicherheitslücke bisher noch geheim — die Chance, dass etwas passiert ist also gering.
Nun hatten Martin und Ich uns eigentlich mehr Zeit erhofft um Updates ohne Fehler sowie die Zugänge zu den Servern DSGVO-Konform umzusetzen. Letzte und diese Woche haben treffen stattgefunden um die Logs zu analysieren, es wurden Erklärungen geschrieben damit nachvollzogen werden konnte wie diese Logs eigentlich zu stande gekommen sind und viele Erkenntnisse über mögliche Lösungsansätze gewonnen. Eine Übergabe von Serverzugriffen habe Ich bisher jedoch abgelehnt da Ich uns nicht aufdringen und Martin die Kontrolle entnehmen wollte, sowie sicherstellen wollte, dass jede Person von troet.cafe und muenchen.social erstmal weiß was passiert, mich kennt und von uns gehört hat. Eine zwar nicht Übernahme aber schon große Abgabe von Kontrolle scheint mir andernfalls sehr intransparent, ihr sollt ja wissen wer Ich bin, was passiert, und lange genug Zeit haben um ggf. ein Problem mit dieser Entwicklung zu haben.
Naja, nun gibt es eine Sicherheitslücke und das heißt ganz und gar nicht das Grundsätze der Transparenz über Bord geworfen werden sollten, eher im Gegenteil (deshalb, dieser Beitrag), jedoch das wir für den Moment zusammenkommen müssen um den Plan kurzfristig zu ändern um diese Sicherheitslücke zu schließen.
Was heißt das konkret?
Die Update-Versuche welche bei troet.cafe und muenchen.social in den letzten Monaten versucht wurden bezogen sich immer auf ein Update auf eine viel höhere Version von Mastodon (>4.2.x), da kann auch mehr schiefgehen. Die Versionen der beiden Instanzen sind momentan 4.1.9, und jede Version unter 4.1.12 ist, wie oben benannt, betroffen. Es gibt zum schließen dieser Sicherheitslücke jedoch seit kürzester Zeit auch die Version 4.1.13, was von unserer Version 4.1.9 ggf. leichter zu erreichen, und ohne Fehler zu Updaten ist. Dies würde zwar den eigentlichen Plan durcheinanderbringen, ggf. die über die letzten Wochen geteilten und analysierten Logs sowie deren Auswertung sinnlos machen, dafür aber das akute Problem lösen, also die User von troet.cafe und muenchen.social schützen. Das liegt uns selbstverständlich am meisten am Herzen und wird so schnell es geht umgesetzt — da es den Plan etwas durcheinanderwürfelt sowie durch mein Ablehnen der Zugänge zu den Servern die gesamte Abhängigkeit wieder an Martin allein liegt, bitten wir um Verständnis, dass das ganze nicht so schnell stattfindet wie es stattfinden sollte.
Der Plan unserer Gruppierung, die gesamte Idee warum Martin und Ich zusammenarbeiten sowie das Team Troet.Cafe existiert, ist damit so etwas nie wieder geschieht. So eine Abhängigkeit von einer einzelnen Person sowie der damit einhergehende Druck nicht mehr existiert und Probleme schneller, professioneller, transparenter und vertrauenswürdiger gelöst sowie angegangen werden. Dieser Prozess braucht Zeit, Vertrauen, Einarbeitung, etc. Alles Dinge die wir leider jetzt nicht haben!
Nachdem die Sicherheitslücke geschlossen ist geht dieser Prozess jedoch weiter um den eigentlichen Plan, also das Durchführen der größeren und problematischeren Updates, sowie das langfristigere bessere Moderieren und Instandhalten von troet.cafe sowie muenchen.social, umzusetzen.
Ich freue mich aufrichtig auf diese Zeit und wünsche allen Mastodon Usern ein Überstehen dieser unsicheren Phase. 👋
#TroetCafeLebt #MuenchenSocialLebt #TroetCafe #MuenchenSocial
Comments
Displaying 0 of 1 comments
Erik Uden 🍑
In response to this postTroet.Cafe & Muenchen.Social — 004
[Lest auch Martin's Ankündigung]
Die Updates um die momentanen Sicherheitslücken zu schließen werden wir versuchen Morgen, Samstag den 03.02.2024 um 16:00 - 18:00 Uhr einzuspielen. Von v4.1.9 auf v4.1.13, Version für Version. Für diesen Zeitraum können troet.cafe und muenchen.social offline sein. Nach diesem Zeitraum gibt es das Sicherheitsproblem hoffentlich nicht mehr und niemand muss sich um seinen Account, sowie die Sicherheit seiner Daten, Sorgen machen.
Martin, Nick, und Ich haben soeben gemeinsam in einem Telefonat herausgefunden ob diese Version 4.1.13 weiterhin kompatibel mit der problematischen Datenbank ist (das ist sie), weshalb uns wahrscheinlich das Update erleichtert wird. Das Problem in der Vergangenheit waren Fehler beim Updaten der Datenbank, da wir diese hierbei nicht Updaten müssen, bleibt uns einiges an Arbeit hoffentlich erspart. Wir haben einen Plan überlegt wie wir das ganze angehen werden und alle Eventualitäten durchdacht, es ist also möglich, dass Dinge dennoch schiefgehen, doch auch dafür haben wir einen Plan B.
Dies wird das erste Mal sein das wir zusammen arbeiten, was, auch wenn es nicht ganz in dem Rahmen geschieht in den Ich es mir gewünscht hätte, zur Wissensweitergabe sowie nachhaltigen Aufgabenverteilung und Wissensaufbereitung führt. Zum Beispiel erstellen wir zeitgleich mit der Updatedurchführung eine sogenannte „Documentation” / Dokumentation. Diese erklärt sehr ausführlich alles vom Aufbau der Instanz und Server. So könnten zukünftig Menschen, die noch nie an der Instanz gearbeitet haben, uns dennoch helfen und es würde weitaus weniger Abhängigkeit von einzelnen Personen existieren. Das Wissen bleibt erhalten und aufbewahrt, kein Druck und Stress liegt auf einer Person mehr, so das Ziel.
Da Martin bisher alles alleine gemacht hat haben wir bisher keine Ahnung wie die Server funktionieren oder aufgebaut sind. Jede Person hat da so deren Art Dinge zu tun; als Fremde dort einzusteigen wäre sehr schwierig und wir würden wahrscheinlich dennoch oft auf Martin's Hilfe zurückgreifen müssen, selbst wenn wir es „alleine” versuchen würden. Deshalb muss der erste Termin einer sein der Martin passt, ggf. auch der Zweite, wahrscheinlich auch der Dritte! Jedes Mal heißt aber weniger Arbeit für und Abhängigkeit von Martin. Jedes weitere Mal bedeutet immer größere Aufgaben die wir übernehmen können und er nicht mehr beachten muss.
Auch wenn es aus einer Notlage heraus ist freue Ich mich auf die Zeit morgen mit Martin und Nick, denn dann beginnt der erste Schritt dieses eigentlich sehr schönen Prozesses! ❤️ :coffefied:
#TroetCafeLebt #MuenchenSocialLebt #TroetCafe #MuenchenSocial #TeamTroetCafe #TeamMuenchenSocial
Troet.Cafe & Muenchen.Social — 005
[Lest auch Martin's Ankündigung]
Wir haben muenchen.social und mit etwas Überzug troet.cafe nach 18:00 Uhr erfolgreich auf Version 4.1.13 ge-updated! Die Sicherheitslücke ist somit gelöst, niemand muss sich mehr um dessen Account Sorgen machen!
Nicht nur ist alles reibungslos gelaufen, sondern haben Nick, Emily, und Ich in diesem 3 Stunden Meeting gelernt wie die Infrastruktur von troet.cafe sowie muenchen.social aufgebaut ist und könnten somit zukünftig solche Updates selbst machen. Zeitgleich haben wir angefangen eine Dokumentation zu schreiben welche die Wissensweitergabe auch nachhaltig versichert.
Auch wenn es sehr kurzfristig zusammengekommen ist, war es ein massiver Erfolg! :ablobcatheartsqueeze:
#TroetCafeLebt #MuenchenSocialLebt #TroetCafe #MuenchenSocial #TeamTroetCafe #TeamMuenchenSocial
by Erik Uden 🍑 ;
Tags: #troetcafelebt #muenchensociallebt #troetcafe #muenchensocial #teamtroetcafe #teammuenchensocial
Likes: 0
Replies: 1
Boosts: 0