I sondaggi anonimi su Mastodon sono davvero anonimi?
-
I sondaggi anonimi su Mastodon sono davvero anonimi? Beh, parliamone...
Riportiamo una sintesi di un post pubblicato un anno fa da @Edent sulla questione dell'anonimato nei sondaggi di Mastodon, ma il post richiama l'attenzione sul fatto che tutto ciò che rende aperto il Fediverso rende necessaria una maggiore consapevolezza da parte degli utenti.
Quando voti in un sondaggio, il tuo server invia un messaggio al server dell'utente che ha creato quel sondaggio dicendo: "Sono l'utente
@XXXX@YYY.ZZe desidero votare per l'opzione X. Ecco una firma HTTP che conferma il mio messaggio."Le specifiche Activitystreams relative ai sondaggi non sono definite benissimo e anche la documentazione di Mastodon è un po' vaga. Nessuno dei due affronta con chiarezza la questione della privacy.
C'è un eccellente post sul blog di @humrochagf (Aprovecho la oportunidad... Hola Humberto, ¿podrías arreglar el enlace a tu cuenta de Mastodon en tu blog?) che analizza il sondaggio Mastodon in ActivityPub. Mostra chiaramente che un voto è solo un normale messaggio che viene trasmesso al server ricevente.
Servizi come Mastodon sono appositamente sviluppati per non permettere all'autore del sondaggio di vedere chi ha votato e per quale opzione.
Ma questa è solo una convenzione. Non c'è nulla di tecnico che impedisca di recuperare quel dato. Se quel dato esiste, allora c'è un modo per intercettarlo. Un server mastodon inaffiddabile o appositamente configurato per raccogliere dati può collegare le tue preferenze al tuo account
Pertanto, quando vedi un sondaggio su Mastodon, poniti sempre queste domande:
1) dichiarare una preferenza in quel sondaggio può danneggiarmi?
2) il server cui appartiene l'utente che lancia il sondaggio rispetta il GDPR oppure è un server extracomunitario? O, peggio, è un server comunitario senza privacy policy o con una privacy policy ricopiata da un altro server?All'esposizione di un qualsiasi dato personale, infatti, corrisponde sempre una riduzione delle proprie difese.
Da chi potrebbe essere sfruttata questa caratteristica?
1) un attore che lo fa attraverso un server malevolo, appositamente configurato per raccogliere quetsi dati
2) un attore che lo fa attraverso un server che ha compromessoPerché qualcuno dovrebbe sfruttare questa caratteristica?
1) per profilare il tuo account anonimo/pseudonimo e renderne più facile l'identificazione
2) per profilare te e il tuo account già correlato alla tua vera identità e colpirti dal punto di vista reputazionale (al tuo datore di lavoro piace avere dipendenti sotto l'attacco di una shitstorm?) o legale (pensa solo a come il governo degli USA sta rendendo illegali opinioni e comportamenti)Se sei interessato a questi contenuti sul #Fediverso puoi seguire l'utente @fediverso; si tratta di un "gruppo activitypub" che simula i gruppi Facebook: quando lo segui, l'account ti ricondivide tutti i messaggi di chi lo menziona! Se vuoi scrivere un post sul Fediverso, ricordati di menzionare quell'utente alla fine del tuo nuovo messaggio
-
undefined informapirata ⁂ :privacypride: ha condiviso questa discussione
undefined macfranc ha condiviso questa discussione
-
I sondaggi anonimi su Mastodon sono davvero anonimi? Beh, parliamone...
Riportiamo una sintesi di un post pubblicato un anno fa da @Edent sulla questione dell'anonimato nei sondaggi di Mastodon, ma il post richiama l'attenzione sul fatto che tutto ciò che rende aperto il Fediverso rende necessaria una maggiore consapevolezza da parte degli utenti.
Quando voti in un sondaggio, il tuo server invia un messaggio al server dell'utente che ha creato quel sondaggio dicendo: "Sono l'utente
@XXXX@YYY.ZZe desidero votare per l'opzione X. Ecco una firma HTTP che conferma il mio messaggio."Le specifiche Activitystreams relative ai sondaggi non sono definite benissimo e anche la documentazione di Mastodon è un po' vaga. Nessuno dei due affronta con chiarezza la questione della privacy.
C'è un eccellente post sul blog di @humrochagf (Aprovecho la oportunidad... Hola Humberto, ¿podrías arreglar el enlace a tu cuenta de Mastodon en tu blog?) che analizza il sondaggio Mastodon in ActivityPub. Mostra chiaramente che un voto è solo un normale messaggio che viene trasmesso al server ricevente.
Servizi come Mastodon sono appositamente sviluppati per non permettere all'autore del sondaggio di vedere chi ha votato e per quale opzione.
Ma questa è solo una convenzione. Non c'è nulla di tecnico che impedisca di recuperare quel dato. Se quel dato esiste, allora c'è un modo per intercettarlo. Un server mastodon inaffiddabile o appositamente configurato per raccogliere dati può collegare le tue preferenze al tuo account
Pertanto, quando vedi un sondaggio su Mastodon, poniti sempre queste domande:
1) dichiarare una preferenza in quel sondaggio può danneggiarmi?
2) il server cui appartiene l'utente che lancia il sondaggio rispetta il GDPR oppure è un server extracomunitario? O, peggio, è un server comunitario senza privacy policy o con una privacy policy ricopiata da un altro server?All'esposizione di un qualsiasi dato personale, infatti, corrisponde sempre una riduzione delle proprie difese.
Da chi potrebbe essere sfruttata questa caratteristica?
1) un attore che lo fa attraverso un server malevolo, appositamente configurato per raccogliere quetsi dati
2) un attore che lo fa attraverso un server che ha compromessoPerché qualcuno dovrebbe sfruttare questa caratteristica?
1) per profilare il tuo account anonimo/pseudonimo e renderne più facile l'identificazione
2) per profilare te e il tuo account già correlato alla tua vera identità e colpirti dal punto di vista reputazionale (al tuo datore di lavoro piace avere dipendenti sotto l'attacco di una shitstorm?) o legale (pensa solo a come il governo degli USA sta rendendo illegali opinioni e comportamenti)Se sei interessato a questi contenuti sul #Fediverso puoi seguire l'utente @fediverso; si tratta di un "gruppo activitypub" che simula i gruppi Facebook: quando lo segui, l'account ti ricondivide tutti i messaggi di chi lo menziona! Se vuoi scrivere un post sul Fediverso, ricordati di menzionare quell'utente alla fine del tuo nuovo messaggio
@notizie
La prima volta che ho fatto un sondaggio mi sono chiesto perché alla fine non mi dicesse chi aveva votato cosa, l'ho sempre trovato strano, mi è sempre stato evidente che "il sistema" avesse l'informazione e mi è sempre sembrato un difetto che questa informazione non fosse accessibile.Concordo, se si vogliono sondaggi anonimi, l'anonimato va gestito a livello di protocollo. Non chiamerei neppure "malevolo" un server che mostri le informazioni che ha…
@humrochagf @Edent @fediverso -
@notizie
La prima volta che ho fatto un sondaggio mi sono chiesto perché alla fine non mi dicesse chi aveva votato cosa, l'ho sempre trovato strano, mi è sempre stato evidente che "il sistema" avesse l'informazione e mi è sempre sembrato un difetto che questa informazione non fosse accessibile.Concordo, se si vogliono sondaggi anonimi, l'anonimato va gestito a livello di protocollo. Non chiamerei neppure "malevolo" un server che mostri le informazioni che ha…
@humrochagf @Edent @fediverso@notizie
Comunque il programma che uso per il fediverso, quando scrivo messaggi diretti (privati? personali?) apre un riquadro per ricordarmi che non c'è alcuna vera garanzia di protezione.
Forse sarebbe bene mettere un messaggio del genere anche ogni volta che viene proposto di rispondere a un sondaggio?Sui media della "concorrenza" non viene ricordato ad ogni piè sospinto che "il sistema registra molte più cose di quanto pensiate", ma qui val la pena farlo, no?
@humrochagf @Edent @fediverso -
@notizie
La prima volta che ho fatto un sondaggio mi sono chiesto perché alla fine non mi dicesse chi aveva votato cosa, l'ho sempre trovato strano, mi è sempre stato evidente che "il sistema" avesse l'informazione e mi è sempre sembrato un difetto che questa informazione non fosse accessibile.Concordo, se si vogliono sondaggi anonimi, l'anonimato va gestito a livello di protocollo. Non chiamerei neppure "malevolo" un server che mostri le informazioni che ha…
@humrochagf @Edent @fediverso@Pare il sondaggio deve restare "segreto", soprattutto per evitare effetti distorsivi sui partecipanti ed è giusto che resti "anonimo" perché fa parte del gioco. Ma il punto è che si tratta di un gioco, non di una votazione ufficiale 😅
-
@notizie
Comunque il programma che uso per il fediverso, quando scrivo messaggi diretti (privati? personali?) apre un riquadro per ricordarmi che non c'è alcuna vera garanzia di protezione.
Forse sarebbe bene mettere un messaggio del genere anche ogni volta che viene proposto di rispondere a un sondaggio?Sui media della "concorrenza" non viene ricordato ad ogni piè sospinto che "il sistema registra molte più cose di quanto pensiate", ma qui val la pena farlo, no?
@humrochagf @Edent @fediversoForse sarebbe bene mettere un messaggio del genere anche ogni volta che viene proposto di rispondere a un sondaggio?
Sono d'accordo
-
undefined Poliverso - notizie dal Fediverso ⁂ ha condiviso questa discussione
Gli ultimi otto messaggi ricevuti dalla Federazione
-
@pfefferle Yes, I have seen the same bug. Changing from Article to Note and back doesn't work as expected
-
@aslakr @activitypub.blog it should be possible now!
(there was a little mastodon bug that came in the way: https://github.com/mastodon/mastodon/issues/36318)
-
@aslakr @activitypub.blog I am about to install the new version on the blog. give me a sec 😉
-
@activitypub.blog It's a pity this post can't (yet) by quoted.
-
We’re back with a fresh release, and this one makes following and sharing smoother than ever—plus gives you more control over how your posts can be quoted.
A New Way to Follow (For Now)Starting today, users on WordPress.com sites and self-hosted sites connected through Jetpack can see the posts of accounts they follow directly in their WordPress.com Reader timeline. The Following UI has been around for a little while, yet hidden, and with this release it will be enabled by default for these sites.
When you follow an account, ActivityPub checks for a discoverable RSS feed. If one exists, it’s automatically added to your Reader timeline so new posts appear alongside everything else you already follow. Unfollowing works the same way—the feed disappears when you remove the account. And if you’d like to view the feed for an account you’ve followed, just hover over it in the list table and click View Feed.
Think of this as a bridge: a simple way to read the posts of accounts you follow today, while we continue building a full, first-class ActivityPub reading experience for tomorrow.
There are a couple of details to keep in mind. Removing a subscription directly in the Reader won’t update your site’s Following list, and interactions are limited to what RSS allows, which means sharing and reposting rather than the full range of ActivityPub features.
Running a self-hosted site without Jetpack? You can still enable the Following UI manually—it just won’t connect with the Reader.
Quote Post ControlsWe’ve also added support for Mastodon’s quote post feature—and given you an easy way to control how others can quote your content.
When writing in the Block Editor, you’ll now see a sidebar setting that lets you decide whether everyone can quote your post, only your followers can, or if quoting is reserved for you alone. Once published, Mastodon and other compatible platforms will honor your choice automatically. No extra setup needed—just write, choose, and publish with confidence.
Full ChangelogAddedAdded a setting to control who can quote your posts.Added support for QuoteRequest activities (FEP-044f), enabling proper handling, validation, and policy-based acceptance or rejection of quote requests.Add upgrade routine to enable ActivityPub feeds in WordPress.com ReaderAdd Yoast SEO integration for author archives site health check.Improved interaction policies with clearer defaults and better Mastodon compatibility.New site health check warns if active Captcha plugins may block ActivityPub comments.Sync following meta to enable RSS feed subscriptions for ActivityPub actors in WordPress.com ReaderYou can now follow people and see their updates right in the WordPress.com Reader when using Jetpack or WordPress.com.ChangedAdded support for fetching actors by account identifiers and improved reliability of actor retrieval.Clarify error messages in account modal to specify full profile URL format.Improved checks to better identify public Activities.Improved compatibility by making the ‘implements’ field always use multiple entries.Improved recipient handling for clarity and improved visibility handling of activities.Remote reply blocks now sync account info across all blocks on the same pageStandardized notification handling with new hooks for better extensibility and consistency.Updated sync allowlist to add support for Jetpack notifications of likes and reposts.FixedFixed an issue where post metadata in the block editor was missing or failed to update.Fix Flag activity object list processing to preserve URL arraysFix PHP warning in bulk edit scenario when post_author is missing from $_REQUESTPosts now only fall back to the blog user when blog mode is enabled and no valid author exists, ensuring content negotiation only runs if an Actor is available.DownloadsWordPress.org: activitypub.7.5.0.zipGitHub: tag/7.5.0Thank you!Thanks to everyone who contributed code, tested, offered feedback, or lent support along the way. Update to 7.5.0 today and follow, share, and quote to your heart’s content!
-
Forse sarebbe bene mettere un messaggio del genere anche ogni volta che viene proposto di rispondere a un sondaggio?
Sono d'accordo
-
@Pare il sondaggio deve restare "segreto", soprattutto per evitare effetti distorsivi sui partecipanti ed è giusto che resti "anonimo" perché fa parte del gioco. Ma il punto è che si tratta di un gioco, non di una votazione ufficiale 😅
-
@notizie
Comunque il programma che uso per il fediverso, quando scrivo messaggi diretti (privati? personali?) apre un riquadro per ricordarmi che non c'è alcuna vera garanzia di protezione.
Forse sarebbe bene mettere un messaggio del genere anche ogni volta che viene proposto di rispondere a un sondaggio?Sui media della "concorrenza" non viene ricordato ad ogni piè sospinto che "il sistema registra molte più cose di quanto pensiate", ma qui val la pena farlo, no?
@humrochagf @Edent @fediverso
