Missverständliche Beschreibung von Cryptpad unter der Unterseite "Arbeitsweise und Tools"

Hallo,

ich habe eben festgestellt, dass unter https://www.piratenpartei.de/werde-pirat/arbeitsweise-und-tools/ die Beschreibung von Cryptpad irreführend/missverständlich ist. Cryptpad ist nicht mit dem, was die Meisten heutzutage unter einem Notizbuch am Computer/Handy verstehen, vergleichbar. Die meisten Menschen dürften da an OneNote und vergleichbare Software denken. Diese Funktionalität wird weder strukturell, noch inhaltlich von Cryptpad abgebildet/abgedeckt. Ferner würde ich den Verweis auf die beiden Persönlichkeiten entfernen, da er fehl am Platz wirkt.

Gute Nacht

Na ja du hast recht, das CryptPAD ist cooler mit passenderen Features als OneNote und Konsorten :slight_smile:

Und na ja, es stimmt halt, an die Inhalte kommen auch unsere Admins nicht ran. Anders wie bei den herkömmlichen Apps. Ok, ob die Namen genannt werden müssen kann man diskutieren.

Also ich finde den Vergleich mit einem OneNote schwierig. Aus meiner Sicht kann Cryptpad nur verlieren, schon weil die völlig falsche Softwareart verglichen wird. Was macht denn ein Notizbuch wie z. B. OneNote aus:

  • Cursor beliebig positionierbar,
  • Zuverlässig, überall verfügbar und schnell einsatzbereit (Cryptpad hat diverse Downtimes sowie teilweise Ladezeiten von 30 Sekunden bis 1 Minute),
  • alle möglichen Inhalte einbindbar, sei es embedded oder als Datei,
  • Zeichen, Mathe- und Graphenfunktionen,
  • OCR-Unterstützung,
  • verschiedene Seiten in einem Dokument, nach bestimmten Strukturieren sortiert und eingereiht,
  • gute Integration in andere Softwarelösungen und Prozesse.

Das Meiste wird davon von Cryptpad schlicht nicht oder nur in verschiedenen Tools rudimentär unterstützt. Wenn ich Cryptpad mit etwas vergleichen würde, dann nicht mit einem digitalen Notizbuch, sondern mit einem Bündel wie Word, Excel, Powerpoint und selbst da wird es dann schwierig.

Die Frage ist, was damit ausgedrückt werden sollte. Deiner Aussage entnehme ich, dass es scheinbar um Datenschutz oder Betriebs- und Geschäftsgeheimnisse geht. Das muss man scheinbar wieder in dem Vergleich sehen, dass es um etwas wie Word (nicht OneNote) ging. Wenn jedoch Word als Vergleich rangezogen wird, dann ist es unverständlich, wieso es jeweils um einen Menschen von Facebook und Google geht. Niemand verbindet die beiden Themen direkt mit Facebook oder Google, wenn es um Dokumente geht. Da hätte ich eher einen Vergleich mit Microsoft erwartet und selbst der ist nicht zu machen: Office 365 bietet massive technische und prozessuale Vorkehrungen, um Datenmissbrauch bei Microsoft zu verhindern. Meines Wissens nach ist es sogar möglich, dass man als Administrator eines Office 365-Mandanten eigene Schlüssel zur Verschlüsselung der Daten hochladen kann. Alternativ ist die Frage, wieso ich den Piraten auf “Gut Glück” vertrauen soll, wenn ich es bei Microsoft oder anderen Firmen nicht soll: Ich kann weder sicherstellen, dass die von euch eingesetzte Software ordnungsgemäß betrieben wird, nicht verändert wurde, noch dass eine Verschlüsselung wirklich technisch und prozessual (und ich denke, das fehlt) korrekt umgesetzt wurde.

Wären wir hier nicht bei den Piraten würde ich sagen: Geschenkt, ist bloß ein Marketing-Text. Bei den Piraten - als IT-affine Partei - verwundert es mich deutlich: Einfach weil hier die falsche Softwareart verglichen wird, hinterfragbare Vergleiche gezogen werden und auch eine falsche Sicherheit vorgegeben wird. Dies macht für mich einen eher abschreckenden Eindruck, speziell wenn der Text primär sich an neue Mitglieder richtet.

Ich verweise nur auf den
Cryptpad Sourcecode um die Crypto zu überprüfen und unsere Kubernetes Definitionen. Ich denke doch, dass es relativ gut nachvollziehbar ist.
Alternativ kannst du auch einem der Docker-Maintainer dieses Projektes vertrauen, dass er weiß, wie man die Software betreibt. Das ist bei uns nämlich der Fall ^^

Das ist genau das Problem :wink: . Die Antwort heißt auch hier: vertrau uns einfach (wobei das gegen mutwillige Manipulationen/böse Absichten kein Argument ist). Woher weiß ich denn, dass die verlinkten Quellcodes bzw. Konfigurationen so zum Einsatz kommen? Das ist nicht der Anspruch, den man mit dem Text an die Piraten erweckt bzw. den man dann als Lösung von den Piraten erwartet.

Das Cryptpad macht Crypto im Browser. Der Server ist nur dazu da um Daten, die es bekommt, zu speichern. Schau halt im Browser nach, was die Skripte machen (oder schalt die Browser-Konsole verbos und sieh dem Pad beim Arbeiten zu)

1 Like

Die Vertrauenskarte zu spielen und auf der anderen Seite dann OneNote zu benennen das nun ja sagen wir mal einer interessanten Firmenpolitik unterliegt ist eventuell jetzt nicht ganz so glücklich :wink:

4 Likes

Hast du Vorschläge, wie man das lösen kann? Den Code für die Deployments können wir veröffentlichen, aber ein Rest von “da müsst ihr uns vertrauen” lässt sich praktisch kaum ausschließen. Cryptpad haben wir auch deswegen genommen, da wir selbst als Admins keine Inhalte auf dem Server sehen und man dem Serverbetreiber nicht vertrauen muss, dass er mit den Inhalten keinen Blödsinn macht. Ob man der clientseitigen Crypto vertraut, ist wieder ein anderes Thema.

1 Like

Ich glaube, wir verstehen uns hier im Thread falsch:

Die Vertrauenskarte wird von Piraten für ihr Cryptpad genutzt. Das macht Microsoft insofern nicht anders, als die Piraten. Es liegt eine Gemeinsamkeit vor (an dieser Stelle ungeachtet dessen, dass die Microsoft-Dienste prozess- und dokumentationstechnisch weiter ausgebaut sind und noch von verschiedenen, unabhängigen Dritten kontrolliert werden). Der Unterschied liegt für mich schon in der Unterscheidung, dass ihr hier ein Office-Paket hostet, während OneNote eben ein Notizbuch ist. Die Menge, Art und Sensibilität der Informationen unterscheidet sich bei beiden Lösungen deutlich.

Ich denke, da wird es keine technische oder prozessuale Lösung seitens den Piraten geben können. Aus meiner Sicht muss Folgendes geändert werden:

  • Klarstellung, dass es eine Office-Lösung ist, kein Notizbuch,
  • die wenig fundierte Kritik an der verlinkten Stelle streichen (oder besser sein, aber das halte ich nicht für erreichbar),
  • ggf. transparent auf Risiken und Vertrauensbedürfnis hinweisen und alternativ aufzeigen, z. B. lokale Verschlüsselung auf dem eigenen Rechner; inwiefern das dann mit der Zusammenarbeit mit anderen Piraten vereinbar ist, ist unklar (müsste man ausarbeiten).

Generell störe ich mich an verschiedenen Stellen über verbale Angriffe in Texten von Piraten auf Dritte, ohne dass man es selbst wahrlich besser macht. Entweder man teilt aus und legt vor, oder man verzichtet darauf und versucht friedlich oder zusammen besser zu sein - was ich für eine bessere Lösung halte.

Siehe von mir verlinkte Kubernetes Configs.
Der Krams ist alles komplett öffentlich.
Auch weil wir die ersten sind, die Cryptpad auf Kubernetes verwenden, auch weil wir die ersten sind, die den neuen Docker-Container benutzen, auch weil wir ne verdammte Transparenz-Partei sind.

3 Likes

An sich muss ich sagen @GiantCrocodile hab ich keine Ahnung auf was Du hinaus willst.

1 Like

Bei Office 365 sind also alle Daten auf dem Rechner des Anwenders verschlüsselt und können von Microsoft technisch unmöglich zugegriffen werden, es sei denn durch Unterschieben eines Updates?

2 Likes