Fast zum Jahresende gibt es noch ein großes Update:
- Neben WhatsApp gibt es nun auch ein Transport nach Signal
- Es gibt wieder ein Telegram Transport
Ursprünglich hatte ich angekündigt, dass es das nicht mehr gibt. Allerdings war die Nachfrage doch etwas größer.
Ich habe mich jetzt durchgerungen, es doch wieder anzubieten. Das Problem mit der Datensammlung würde aber weiterhin bestehen. Ein Script sorgt daher dafür, dass Bilder, Sticker, Videos oder Sprachdateien nach 12 Stunden automatisch gelöscht werden. Damit kann ich leben.
JabJab.de bietet damit insgesamt 11 Transports an.
Datenschutzhinweis: Ich möchte an der Stelle nochmal deutlich darauf hinweisen, dass zwischen JabJab.de und dem externen Dienst teilweise keine Verschlüsselung existiert, wegen der Architektur auch nicht existieren kann. Nachrichten werden zwar transportverschlüsselt, liegen auf dem Server aber im Klartext vor. Es existiert KEINE Ende-zu-Ende Verschlüsselung. Insbesondere bei der Verwendung von mod_mam. Das gilt auch für Zugangsdaten bei sog. "legacy Transports" wo noch Benutzername und Kennwort verlangt werden.
- Anpassungen bei Spam
Bisher war es so, dass Server von denen Spam versendet wird und deren Admin nicht antwortet oder nichts dagegen unternimmt, hier auf der Blocklist landen. Zukünftig nutze ich stattdessen (testweise) mod_block_strangers. Damit wird erstmal alles geblockt, sofern sich der Absender nicht in eurer Kontaktliste befindet. Damit aber trotzdem Nachrichten von neuen Kontakten zugestellt werden können, wird in dem Fall ein Captcha präsentiert, dass gelöst werden muss. Server, die von mod_block_stragers gefiltert werden, müssen natürlich Spam versendet haben, das ist nicht grundsätzlich eingeschaltet.
Ich denke, dass das eine sinnvollere Lösung ist, als hart zu blocken. Benutzer:innen die sich kennen, können so weiter kommunizieren.
- Das XMPP Observatory ist nun komplett abgeschaltet. Ich habe daher das Badge von der Seite entfernt, da jetzt ohnehin keine Kontrolle mehr möglich ist. An der Verschlüsselung hat sich natürlich nichts geändert. Sobald ein Nachfolger existiert, binde ich den sofort mit ein.
Abschließend möchte ich noch einmal auf die Möglichkeit zu Spenden hinweisen. Das geht insbesondere in Richtung der Firmen, die diesen Dienst hier nutzen.
Hier läuft ein Script im Hintergrund, das nach un- oder nie genutzten Accounts sucht und die dann löscht. Im Anschluss gibts eine Zusammenfassung per Mail an mich. In den letzten Wochen fiel mir auf, dass die Zahl der gelöschten Accounts ungewöhnlich hoch war. Anscheinend wurden kontinuierlich Accounts erstellt und dann nicht genutzt. Grund: unbekannt.
Um das alles mal zu untersuchen, habe ich mir ein bisschen Logging gebastelt und sehen können, dass häufig Registrierungen von der gleichen IP kommen, die dann irgendwann wechselt.
Ab sofort gibts daher hier einen weiteren Spamschutz bei der Registierung:
Wenn ein Account angelegt wird, speichert der Server einen Teil(!) der IP Adresse als Hash(!) für eine zufällig ausgewählte Zeitspanne von 1-120 Minuten. Kommt in dieser Zeit eine weitere Registrierung rein, die den gleichen Hash erzeugt, klappt die Registrierung nicht und es gibt eine Fehlermeldung.
Mal gucken, ob das hilft.
Hier noch das Changelog, da das Update scheinbar stabil läuft.
1. ejabberd:
- Update auf 18.12
-Dienste wie BOSH und Websocket nun zusätzlich auf Port 5443 (TLS), Port 5280 und 5281 werden zukünftig wegfallen.
2. Transports:
- Update auf Spectrum 2.0.9
- Telegram und Skype gesendete Nachrichten synchron:
Nachrichten, die ihr zB auf der Telegram Webseite bzw. vom Handy verschickt, kommen nun auch beim Transport an. Ihr könnt also in Jabber nachvollziehen, was ihr vorher über einen anderen Client geschrieben habt.
- Hangouts:
Funktioniert endlich :-)
3. Webseite:
Die Abschaltung der Inband Registrierung und Änderungen am Webformular scheint Wirkung zu zeigen. Es gibt keine neuen Spam Accounts mehr und auch keine Beschwerden von Usern.
Zwischen dem 25.10. und 28.10. bestand die Möglichkeit, dass ihr von einem oder mehreren von insg. 8000 Spam Accounts, die Massenweise auf JabJab.de (und den anderen Domains) erstellt wurden, mit SPAM zugemüllt worden seid.
Bis auf Weiteres bzw. ab nun dauerhaft ist die Inband Registrierung (also die Erstellung eines neuen Accounts über euren Jabber Client) deaktiviert. Scheinbar hat selbst der Captcha Schutz nicht ausgereicht.
Bei der Gelegenheit schaute ich mir auch noch einmal die Registrierung hier auf der Webseite an.
An alle, die SPAM erhalten haben: es tut mir leid, bitte entschuldigt!
Mich ärgert es besonders, da ich auf die Pflege des Servers einen großen Wert lege und dann von so etwas unvorbereitet getroffen worden bin.