Keine Benutzerkonten, mit voller Absicht
Posted on 2022-02-28 by
Ethische Gesichtspunkte standen von Anfang an für die F-Droid-Community im Mittelpunkt, mit ihrem Fokus auf freie Software, Datenschutz und Kontrolle durch die Anwender. Ein Kernstück des F-Droid-Designs ist das Fehlen von Benutzerkonten. Es werden bei der Auslieferung von Apps an Anwender keine Benutzerkonten verwendet, niemals. Das ist Absicht. F-Droid besaß nie eine Methode, um im Android-Client Anwender zu identifizieren oder aufzuspüren und um Informationen von f-droid.org zu erhalten, waren ebenfalls noch nie irgendwelche Identitätsdaten erforderlich.
Mit Benutzerkonten lassen sich manche Aufgaben viel einfacher lösen: es lassen sich leicht Bewertungen und Kritiken einschließen sowie die Bearbeitung der Dokumentation steuern. Andererseits lassen sich andere Aufgaben mit Benutzerkonten weit schwieriger lösen. Benutzerkonten bedeuten unvermeidbar, dass persönlich zuordenbare Informationen (PII) gesammelt und gespeichert werden. Benutzerkonten benötigen zudem Passwörter und oft Telefonnummern oder E-Mail-Adressen. Alle diese Daten müssen geschützt werden. Eines unserer Kernziele ist es, die Möglichkeit unsere Anwender zu verfolgen, zu unterbinden. Mit Benutzerkonten wäre dieses Ziel fast unerreichbar.
Es stellt sich heraus, dass Benutzerkonten selten eine Voraussetzung für den Aufbau eines Dienstes sind, auch wenn viele Dienste diesen Anschein erwecken. Benutzerkonten sind eine wunderbare Art, Daten zu erfassen und sie miteinander zu verknüpfen, um sehr detaillierte Profile zu erstellen. Das steht im Zentrum des Trackings von Anwendern, um sie zu kommerzialisieren und ihre Interessen, dem höchsten Bieter zu verkaufen.
Benutzerkonten werden auch dazu genutzt, um den Zugriff auf Informationen und Daten zu steuern. Sie werden verwendet, um Videos „regional zu sperren“ und den Zugriff auf Apps selektiv zu blockieren . Es gibt natürlich berechtigte Anwendungsfälle für Zugriffsbeschränkungen, wie die Gewährleistung, dass kleine Kinder nur auf altersgemäße Inhalte zugreifen dürfen. Aber es gibt andere Wege, das zu tun, wie das Kuratieren von Repositorys, damit Material für Erwachsene über separate, einwilligungspflichige Repositorys ausgeliefert wird.
Benutzerkonten sind der zentrale Punkt beim Tracking der Menschen
Benutzerkonten und IDs sind die Schlüsselstellen, um Anwender zu verfolgen und langfristige Profile aufzubauen. Wenn ein Dienst ein Konto benötigt, um auf ihn Zugriff zu erlangen, wird dieser Dienst wahrscheinlich seine Nutzer verfolgen. Wenn Nutzer sich anmelden, teilen sie dem Dienstleister klar mit, wer sie sind. Und dieser Dienstleister kann dann leicht diesem Konto Aktionen zuschreiben, um das Profil zu erstellen. Das soll nicht heißen, dass es keine berechtigten Gründe für ein Tracking von Benutzern gibt. Wie früher erwähnt, sind Wikipedia-Mitwirkende ein Beispiel eines grundlegenden Dienstes, der auf Benutzerkonten beruht. Was wir sagen ist, wenn euch Datenschutz wichtig ist, dann sollten Anmeldezwänge bei euch dazu führen innezuhalten und nachzudenken.
Google liefert uns ein hässliches Beispiel. Sie unternehmen eine Menge Anstrengungen, um die Menschen dazu zu bewegen sich so oft wie möglich anzumelden, und die allermeisten ihrer Dienste zwingen Nutzer dazu, mit einem Konto angemeldet zu sein. Und jene, die euch nicht in den Ohren liegen, euch anzumelden. Selbst der Chrome-Browser besitzt eine Anmeldung, die mit Google-Konten verknüpft ist. Häufig rechtfertigen sie diese Forderung, indem sie behaupten, es würde die Nutzung der Dienste vereinfachen. Auch wenn es wahr ist, dass Tracking der Anwender dazu führen kann, dass gewisse Dinge dem Anwender nutzen, scheint Google beständig diese Fälle auf Situationen anzuwenden, in denen es bedeutet, sie erhalten weitere Tracking-Daten. Mit Google Meet, fordern sie weiterhin Anmeldungen, um ein Meeting zu erstellen, selbst wenn sie den Beitritt zu einem Meeting über eine URL ohne ein Konto unterstützen. Das Benutzererlebnis von Jitsi Meet ist viel unkomplizierter und kennt keine Konten. Oder betrachten wir das Google-Ticketsystem: momentan benötigt es sowohl Javascript als auch ein aktives Google-Konto, um den Dienst in irgendeiner Weise nutzen zu können, selbst wenn ihr lediglich vorhandene Posts lesen möchtet. Es funktionierte jahrelang ohne Javascript oder Benutzerkonten, womit klar wäre, dass der Dienst dies nicht braucht um zu funktionieren.
Was funktioniert ohne Benutzerkonten?
Es stellt sich heraus, dass F-Droid nicht allein ist bei der Auslieferung von Schlüsseldienstleistungen ohne Benutzerkonten oder Profilen. Es gibt Browser, Wikis, freigegebene Notizen, Videokonferenzen und selbst Messaging und Analysen. Viele Systeme, die Konten verwenden, erlauben das Lesen und sogar die Bearbeitung ohne eine Anmeldung.
Die erste zu beantwortende Frage ist: muss dieser Dienst wissen, wer die Nutzer sind, damit er funktioniert? Kann diese Information nicht einfach auf den Endgeräten verbleiben? Zum Beispiel muss ein E-Mail- oder Messenger-Service genügend von seinen Nutzern wissen, um in der Lage zu sein, Daten von einem Benutzer, der eine Nachricht sendet, an den vorgesehenen Empfänger zu übermitteln. Das bedeutet hauptsächlich, dass der Server sich darauf stützt, dass jeder Nutzer ein Konto bei dem Server hat. Dies ist der übliche Weg, um solch ein System umzusetzen, aber es ist nicht der einzige. Tor Onion Services eröffnen einen anderen Ansatz. Sie sind so aufgebaut, dass Daten weitergeleitet werden, ohne dass irgendein Teil des Systems in der Lage ist zu sehen, wer Daten an wen sendet und wer die Anfrage macht. Briar baut darauf auf, damit Nachrichtenübermittlung funktioniert, ohne dass jemand weiß, wer Nachrichten an wen sendet, außerhalb derer, die an der Unterhaltung beteiligt sind. Mit Briar bleibt die Nutzerkontaktinformation einzig und allein auf den Geräten der Benutzer.
Video-Konferenzen wurden rund um Nutzer-IDs wie Konten und Telefonnummern errichtet. Dienste wie Jitsi Meet waren Vorreiter für einen neuen Weg: jeder Konferenzraum wird durch einen Namen in einer URLabgebildet, z. B. https://meet.jit.si/ThisIsAConferenceRoomName. Jeder, der diese Adresse hat, kann sie in einem Browser öffnen und den Raum betreten. Jitsi Meet funktioniert sehr gut und demonstriert, dass Online-Treffen eigentlich besser ohne Benutzerkonten funktionieren: sie lassen sich viel einfacher einrichten und steuern. Momentan würde keine Plattform für Online-Meetings ernst genommen werden, die eine Teilnahme an Meetings nur über eine URL, in anderen Worten, ohne irgendwelche Nutzerkonten, nicht unterstützt.
Wikipedia ist ein großartiges Hybridbeispiel. Es ist möglich, die meisten Seiten ohne jedwedes Konto zu bearbeiten, einfach durch einen Klick auf Bearbeiten und Durchführung der Änderungen. Nutzergenerierte Inhalte bedürfen unvermeidlich der Kontrolle, um Bearbeitungskriege und missbräuchliches Verhalten zu bändigen. Somit spielen Benutzerkonten weiterhin eine Schlüsselrolle in der Funktionsweise von Wikipedia. Jedoch entspringt es in diesem Fall der Notwendigkeit der Wikimedia-Editoren, ihren Nutzern grundlegende Dienstleistungen zu liefern, weniger vorgefertigter Gründe, immer mehr Menschen zu verfolgen und an sich zu binden.
Mozilla hat diese Idee aufgegriffen und mit Firefox Klar (auch bekannt als Firefox Focus , Firefox Klar ähnlich aber mit weniger Datenschutzvoreinstellungen) einen Schritt weitergebracht. Dieser Internetbrowser vereinfacht die Nutzung des Webs, ohne irgendwelche Spuren zu hinterlassen. Die Browserversion für Mobilgeräte folgt demselben Grundgedanken: Tracking der Leute ist nicht erforderlich um ein gutes Benutzererlebnis zu erzielen. Ich persönlich verwende lieber Firefox Focus auf meinem Telefon, weil ich insbesondere vermeiden möchte, mir Gedanken über Kontenmanagement, Bildschirme zu Cookie-Einstellungen, den Verlauf usw. zu machen. Ich möchte einfach damit nach Informationen suchen und wenn ich damit fertig bin auf die Benachrichtigung klicken, und alles ist sauber gelöscht. (Unglücklicherweise enthalten sowohl Focus als auch Klar proprietäre Google-Play-Services-Bibliotheken, z. B. com.google.android.gms, sodass sie momentan nicht über f-droid.org verteilt werden. Wir würden Beiträge begrüßen, um die proprietären Bits zu entfernen, damit wir sie wieder ausliefern können).
Guardian Project entwickelt Clean Insights, um für die Idee zu werben, dass die Nutzung von Analysen nützliche Einblicke liefern kann, von der nur die Endverbraucher profitieren. Damit das passieren kann, darf es absolut keine Möglichkeit geben, Anwender zurückzuverfolgen: kein Tracking von IDs, keine Benutzerkonten, nichts. F-Droid hat einige Experimente mit Clean Insights gemacht und der Ansatz sieht sehr vielversprechend aus. Jede Art Analyse muss hinter Datenschutzbedenken zurücktreten, um Anwendern zu nutzen. Wir müssen auch bedenken, dass digitale Medien die Macht haben zu manipulieren und uns abhängig zu machen .
Seidem das F-Droid-Ökosystem mit Hashes von statischen Dateien ohne Zugriffsregulierung arbeitet, erschließt es sich alle Arten der Flexibilität. Spiegel des Repository „f-droid.org/repo“ können sicher über Dienste rund um die Welt bereitgestellt werden, lokale Raspberry Pis, oder sogar ein USB-Laufwerk. Jeder Inhalt kann durch irgendwen ohne Berechtigung oder zentralisierte Dienste mittels IPFS archiviert werden.
Verwendete Konten bei der Schaffung von F-Droid
Wir können auch vermelden, dass die Internetseite f-droid.org an keiner Stelle irgendwelche Benutzerkonten hat. Das letzte Stück war die alte MediaWiki-Instanz, die auf https://f-droid.org/wiki zu finden war. Diese wurde ersetzt durch https://monitor.f-droid.org und https://gitlab.com/fdroid/wiki. Das Forum baut auf Discourse auf, das rund um Benutzerkonten aufgebaut ist. Immer noch kann unser Forum ohne Anmeldung oder die Verwendung von Javascript gelesen werden. Benutzerkonten sind ein gut bekanntes Instrument zur Regulierung von Spam und Missbrauch in öffentlichen Foren und das ist der Punkt, wie sie in unserem Forum eingesetzt werden. Wir sind offen gegenüber probaten Alternativen, die vertraulicher agieren können.
Mit der richtigen Konfiguration ist es möglich, Beiträge via Git mit nur
minimalen Spuren zum ursprünglichen Autor zu senden. Dies wird nun auch auf
unser Wiki angewandt. Wo es geeignet erscheint, ermöglichen wir auch
Beiträge, die über das Konto @fdroid-anyone
eintreffen, das jeder nutzen
kann, indem er das Passwort im Wiki nachschlägt.
Arbeiten an F-Droid selbst erfordern Benutzerkonten. Wir wissen von keiner anderen sicheren Methode der Zugriffskontrolle bei der Herstellung von vertrauenswürdigen Systemen, auf die sich Millionen verlassen können. Der Kern der Mitwirkenden sind bereit einen Teil ihrer Privatsphäre aufzugeben, damit sichergestellt ist, dass Nutzer wirklichen Datenschutz erfahren können.