[fr] Bonjour.
Comme certain·e·s d’entre vous le savent déjà, une équipe de recherche de l’université de Milan a collecté les pouets accessibles publiquement de plusieurs dizaines d’instances Mastodon afin de réaliser une étude sur les avertissements de contenu. L’équipe de recherche a ensuite mise en ligne la base de données comprenant l’ensemble de ces messages, sans même prendre la précaution de l’anonymiser.
Eldritch Café fait partie des instances touchées.

--@Sylvhem

Si la base de données a depuis été retirée de Harvard Dataverse où elle était hébergée, il en existe forcément des copies ailleurs.
Nous sommes actuellement en train d’étudier les options qui s’offrent à nous pour que l’université de Milan prennent ses responsabilités quand à cette publication. Nous avons également plusieurs solutions à vous proposer pour limiter que de tels incidents se reproduisent dans le futur (voir les sondages plus loin dans ce fil).

--@Sylvhem

Afin de mitiger ce genre de collecte de données, nous pouvons mettre en place plusieurs solutions.

Il est à noter que peu importe les solutions employées vos messages publics seront toujours accessibles[1]. Si vous ne voulez pas qu’un message puisse être collecté nous vous conseillons au minimum de régler sa visibilité sur « abonné·e·s uniquement » ou « direct ».

--@milia

Note [1] : A l’exception du « whitelist mode » (disponible depuis la version 3 de Mastodon) mais il n’est prévu dans l’immédiat de le mettre en place à cause de son fonctionnement particulier.

--@milia

# Annoncer refuser l’indexation des pages publiques via notre robots.txt

Depuis la publication du papier de recherche nous avons changé le comportement par défaut et les profils publics sont annoncés comme non indexables (via des méta tags) sauf si l’utilisateur·rice a explicitement demandé à ce qu’ils le soient. Nous pouvons aller plus loin en rajoutant un fichier robots.txt pour désactiver tout indexation du site.

--@milia

— N’est pas forcément respecté.
— Aura pour effet de ne plus faire apparaître des pages publiques dans les moteurs de recherches communs.
— Implique d’ignorer le choix au sein des paramétrages utilisateurs.

--@milia

# Désactiver l’accès non authentifié aux fils publics

— Les fils publics (local, global, hashtags) sur Eldritch Café ne seront plus accessibles sans compte validé.
— Les fils publics pourront quand même être collectés après création d’un compte ou via n’importe quelle instance qui a fédéré nos messages et qui n’aura pas elle même désactivé l’accès non authentifié aux fils publics.
— Les messages publics d’un compte pourront toujours être collectés via les profils publics.

--@milia

— Les outils faisant usage des fils publics sans compte ne fonctionneront plus avec Eldritch Café (certains des projets autour de l’instance seront impactés sans être tous annulés).

--@milia

Follow

# Activer le « secure mode » (disponible depuis la version 3 de mastodon)

Le « secure mode » implique la désactivation de l’accès non authentifié aux fils publics comme expliqué ci-dessus.

--@milia

— Il a l’avantage d’obliger l’authentification lors échanges entre les instances : dans le fonctionnement par défaut de Mastodon n’importe quelle instance (même bloquée par notre instance) peut récupérer des messages publics (même si notre instance ne les envoient plus vers les instances bloquées).

--@milia

— Ce mode n’est pas complètement rétro-compatible avec les versions plus anciennes de Mastodon et aura des impacts négatifs sur la communication avec les autres instances.

voir blog.joinmastodon.org/2019/10/

--@milia

[en] Hello.
As some of you may already know, a research team from the university of Milan collected publicly accessible toots from several Mastodon instances to conduct a study about the use of content warnings. The research team then made the database containing all the collected messages freely available online, without even anonymizing their data.
Eldritch Café is among the instances that have been affected by this.

--@Sylvhem

If the database have since been taken down, it’s inevitable that copies exist elsewhere.
We are currently studying the options at our disposal to coerce the university of Milan into taking their responsibilities regarding that publication. We also have solutions to offer that would limit the probability of this kind of things happening again in the future (see pools below).

--@Sylvhem

In order to mitigate this type of data collection, we can implement several solutions.

It should be noted that regardless of the solutions used, your public messages will always be accessible[1]. If you don’t want a message to be collected, we advise you to at least set its visibility to “followers-only” or “direct”.

Note [1]: With the exception of the whitelist mode (available since version 3 of mastodon), but it is not planned to use it immediately because of the way it works.

--@milia

# Advertise to refuse indexing of public pages via our robots.txt

Since the publication of the research paper we have changed the default behaviour and public profiles are announced as non-indexable (via meta tags) unless the user has explicitly requested that they be indexed. We could take a step further and refuse indexing of the entire website by using a robots.txt file.

--@milia

— This is not necessarily respected.
— Will have the effect of no longer showing public pages in common search engines.
— Involves ignoring the choice within the user settings.

--@milia

# Disable non-authenticated access to public timelines

— Public timelines (local, global, hashtags) on Eldritch Café will no longer be accessible without a validated account
— Public timelines can still be collected after creating an account or via any instance that has federated our messages and that has not itself disabled non-authenticated access to public timelines.

--@milia

— An account’s public posts can still be collected via public profiles.
— Tools using public timelines without an account will no longer work with Eldritch Café (some of the projects around the instance will be impacted but not all will be cancelled).

--@milia

# Activate secure mode (available since version 3 of mastodon)

Secure mode involves disabling non-authenticated access to public timelines as explained above.

—  It has the advantage of forcing authentication during exchanges between instances: in Mastodon’s default operation any instance (even if blocked by our instance) can retrieve public messages (even if our instance no longer sends them to the blocked instances).

--@milia

— This mode is not completely backward compatible with older versions of Mastodon and may negatively impact communications with other instances.

see blog.joinmastodon.org/2019/10/

--@milia

[fr] Annoncer refuser l’indexation des pages publiques via notre robots.txt

[en] Advertise to refuse indexing of public pages via our robots.txt

---

[fr] Merci de participer au sondage uniquement si vous êtes membre de Eldritch Café.

[en] Please participate in the survey only if you are a member of Eldritch Café.

--@milia

[fr] Désactiver l’accès non authentifié aux fils publics

[en] Disable non-authenticated access to public timelines

---

[fr] Merci de participer au sondage uniquement si vous êtes membre de Eldritch Café.

[en] Please participate in the survey only if you are a member of Eldritch Café.

--@milia

[fr] Activer le « secure mode » (disponible depuis la version 3 de mastodon)

[en] Activate secure mode (available since version 3 of mastodon)

---

[fr] Merci de participer au sondage uniquement si vous êtes membre de Eldritch Café.

[en] Please participate in the survey only if you are a member of Eldritch Café.

--@milia

@vitria On a encore presque trois jours pour en discuter :).

@milia

@Barmaid @milia En fait la différence entre désactiver l’accès non authentifié aux fils publics et le secure mode, c’est que le premier concerne un accès extérieur et l’autre les communications inter-instances, c’est ça?

@melunaka @Barmaid pas compris :/

le secure mode désactive l'accès non authentifié aux API timelines publiques pour une raison que j'ignore en fait, juste c'est comme ça

@Barmaid @milia Je crois que Thib disait qu'en l'état il y avait des pb avec le secure mode (ou c'était la whitelist ?) donc à voir avant de l'activer

@Nocta le whitelist mode est marqué comme pas adapté aux instances déjà en fonctionnement

@Barmaid @milia on est d'accord que ça empêche pas l'accès à un fil/toot spécifique via son permalien ?

@Nocta toujours accessible, il y a que le whitelist mode qui fait ça

@Barmaid @milia Ça me semble pas déconnant de laisser l’indexation sur les pages /about et /about/more ainsi que le répertoire de profils, c’est votre idée aussi?

@melunaka @Barmaid on a pas poussé, on pourrait mais clairement je ne vois pas de raison de forcer les gens qui veulent être indexables à ne pas l'être

@milia @Barmaid Perso je vois pas l’intérêt à ce que les toots soient indexables. Les profils éventuellement, et encore…

@melunaka pourquoi ? Certaines personnes peuvent souhaiter être trouvable avec leur contenu sur les moteurs de recherches

@melunaka si la personne le veut explicitement et que ça ne change pas ton fonctionnement par défaut d'être non indexable franchement je ne vois pas pourquoi tu voudrais lui retirer ce droit

@milia En fait je dis ça mais je trouve que le fonctionnement actuel est bien, avec l’option dans les préférences (dommage que ça ne soit pas coché par défaut, avec éventuellement un rappel qu’on peut décocher cette option quand on se met dans l’annuaire de profils).

@melunaka on a changé ce comportement par défaut : il faut maintenant explicitement vouloir être indexable

Show more
Sign in to participate in the conversation
Eldritch Café

Une instance se voulant accueillante pour les personnes queers, féministes et anarchistes ainsi que pour leurs sympathisant·e·s. Nous sommes principalement francophones, mais vous êtes les bienvenu·e·s quelle que soit votre langue.

A welcoming instance for queer, feminist and anarchist people as well as their sympathizers. We are mainly French-speaking people, but you are welcome whatever your language might be.