Social, czyli gra Elona

Kolejna „awaria” Twittera. Lub też skutek niefrasobliwego zarządzania, zależy jak spojrzeć. Co tym razem? Ludzie się skarżą, że nie mogą czytać postów. Dlaczego? Bo wprowadzono zmiany…

Główne zmiany to limit przeglądanych tweetów, w pierwszej wersji wynoszący 600 dla kont niezweryfikowanych. Czytaj: kont darmowych. Jeszcze mniej dla kont świeżych. Płacący dostają dziesięć razy więcej. Nie jest to jednak jedyna zmiana. Aktualnie nie można przeglądać wpisów na Twitterze, jeśli nie jest się zalogowanym. Oficjalny powód zmian? Scrapowanie treści. Znaczy czytanie. Ktoś umieścił coś w sieci, inni czytają, a właścicielowi platformy się to nie podoba.

Przypuszczam, że gdyby czytający płacili, problemu by nie było i właścicielowi by się podobało. Wydaje mi się bowiem, że Twitter dla Elona to taka zabawka, która służy do zabawy w grę „ile pieniędzy można wycisnąć z platformy”. I zupełnie nie mają znaczenia inne aspekty, typu wolność słowa, użyteczność platformy, czy liczba użytkowników.

Oczywiście zaczęło się wieszczenie „trzeciego końca Twittera”. Ludzie komentują kolejny wzrost rejestracji kont na Mastodonie. Przypuszczam, że sprawa za moment rozejdzie się po kościach. Elon pokręci gałeczką, z 600 zrobi się 1000, albo i trochę więcej. Jak poprzednio, część użytkowników odejdzie, część uzna, że warto zapłacić.

Uważam, że na Twitterze zmierzamy wprost, szybciej lub wolniej, do modelu z regularnym paywallem. Model znany i w Polsce choćby w wykonaniu Agory. Jakieś szczątkowe dostępy za darmo, a jak chcesz czytać, to płać. Jedyna różnica jest taka, że Agora płaci autorom, a na Twitterze ludzie będą płacili za dostęp do treści tworzonych przez znajomych. Niemożliwe? Nic podobnego, przecież to nie rewolucja, tylko klasyczne gotowanie żaby.

Powiedzmy sobie wprost, Mastodon jest w tym równaniu pomijalny. Liczba zarejestrowanych kont to 10 mln na koniec marca, obecnie ok. 13 mln. Zarejestrowanych, nie aktywnych. Zresztą, miałem o tym notkę. Dla porównania, Twitter to jakieś 400 mln, z czego połowa korzysta codziennie. Przypuszczam, że dodatkowy milion czy dwa założonych kont na Mastodonie jest zupełnie pomijalny. Zwłaszcza, jeśli po zmianach wzrośnie nieco ilość zweryfikowanych kont na Twitterze, a użytkownicy nie przeniosą się, usuwając konta na Twitterze, tylko założą obok.

Zresztą Mastodon ma swoje problemy. Jeden to UX, drugi to… brak wsparcia dla fediwersum u „dużych”. Pamiętacie jak na początku Tumblr zapowiadał, że zaraz wprowadzi wsparcie dla fediwersum? „Zaraz” trwa już osiem miesięcy, a temat ucichł. Spiskowa teoria mówi, że Automattic, czyli właściciel WordPress.com i Tumblr wcale nie przejął wtyczki activypub po to, by ją rozwijać, a tylko po to, by kontrolować, żeby się nie rozwinęła. Bo wolne, zintegrowane ze sobą social media ktoś mógł uznać za zagrożenie dla ww. platform blogowych. Zresztą pewnie słusznie.

Na koniec cebulowa porada dla użytkowników Twittera. Jeśli korzystacie z tego portalu w przeglądarce, to okazuje się, że wtyczka uBlock origin nie tylko blokuje reklamy na Twitterze, ale też pozwala obejść limity. Nie liczyłem oczywiście czytanych tweetów, ale wczoraj korzystałem dość intensywnie i żadnych blokad nie zauważyłem. Przez moment mignął mi komunikat o limicie, ale ledwo go zauważyłem, bo zniknął i posty się wczytały.

Google Authenticator ma backup

Piekło zamarzło. Przedwczoraj na blogu ogłoszono, że Google Authenticator dorobił się backupu kodów na koncie Google. Wersja oferująca tę funkcjonalność jest już do pobrania z Google Play. To duża i ważna zmiana i okazja do notki. Przy okazji zmieniła się niestety ikona programu.

Jak działa TOTP?

Zasada działania TOTP (Time-based One-Time Passwords) jest bardzo prosta, a implementacja w większości języków to kilka-kilkanaście linii kodu. W skrócie: najpierw, przy włączaniu tej metody uwierzytelniania, serwer generuje i zapisuje sekret. Dzieli się nim z użytkownikiem, zwykle przy pomocy QRcode.

Od tej pory kody są generowane na podstawie bieżącego czasu (unix timestamp), zaokrąglonego do 30 lub 60 sekund, oraz ww. sekretu. Najpierw są hashowane, następnie hash jest przekształcany na sześciocyfrowy kod. I już.

Jak widać, do generowania kodów dla danego użytkownika wystarczy poznać sekret. Natomiast z uwagi na użycie funkcji skrótu, odtworzenie sekretu z kodu jest bardzo trudne. Sprytne.

Znaczenie

Czemu to takie ważne? Brak jasnego, prostego sposobu backupów był dla mnie ogromnym argumentem przeciw korzystaniu z TOTP. Stosunkowo łatwo było stracić dostęp do kodów, czyli odciąć się od serwisu. A dostępność jest przecież składową bezpieczeństwa. Dlatego wolałem jako 2FA wykorzystywać kody SMS. Mocno niedoskonałe: drogie, niewygodne, zawodne, podatne na ataki. Oczywiście koszt jest po stronie serwisu, który musi wysyłać kody. Wygoda to rzecz dyskusyjna, niektórzy dostawcy nawet nie mieli dużego opóźnienia w dostarczaniu SMSów. Awarie operatorów nie zdarzały się często, a SIM swap nie jest tanim czy łatwym atakiem.

Oczywiście istniały alternatywne aplikacje, które oferowały backup sekretów. Tylko jakoś bardziej ufam dostawcy systemu operacyjnego na moje urządzenie, niż losowej appce. Podejrzewam, że ludzi takich jak ja było więcej.

Jak było wcześniej?

Wcześniej było… słabo. Z backupem Google Authenticator można było sobie radzić na kilka sposobów. Pierwszym było zdjęcie/screenshot QRcode przy włączaniu TOTP. Średnio wygodne w przechowywaniu (bitmapa/wydruk), zajmujące dużo miejsca, żeby wyszukiwać trzeba dobrze opisać.

Kolejny sposób to zapisanie kodów ratunkowych. Większość serwisów w momencie generowania sekretu TOTP podaje kody ratunkowe do wydrukowania/zapisania. Niezłe, o ile ktoś korzysta z managera haseł.

Ostatni sposób to… drugie urządzenie z Google Authenticator i utrzymywanie kodów na obu urządzeniach. Dość drogie z uwagi na koszt kolejnego urządzenia, niezbyt wygodne z uwagi na konieczność ręcznej synchronizacji.

Jak widać, powyższe sposoby są niezbyt wygodne, albo działają dla osób, które mają dobrze poukładane backupy. Dla osób, które po prostu chcą mieć zabezpieczone konta przez 2FA, a niekoniecznie chcą projektować system backupów, uwzględniając jego dostępność – bardzo średnie. Bo właśnie, fajnie, że masz wydrukowane QRcode’y czy kody ratunkowe przechowywane w sejfie. Ale co jesteś właśnie na wakacjach i tracisz telefon, wraz z dostępem do wszystkich serwisów?

Wady

Obecne rozwiązanie nie jest idealne. Nadal będziemy uzależnieni od Google w kwestii backupu kodów i ich odzyskania. Dla większości ludzi będzie to zapewne akceptowalne ryzyko, tym bardziej, że ma znaczenie wyłącznie przy odzyskiwaniu, czyli bardzo rzadko.

Kolejną wadą jest trzymanie wszystkich jajek w jednym miejscu. Konto Google staje się SPOF. Szczególnie, jeśli ktoś korzysta także z zapamiętywania haseł przy pomocy Google.

Jeszcze osobną sprawą jest kwestia zaufania do samego Google. Nie napisałem tego pierwotnie i wprost, ale uznałem, że jeśli mamy OS od Google, zintegrowany z ich sklepem i konto w ich serwisie, to z jakiegoś powodu ufamy Google. Zależy oczywiście od modelu zagrożeń.

Zaufanie do Google jest tym istotniejsze, że backup kodów trafia do Google w postaci niezaszyfrowanej. Czy Google udostępni np. służbom kody 2FA? Nie wiem, ale się domyślam. Po raz kolejny, kwestia modelu zagrożeń. Szczęśliwie Google zapowiedziało dodanie szyfrowania.

Podsumowanie

Uważam tę zmianę za bardzo dobrą, z punktu widzenia przeciętnego użytkownika i mam nadzieję, że przyczyni się do popularyzacji 2FA. W ogóle ostatnio mamy dobry klimat dla 2FA opartych o TOTP. Najpierw wyłączenie 2FA przy pomocy SMSów w Twitterze, teraz backupy w Google Authenticator.

Paradoksalnie jednak, po tej zmianie może się okazać, że… lepiej zmienić dostawcę appki do 2FA, niż włączać backup do chmury Google w Google Authenticator. W sugerowanych pojawiły się FreeOTP, FreeOTP+, 2FAS.

UPDATE: Dodane info o zaufaniu do Google. Dodane info o braku szyfrowania i zapowiedź dodania. Zaktualizowane podsumowanie.

Mastodon ma 10 mln użytkowników – so what?

Niedawno świat obiegła wiadomość, że Mastodon ma 10 mln użytkowników. Jest to świetna okazja do wpisu, tym bardziej, że pojawił się wątek na ten temat, w którym zabrałem głos.

Na wstępie garść niefajnych faktów. Trzeba jasno powiedzieć, że nie chodzi o 10 mln ludzi korzystających z tej platformy, a 10 mln kont. To niezupełnie to samo, szczególnie, że i ludzie migrowali między serwerami, zakładając na każdym z nich konto, i niektórzy mają więcej niż jedno konto. Np. „zawodowe” na jednym serwerze, a prywatne na innym. Kolejna sprawa, to chodzi wyłącznie o konta zarejestrowane, nie aktywnie używane. Tych ostatnich jest wielokrotnie mniej.

Niemniej jest jakiś wzrost, jest okrągła liczba, zatem i okazja do dyskusji „dlaczego Mastodon nie zyskuje szerszej popularności?” i „czemu nie można zatrzymać użytkowników”. Pojawiły się stwierdzenia, że tutoriale za słabe itp. I to jest moim zdaniem punkt zero – jeśli potrzebna jest instrukcja obsługi, tutoriale itp., to coś jest nie tak z projektem systemu. Jasne, w każdym serwisie mogą być jakieś trudniejsze w użyciu czy schowane funkcje, ale nie powinny one dotyczyć podstawowej obsługi. Ta powinna być prosta i intuicyjna.

Tymczasem Mastodon jest moim zdaniem… może nie trudny, ale nieoczywisty. A na pewno trudniejszy, niż system scentralizowany, bo decentralizacja nie jest przed użytkownikiem ukryta. Przykład: jestem zalogowany do swojej instancji. W innym oknie znajduję osobę z innej instancji, którą chcę obserwować (follow). Powiedzmy, że wszedłem tam ze strony domowej tej osoby. Klikam follow i… Zonk. Dostaję komunikat, żebym się zalogował. Albo przeszedł na swoją instancję i tam zaobserwował.

Pamiętacie jak śmialiście się z Windows, że trzeba wcisnąć start, żeby zamknąć system? Mastodon ma podobnie! Jest bowiem pole wyszukiwania, które nie tylko do wyszukiwania służy. Trzeba go użyć do zaobserwowania konta z innej instancji. Wklejając URL. Co prawda jest napisane, że to search or paste URL, ale czy to jest intuicyjne?

Czy mogłoby być lepiej? Pewnie tak, bo skoro jest federacja, to może dałoby się jakoś wymienić informację o tym, gdzie użytkownik jest zalogowany. No ale to nie jest trywialne – bo – w uproszczeniu – przeglądarki dbają o separację danych między domenami. No i nie chodzi o dwie czy trzy domeny, tylko o dużą, dynamicznie zmieniającą się ich liczbę. Ale gdyby się udało, to można by po wejściu na dowolny link i kliknięciu follow dostać tylko wybór, którym kontem chce się wykonać operację. Jeśli ktoś szuka więcej przykładów na nieintuicyjne rozwiązania, to są w moim pierwszym wpisie o Mastodonie.

Dlatego uważam, że o ile bardziej techniczni czy bardzie dociekliwi sobie poradzą, to w obecnym kształcie na szerszą, masową popularność nie ma co w najbliższym czasie liczyć. Po prostu typowy użytkownik nie ma potrzeby używania rozwiązania rozproszonego. Fajnie, że jest alternatywa dla mainstreamu ale po co z niej korzystać, skoro nie trzeba? Natomiast w niektórych kręgach Mastodon przyjął się całkiem dobrze już teraz. I tak już zapewne zostanie.

Cała sytuacja Trochę mi to przypomina sytuację z Linuksem i Windowsem sprzed lat. Linux – wiele zalet i „wystarczy trochę poczytać”, bo „mamy dobrą dokumentację”. W Windows użytkownicy nie musieli czytać, wystarczyło klikać. W efekcie nadal czekamy na rok Linuksa na desktopie.