Det ser ud til at feddit.dk er hosted hos DigitalOcean og jeg kom til at tænke på, hvor(dan) data mon bliver opbevaret. Er det i USAnien, Europa eller et helt tredje sted? https://the-federation.info/platform/73 siger Holland og et GeoIP lookup siger det samme, så der er nok noget om det, men det kunne være fedt at vide lidt mere om, hvordan feddit.dk er sat op.

edit: stavefejl

  • humanplayer2@lemmy.ml
    link
    fedilink
    dansk
    arrow-up
    3
    ·
    2 years ago

    Enig. Jeg er også nysgerrig efter at vide om man om man uden specielle privilegier kan tage en backup af en Lemmy-instans.

    • SorteKaninMA
      link
      fedilink
      dansk
      arrow-up
      4
      ·
      2 years ago

      Det ville være problematisk, hvis du mener al data. Fx skulle alle og enhver nok ikke kunne få en backup af private beskeder mellem brugere.

      • humanplayer2@lemmy.ml
        link
        fedilink
        dansk
        arrow-up
        3
        ·
        2 years ago

        Ah, klart. Alle private beskeder. Selvfølgelig er der DMs, det havde jeg ikke tænkt over. Jeg havde heller ikke tænkt over at de ville ligge ukrypteret i en database håndteret af admin på ens instance.

        • SorteKaninMA
          link
          fedilink
          dansk
          arrow-up
          7
          ·
          edit-2
          2 years ago

          Det er faktisk derfor der er en lille advarsel om at private beskeder er usikre når du prøver at sende en besked. Måske vil Lemmy i fremtiden have krypterede beskeder, men det er ikke en ting lige nu.

          Så ja, i princippet kunne jeg kigge i databasen og læse private beskeder. Det gør jeg ikke. Det må i så enten stole på eller bruge et sikrere alternativ til private beskeder.

        • Andreas
          link
          fedilink
          dansk
          arrow-up
          5
          ·
          2 years ago

          Även om det är krypterat i databasen kan SorteKanin fortfarande läsa dem om han vill. Hans server förvarar de privathashes allt (inklusive e-post och lösenord) krypteras med. Inget fel med det, eftersom det är han som tar lagligt ansvar för allt på den här instansen. Använd inte ett lösenord du använder för dina andra konton här om du vill vara säker

          • SorteKaninMA
            link
            fedilink
            dansk
            arrow-up
            4
            ·
            edit-2
            2 years ago

            Det er ikke sådan passwords og kryptering virker. Jeg kan ikke se folks passwords bare fordi jeg har adgang til databasen. Passwords er selvfølgelig kun gemt i krypteret form.

            Men ja, private beskeder er gemt som klartekst.

            • clb92
              link
              fedilink
              dansk
              arrow-up
              5
              ·
              2 years ago

              Teknisk set ville du som admin nemt kunne ‘intercepte’ passwords, hvis du havde lyst. Det er bare en lille ændring i Lemmys login handler, så den også dumper clear text passwords når login requests kommer ind. Passwords bliver ikke hashed client-side, så serveren modtager clear text password fra brugeren (over en sikker TLS-forbindelse, selvfølgelig).

              Men sådan er det med stort set alle websites. Brug en password manager og unikke password til alt, folkens!

            • Andreas
              link
              fedilink
              dansk
              arrow-up
              3
              ·
              2 years ago

              Har läst docs och förklaringar om de krypteringsmetoder databasen använder i en timme nu. Förstår ingenting. Men jag litar på dig som admin!

              • LightningHaqeem
                link
                fedilink
                dansk
                arrow-up
                3
                ·
                2 years ago

                IT-person her. Den er god nok. Korrekt implementerede systemer kender ikke dit ukrypterede password. Faktisk er det normalt heller ikke det krypterede password, der gemmes, men det er en anden historie.

                • Andreas
                  link
                  fedilink
                  dansk
                  arrow-up
                  3
                  ·
                  2 years ago

                  Tack för förklaringen, lärde mig något nytt idag. Är fortfarande studerande inom IT och har orsakat små databasläckor förut så jag blir lite mer paranoid när det gäller internetsäkerhet!

                  • LightningHaqeem
                    link
                    fedilink
                    dansk
                    arrow-up
                    1
                    ·
                    2 years ago

                    Jep. Tænkte bare ikke at konteksten kaldte på en snak om forskellen på kryptering og hashing :)

            • Hermit7994@lemmy.skillissue.dk
              link
              fedilink
              dansk
              arrow-up
              1
              ·
              2 years ago

              Passwords er hashed ikke krypteret :)

              Hashing er en envejs funktion. Hvis vi bruger sha256 som vores hashing algoritme “password” -> “5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8”

              Den lange tekst string vil ikke kunne omvendes til tilbage til “password”, hvis man ville bryde den skulle man gætte sig frem til at adgangskoden er “password” hvorefter man ville kunne sammenligne hashen og bekræfte at de er ens.

              Kryptering er anderledes og kan betragtes mere som en nøgle.

              Der er generelt 2 typer kryptering, synkron og asynkron. Den ene er som hvis jeg låser en fil med en adganskode. Så skal man bruge adgangskoden for at gendanne filen.

              Den anden er hvis jeg vil sende en fil til dig som kun du må kunne åbne, så ville jeg kunne kryptere den til din nøgle, hvorefter filen selvfølgelig kun ville kunne åbnes af din nøgle.

              • SorteKaninMA
                link
                fedilink
                dansk
                arrow-up
                1
                ·
                2 years ago

                Jeg er udmærket klar over forskellen, men en lægperson ved ikke hvad “hashing” betyder. Kryptering kan de dog godt forstå.

    • Andreas
      link
      fedilink
      dansk
      arrow-up
      3
      ·
      2 years ago

      Troligen inte, det finns för närvarande ingen exportfunktion på webbsidan och man måste ha tillgång till PostgreSQL-databasen för att ta en backup av instansen.