Categorieën
Algemeen

Veiligheid (en privacy) op het IndieWeb

Als antwoord op https://diggingthedigital.com/leveraging-indieweb-to-avoid-storing-others-data/.

Ja, sluit netjes aan bij Sebastiaan die eerder z’n eigen site ‘wist te hacken’, en Jan-Lukas die liever zomaar geen content van ’n ander insluit.

***

Ikzelf heb avatars weleens lokaal gecachet, maar dan na een minimum aan veiligheidschecks. (En hield daarbij geen rekening met het feit dat je – en Aaron Parecki doet dat ook – aan zowat elk bericht een andere avatar zou kunnen hangen.)

Of dat legaal is? Ik vrees ervoor, zo zonder expliciete toestemming. Nu, dat is voor webmentions ook zo. Tenzij het sturen daarvan niet alleen ‘Kijk, ik heb wat naar (of over) je geschreven’ wil zeggen, maar ook ‘Toon gerust op je site’. (Terzijde: hoe zit dat met CDN’s en zo? Ik bedoel, er wordt online nogal wat afgecachet.)

Bovendien: wie zijn avatar in een h-card afficheert, zegt daarmee bijna ‘gebruik gerust deze afbeelding’ (en bijvoorbeeld geen andere) wanneer je naar me linkt. (Wat niet wil zeggen dat ik het fijn zou vinden mocht m’n foto plots op elke pagina van, ik zeg maar wat, een of ander haatforum verschijnen.)

‘Silo-replies’ – van Bridgy, bijvoorbeeld – overnemen is sowieso not done, cf. puntjes twee en drie in Sebastian Gregers zeer degelijke betoog daarover. Al kun je je ook hier weer de vraag stellen of een linkje en eventueel kort fragmentje, genre pingback, écht niet kan. Wikipedia staat vol zulke referenties. De IndieWeb-wiki ook. En, euh, de rest van het web.

Een op JavaScript gebaseerde oplossing maakt inderdaad dat je niks hoeft op te slaan, en ingesloten inhoud dus vanzelf weer verdwijnt zodra het origineel wordt verwijderd. De officiële embedcode van een Twitter of Instagram werkt ook zo. (Het grote nadeel daarvan is dan weer dat je ook hun scripts op je site moet draaien.)

En e-mail dan, en ActivityPub? Daar wordt per definitie je hele visitekaartje de halve wereld rond gestuurd, of niet? (Het antwoord laten we als oefening aan de lezer.)