Mittwoch, 22. Dezember 2010

Als vor acht Monaten das Projekt Diaspora angekündigt wurde und die Initiatoren – vier New Yorker Mathematikstudenten – innerhalb weniger Wochen 200000 Dollar Startkapital zusammenbekamen, war ich hellauf begeistert: Endlich wird das ›Social Web‹ dezentral! Mein Traum vom Web 3.0 wird wahr!

Im September wurde dann die erste Vorabversion veröffentlicht. Ich hatte nicht die Muße, mich selbst näher damit auseinanderzusetzen, aber eines wurde sehr schnell klar: Am eigenen Anspruch, eine sichere, die Privatsphäre ihrer Nutzer wirklich respektierende und schützende Alternative zum sogenannten Datenkraken Facebook zu bieten, waren die Entwickler grandios gescheitert. Stattdessen klafften große Sicherheitslücken. In einem Softwareprojekt, das sich vor allem anderen die Sicherheit und die Unabhängigkeit von zentralen Stellen auf die Fahnen schreibt, muß die Datensicherheit von Anfang an einen so hohen Stellenwert haben, daß so unglaubliche Lücken wie »jeder kann die Kontrolle über fremde Benutzerkonten übernehmen« einfach nie entstehen. Das hier erforderliche Niveau an Datensicherheit entsteht nicht automatisch, und es nachträglich einzubauen ist im besten Fall schwierig.

Keine Unterstützung

Immerhin wurden die gefundenen Lücken in den folgenden zwei Monaten bis zur Veröffentlichung der ›consumer alpha‹-Version gestopft. Meine Zweifel am bevorstehenden Durchbruch sind jedoch nicht kleiner geworden. Ein Beispiel:

Wer in den ersten Tagen die Adresse ›joindiaspora.com‹ aufrief und anstelle eines den Entwicklern genehmen Browsers den Microsoft Internet Explorer nutzte, sah sich mit einer weitgehend leeren Fläche konfrontiert, garniert mit der Auskunft »Diaspora doesn’t support you…« (»Diaspora unterstützt Sie nicht …«) am oberen und einem Hinweis darauf, daß nur sicherer Inhalt angezeigt wird, am unteren Rand.

Um zu verstehen, was da passiert war, mußte man etwas näher hinsehen und außerdem mit den Grundzügen von SSL vertraut sein: Die Diaspora-Software ordnete jeden Seitenaufruf zunächst in eine der Schubladen ›guter Browser‹ oder ›schlechter Browser‹. ›Schlecht‹ sind in diesem Zusammenhang die Browser, die die Entwickler nicht gut finden, allen voran Internet Explorer. Der bekommt dann statt der eigentlich aufgerufenen Seite einen Verweis auf Google Chrome Frame – ein Programm, das sozusagen Google Chrome in Internet Explorer implantiert – unter der Überschrift »Diaspora doesn’t support your browser« (»Diaspora unterstützt Ihren Browser nicht«), die wegen ihrer Länge zufälligerweise genau nach dem ›you‹ abgekürzt wird und zu der obigen recht unfreundlichen Ansage mutiert. Außerdem hatten die Diaspora-Entwickler vergessen, das Ganze überhaupt mal auszuprobieren: Dadurch, daß die Diaspora-Seiten komplett über SSL (also verschlüsselt, wegen der Privatsphäre) übertragen werden, schaltet Internet Explorer in einen Sicherheitsmodus, in dem eingebettete Inhalte, die nicht über SSL laufen, zunächst komplett ausgeschlossen werden (wieder wegen der Privatsphäre). Man hatte aber versäumt, für den Chrome-Frame-Verweis die Variante mit SSL zu wählen – daher die leere weiße Fläche mit dem Hinweis auf den sicheren Inhalt.

Ein Klick auf den Knopf ›Show all content‹ (oder wahlweise eine Änderung in den Internet-Explorer-Voreinstellungen), und der Benutzer durfte der Google-Chrome-Werbung in ihrer vollen Pracht gewahr werden.

Man kann nun in der Tat die Auffassung vertreten, daß es besser gewesen wäre, hätte Microsoft sich einfach aus dem Browsermarkt herausgehalten, statt im Laufe von knapp 15 Jahren acht Versionen eines Programms zu veröffentlichen, das durch seine eigenwillige Interpretation von Standards Web-Entwicklern das Leben erschwert (und Betrügern, die Computerviren unters Volk bringen wollen, mit seinem vermurksten Sicherheitsmodell entgegenkommt). Aber:

Keine Ideen

Neben der hier an einem Beispiel erläuterten Ignoranz gegenüber ›normalen‹ Benutzern gibt es aber noch einen weiteren ganz erheblichen Grund, warum ich nicht an einen Erfolg von Diaspora glaube: Es fehlt an neuen Ideen – das System kann nichts, was nicht bei Facebook, Myspace, Orkut, Studi-VZ und Lokalisten längst zum Standard gehört. Sogar die Chance, den bei Flickr und Twitter inzwischen gut erprobten Ansatz der asymmetrischen Abonnements einmal auf ein ›klassisches‹ Social Network zu übertragen – und zwar richtig und nicht so halbherzig wie Facebook mit dem ›Gefällt mir‹-Ansatz – hat man einfach völlig ignoriert. (Michael ›mspro‹ Seemann hat vor ein paar Wochen geschrieben, warum das so wichtig wäre.)