Męczennik forów

Żadne rozwiązanie w internecie nie żyje wiecznie. Śmierć dopadnie w końcu nawet Facebooka, Twittera, Reddita, czy Discorda. Właśnie, Discorda. Który jest dla mnie jednym wielkim nieśmiesznym żartem. Ale jakimś cudem nabrało się na niego 250 milionów ludzi, wysyłających miliardy wiadomości dziennie. Discord okazuje się jednak zaniedbywać podstawowe zasady cyberbezpieczeństwa, nawet te niewchodzące na poważnie w techniczny żargon – i mówię tutaj o absolutnych podstawach. Czyli porządne hasło, załącz 2FA, itp.

Mimo tego, porzucono fora czy zdecentralizowanego TeamSpeaka na rzecz Discorda i wielu innych scentralizowanych platform, żyjących dosłownie z tego co robimy każdego dnia. Dlaczego tak się jednak dzieje, mimo narastających kontrargumentów w ostatnim czasie? Odpowiedź na to pytanie postaram się poszukać w tym blogpoście.

Zanim zacznę...

...chciałbym powiedzieć, że tekst tego typu zazwyczaj by wylądował na portalu za paywallem. Mimo tego, że wyjątkiem nie jestem, udostępniam te artykuły za darmo i do tego bez reklam, żeby to inni mogli benefitować i żeby to inni mieli sensowne argumenty przeciwko ustanowienia społeczności na Discordzie, albo innej korpoplatformie. Chcesz mnie wesprzeć? Zajrzyj na mojego LiberaPaya. Wspierać mnie możesz dosłownie od paru groszy tygodniowo.

>> https://liberapay.com/SlaVistaPL <<

Zastanówmy się najpierw nad samym sensem społeczności.

Do kogo mamy ją kierować? Gdzie ma być jej centrum? Skąd mamy pozyskiwać jej nowych członków? Faktem jest, że nawet na Discordzie są społeczności całkiem w porządku, niemniej jest to ułamek ułamka procenta – choć zależy od tego na kogo się trafi.

Mając doświadczenie z Discorda (którego miałem przez ostatnie 6 lat, do 30 kwietnia 2023, kiedy postanowiłem tę platformę opuścić), wiem jak się poruszać po innych platformach, tym razem z innej części internetu, w której czuję się zwyczajnie lepiej. Sam fakt, że jest np. na Signalu (głównie za sprawą wymogu numeru telefonu) wiele więcej rozwiązań umożliwiających kontrolę nad tym z kim będę pisał, a z kim nie, wiele świadczy.

Na Discordzie brakowało nawet ścianki, która pozwalała na akceptację wiadomości bezpośredniej od poszczególnego użytkownika. Jedyną opcją było wtedy zablokowanie DMów ze wszystkich serwerów z wyłączeniem naszych znajomych. Na dłuższą metę, brak takiej funkcji był strasznie niewygodny (no i rodził podstawy do masowego cyberbullyingu, o ile taka osoba nie powzięła żadnych środków zapobiegawczych ze swojej strony).

Agresywny model pay-to-use

Porównując Discorda sprzed 2 lat a w zasadzie obecnymi czasami, wiele się zmieniło na gorsze. Agresywniejszego przykładu zastosowania modelu P2U (nie mylić z P2W, zjawiskiem powiązanym ze środowiskiem gier wideo) nie jestem w stanie na ten moment wskazać.

Na przykład, nie możemy teraz streamować w 1080p60. To jest akurat zrozumiałe, w końcu transfer nie rośnie na drzewie – tym bardziej że z tej platformy korzysta dziesiątki milionów ludzi dziennie. Choć nawet na YouTube'ie, mającym dużo większy userbase nie musimy płacić ani grosza za 1080p60 (oprócz wersji z wyższą przepustowością, nazwaną “1080p Premium”), schody się zaczynają dopiero powyżej 4K.

Ale jeżeli mam bulić milion złotych za wykorzystanie jakiejś animowanej emotki nawet ze swojej przestrzeni? Podziękuję. Wiele rozwiązań robi to za darmo, niektóre z nich mogę postawić nawet w swoim wirtualnym zaciszu. W porównaniu do streamowania, emotki nie wymagają ogromnych zasobów transferu (w końcu, maksymalny rozmiar 256 KB każda – założę się, że itak są kompresowane).

Albo motywy. W BetterDiscordzie za darmo, z kolei w oficjalnym – bul milion złotych, nawet za gotowce!

Pozwolę sobie wprowadzić pojęcie UX – z angielskiego “user experience”. Jakie by było doświadczenie użytkownika widzącego za każdym kliknięciem przycisku, na jakiejkolwiek stronie (nie musi to być wyłącznie Discord), komunikaty w stylu “kup subskrypcję” albo “zapisz się na newsletter”? Odpowiedzi chyba nie trzeba szukać daleko. Wolałbym, żeby to użytkownik podejmował ewentualne decyzje o przejściu poziom wyżej na podstawie swoich doświadczeń, a nie ciągłego przymusu. To odstrasza użytkowników.

Jakiś problem?

Z góry przepraszam dresiarzy za kradzież kwestii. Liczę na przebaczenie.

Nie znajdziesz tak łatwo rozwiązania na Discordzie, wpisując pytanie w swoją ulubioną wyszukiwarkę (Qwant, MetaGer, SVMetaSearch, albo nawet Google). Wiadomości na Discordzie się nie indeksują w ogóle. Choć na prywatnej grupie jest to całkiem zrozumiałe, to o tyle na rzekomo publicznym forum powinna być możliwość udostępnienia podglądu nawet dla osób niechętnych do posiadania konta na Discordzie.

Coś w tym stylu jest osiągalne na Matrixie – można ustawić podgląd wiadomości tak, żeby był on widoczny dla każdego, albo tylko dla członków poszczególnego pokoju. Jeżeli udostępniamy również całą przestrzeń, doświadczenia jak za czasów starych, dobrych forów z początków Web 2.0 powracają. A nawet jeżeli jesteś na innym, faktycznym (a nie tylko z nazwy) serwerze Matrixa – nic nie szkodzi. Podejrzysz pokój (o ile opcja ta jest odblokowana), a nawet opiszesz swój problem bez żadnych większych trudności będąc już wewnątrz.

Discord nadaje się w najlepszym wypadku do formowania społeczności chcących mieć komunikację na żywo i to wobec tylko tych, co mają Discorda (nie napiszesz do kogoś na Discordzie z np. Telegrama). Nie powinno się go używać do hostowania miejsc do publicznych pobrań, a już na pewno jako zamiennika internetowych forów. Jak faktycznie jest, tego wolałbym już nie opisywać.

Znam nawet przypadek z GitHuba, gdzie pewna osoba wyłączyła w jednym z repozytoriów nawet zakładkę Issues, żeby przyjmować zgłoszenia problemów przez właśnie Discorda. Jakby... issue tracker pozwala na więcej. Między innymi na bardziej zaawansowane formatowanie, ale i też pozwala odnaleźć wszystkim potencjalne rozwiązanie problemu bez zakładania konta na kolejnej korpoplatformie. Można to zobrazować tak: idziesz na SOR, żeby zgłosić wykroczenie (kiedy to policja, ewentualnie straż miejska powinna się właśnie tym zająć).

Bezpieczeństwo to podstawa!

Gwoli ścisłości, tak nie powiedział nikt z Discorda.

Dopiero w 2023 (tak, OSIEM LAT po premierze) zaczęto skupiać się na funkcjach mających w jakikolwiek sposób poprawić bezpieczeństwo przebywających na poszczególnych grupach (nie serwerach, bo to z prawdziwymi serwerami rzędu wirtualna maszyna (VPS), albo fizyczny dedykowany komputer nie ma kompletnie nic wspólnego). I tak objawiły się dopiero niedawno temu funkcje w stylu zgłoś raida, czy wstrzymaj wszystkie zaproszenia. Problem raidów istniał znacznie wcześniej – nawet gdy Discord dopiero raczkował.

To, że boty ogarniały brudną robotę, nie znaczy że Discord ma prawo do bagatelizowania tego typu problemów. Ani żadna inna platforma, nieważne czy scentralizowana czy nie. Często na największych serwerach (sic) zdarza się, że botów jest ponad 20 na każdym z nich (bo w końcu jak np. jedna warstwa ochrony padnie, to druga przejmie jej obowiązki na czas awarii).

Dla niewtajemniczonych, raid to czynność przeprowadzana przez jedną osobę lub grupę mających na celu spam oznaczeniami poszczególnych osób lub całej docelowej grupy, pomijając w niektórych przypadkach multikonta wykorzystujące zbereźne nazwy. Pojęcie jest znane głównie z Discordowego żargonu.

Przechodząc do kwestii technicznej – wiedzieliście, że jeżeli zupełnie nieświadomie wrzuciliście komukolwiek zdjęcie z metadanymi lokalizacji na Discorda, to inne osoby wiedziały, gdzie dokładnie jesteście? Za odkrycie luki odpowiedzialny jest... zgadnijcie kto. Bonusowe punkty za wskazanie, kto przed tym jeszcze ucierpiał.

Jako iż Discord nie prowadzi programu bug bounty, to tego nie byłem w stanie zgłosić w normalny sposób, tylko musiałem się posiłkować CERTem. O ile CERT szanuję i cenię – w końcu to oni napędzają m.in. CyberTarczę za pomocą swoich list “zakazanych piosenek”, to o tyle zgłaszanie najpierw do polskiej organizacji znalezionej luki, żeby ta mogła przekazać dalej informacje Discordowi jest co najmniej karkołomne.

Przynajmniej ja nie byłem w stanie znaleźć dedykowanego maila do zgłaszania luk bezpieczeństwa, ale kto wie – może taki istnieje i wie o nim np. polski CERT? Film (w języku angielskim, bo być może przydałby się wobec zagranicznych społeczności w przyszłości) wrzuciłem na PeerTube'a, żeby móc posłużyć się nim jako dowód do zgłoszenia. Upublicznię go, gdy sprawa zostanie uznana za rozwiązaną.

I robi ten podstawówkowy błąd program, który umożliwia wzajemną komunikację znacznie szerszemu gronu niż znajomi, czy rodzina – od pierwszych dni istnienia. Nie wspomnę o braku szyfrowania end-to-end, nawet gdyby miało ono być tylko na bezpośrednich konwersacjach. Grupy składające się z szerszych społeczności, stale zmieniających swój rozmiar jeszcze przeżyję.

RODO? A komu to potrzebne?

A teraz, gwóźdź programu. Najbardziej podstawowy błąd, który nigdy nie powinien mieć miejsca na szanującym się komunikatorze. Zanim się rozsiądziecie, proponuję wziąć rolkę papieru toaletowego. Stos prosto, potem w lewo.

Gotowi? Discord umożliwiał ustawienie hasła w stylu “123456”.

I się dopiero opamiętał, gdy został ukarany przez francuskie UODO (tj. CNIL) grzywną w wysokości 800 tysięcy euro. Lista zarzutów CNILu wobec Discorda nie ogranicza się wyłącznie do złej polityki haseł – ujmując ogólnie, prezentuje ona ten komunikator w bardzo negatywnym świetle: ten produkt był bardziej tworzony jako projekt na studia, a że brakowało czasu – to trzeba było się wyrobić przed deadline'em. Co z tego, że mają stały userbase (który można potraktować jako zaliczenie)?

Wedle zarzutów:

Tak trywialne niezgodności hulały przez ogrom czasu istnienia Discorda. Choć problemy zostały rozwiązane, to sam fakt, że zostały one wypatrzone dopiero niecały rok temu (w czasie pisania tekstu) i to w dodatku, gdy jest to teraz jedna z bardziej rozpoznawalnych platform do budowania społeczności, powinien budzić niemałe wątpliwości.

Jeżeli kojarzycie Jasona Citrona, możecie również kojarzyć OpenFeinta. Wbrew pozorom 'open' w nazwie, jak teraz jest w przypadku znacznej większości programów otwartoźródłowych, nie oznaczał że właśnie OpenFeint również takim był. Otóż był on społecznościowką z zamkniętym na cztery spusty kodem źródłowym. I tak się składa, że jej założyciel – nie kto inny jak właśnie Jason Citron – był oskarżonym w pozwie zbiorowym z 2011 roku. Powód? Zbieranie ogromnej rzeszy danych o użytkownikach w celach marketingowych. W pozwie była również wzmianka o różnego rodzaju oszustwach, ale jakich konkretnie? Kronika tutaj milczy.

Dokładnie TEN SAM CZŁOWIEK niecałe trzy lata po upadku OpenFeinta pod koniec 2012 roku będzie również zarządzał platformą do wzajemnej komunikacji. Z perspektywy dzisiejszego mnie, nie zaufałbym Citronowi po takiej wpadce wizerunkowej z poprzednim projektem.

Podsumowując...

Niezbyt fajne czasy do wspomnień. Ale z drugiej strony poznałem kilku fajnych ludzi, z którymi po dziś dzień utrzymuję kontakt poprzez Signala albo Matrixa. Od biedy można powiedzieć, że mogłem na nich trafić też w wyniku innych okoliczności, ale czy ja wiem, czy znajomości się by tak dobrze rozwinęły, jakimi są teraz obecnie? Rozważania pozostawiłbym dla siebie.

Ale odpowiem na jedno pytanie – czy powróciłbym na Discorda? Na pewno nie teraz, nie jutro, nie za miesiąc, nawet za rok. Na pewno nie o dogodnym dla drugiej strony miejscu i czasie, ze względu na to, że Discord – mówiąc brzydko – bardzo się zeszmacił.

Co warto oprócz tego przeczytać?

Kontakt, wsparcie itp.