Mehr als die Hälfte aller Nutzer verwenden den dezentralen Mikroblogging-Dienst Mastodon offenbar über vom deutschen Hosting-Provider Hetzner bereitgestellte Server. Festgestellt hat dies der unter dem Pseudonym Benjojo bekannte Systemingenieur Ben Cartwright-Cox, als er der Frage nachging, wie dezentral das Fediverse wirklich ist. Das Ergebnis seiner Untersuchung hat Benjojo in einem Blogbeitrag geteilt.
Unter Beachtung der Anzahl der auf den jeweiligen Mastodon-Instanzen aktiven Nutzer scheint sich das Fediverse demnach zu 51,6 Prozent auf Hetzner-Servern abzuspielen. Dahinter folgen der französische Hosting-Provider OVH SAS mit 10,7 Prozent sowie die IDC Frontier Inc. aus Japan mit 6,3 Prozent.
Benjojo betont jedoch, dass auch die sehr große und von der Berliner Mastodon gGmbH selbst betriebene Instanz mastodon.social bei Hetzner gehostet zu sein scheint. Doch selbst wenn diese Instanz aus der Statistik entfernt werde, habe die Hetzner Online GmbH mit 33,8 Prozent noch immer den größten Anteil am Fediverse.
Erfassung gelang über eine Fake-Instanz
Um diese Zahlen zu ermitteln, nutzte Benjojo unter anderem eine gefälschte Fediverse-Instanz und brachte andere Instanzen über das Activitypub-Protokoll dazu, ihm ihre Backend-IP-Adressen sowie den von ihnen verwendeten DNS-Resolver mitzuteilen.
Technische Details zu seiner Methode sowie den dafür verwendeten Code will der Systemingenieur jedoch nicht teilen. Zu groß sei das Risiko eines Missbrauchs, beispielsweise für DDoS-Angriffe, warnt Benjojo. Für kompetente Angreifer sei es aber ohnehin kein großer Aufwand, solche Methoden selber zu entwickeln. Der von Fediverse-Diensten gebotene Schutz sei diesbezüglich nicht sonderlich groß.
Eine größere Verteilung wäre wünschenswert
Den Umstand, dass mehr als die Hälfte des Mastodon-Ökosystems offenkundig über einen einzelnen Hosting-Provider läuft, sieht Benjojo kritisch. "Ich glaube zwar, dass Hetzner und OVH eine bessere Wahl sind als zum Beispiel Amazon, Azure, Oracle oder Google, aber es hat in der Vergangenheit schon große Katastrophen mit Hosting-Anbietern gegeben", so der Softwareingenieur.
Hetzner war im vergangenen Jahr dadurch aufgefallen, dass über das Netzwerk des Anbieters offenbar über einen Zeitraum von mehreren Monaten der Datenverkehr des größten russischen XMPP-Messaging-Dienstes jabber.ru (auch xmpp.ru) abgehört wurde. Auch zwei Server des Hosting-Providers Linode waren involviert, wie ein Sicherheitsforscher damals herausfand.
böser Drache ;3