Mastodon kontra Twitter

Kiedy piszę te słowa, Twitter jeszcze działa. Codziennie jednak docierają wieści o nowych zwolnieniach, w niektórych działach nikt już nie pracuje. Mastodon zaś w ciągu kilku tygodni zyskał więcej użytkowników, niż od początku istnienia. Serwis powstał w 2016 roku, przez 6 lat był niszą, nagle w październiku 2022 został zauważony jako "wolny odpowiednik Twittera". O co właściwie w nim chodzi?

Również należę do grupy świeżych użytkowników. Nietypowo, nie jestem świeżym uciekinierem z Twittera, bo od dawna nie lubię tego serwisu (właśnie odgrzebałem swoje stare konto i ostatni wpis był sprzed 10 lat). Mastodon z kolei cierpiał na typową przypadłość niekomercyjnych serwisów społecznościowych: mało kto z niego korzystał, więc większość potencjalnych użytkowników rezygnowała, bo nie warto uczyć się czegoś nowego by dotrzeć do pięciu osób. Obecnie klimat nadal jest dość alternatywny, najłatwiej tu spotkać fanów open source, anarchistów, aktywistów ekologicznych itp. Czyli w sumie towarzystwo znacznie milsze niż twitterowe spektrum od prawicy po alt-right.

Mastodon jest serwisem rozproszonym, jak np. email, a nie kontrolowanym centralnie. Istnieje wiele publicznych serwerów, każdy może też założyć nowy. Dlatego identyfikator użytkownika jest dwuczłonowy, @użytkownik@serwer, np. mój to @igorw@fosstodon.org. Serwery wymieniają wiadomości między sobą (w języku Mastodona: są sfederowane), niezależnie od tego gdzie założymy konto, dotrzemy do całej sieci. No, całej z pewnymi zastrzeżeniami. Każdy serwer ma swoją politykę moderacji, ale generalnie mainstreamowe serwery zgadzają się, że:
- propagowanie nazizmu, pedofilia, rasistowskie wyzwiska itp. są zabronione i można za to stracić konto,
- serwery, które nie przestrzegają tych reguł, mogą zostać odfederowane (oczywiście to też nie jest zcentralizowana decyzja - admini poszczególnych serwerów decydują, od kogo nie przyjmują wiadomości).

Jak dotąd, obyło się bez większych kontrowersji. Administratorzy serwerów nie chcą opinii despotów, więc decyzje o odcięciu serwerów często są jawne, można sprawdzić listę i próbki treści. Małe kontrowersje dotyczą czasem szczegółowych polityk konkretnych serwerów. Bywało np. że zablokowano profil pod zarzutem spamu, podczas gdy administrator innego serwera mógłby to uznać za dopuszczalną informację o produkcie. Są serwery, które dopuszczają tylko posty w określonym języku (uzasadniając to tym, że jeśli treść zostanie zgłoszona jako naruszająca regulamin, administrator musi ją ocenić, a nie zna wszystkich języków świata).

Poszczególne serwery starają się niekiedy tworzyć społeczność skupioną wokół określonego tematu - technologii, muzyki, praw LGBT, ochrony środowiska, kraju lub regionu itp. To jest raczej miękkie zalecenie niż zakaz, służy bardziej ułatwieniu znajdowania nowych treści: zaglądając na serwer mogę zobaczyć trzy osie czasu:

- "home", czyli wpisy osób które obserwuję, reakcję na moje posty itd.

- "local", czyli nowe publiczne posty na tym serwerze,

- "federated", czyli nowe publiczny wpisy z całej światowej społeczności, które dotarły do mojego serwera.

I właśnie ten środkowy widok (oprócz np. obserwowania konkretnych tagów) najlepiej nadaje się do nawiązywania nowych kontaktów.

Brzmi to bardziej zawile niż jest w rzeczywistości, więc na moim przykładzie - mając konto w serwisie Fosstodon:
- muszę pisać po angielsku i nie mogę zamieszczać reklam,
- ale jeżeli obserwuję profile z innego serwera piszące w innych językach lub komercyjne, serwer Fosstodon mi je dostarczy,
- mogę pisać na dowolny temat, ale użytkowników tego serwera interesuje oprogramowanie open source, więc skoro wybrałem taki spośród ponad 7 tysięcy, to zapewne mnie też.

Wybór serwera

Rozproszona architektura sprawia, że jeśli utracimy konto, możemy je założyć na innym serwerze. Ale nie przeniesiemy w ten sposób listy obserwujących i obserwowanych (a ściślej: możemy to zrobić, dopóki mamy dostęp do starego konta) ani nawet nie poinformujemy, że trzeba nas teraz szukać gdzie indziej. Jeśli chcemy prowadzić profil firmy albo pisać w języku innym niż angielski, trzeba sprawdzić politykę treści. Komercyjne serwisy społecznościowe często są krytykowane za niejasne zasady moderacji i problemy z odwołaniem się od niesprawiedliwej decyzji. Rozproszony system pod pewnymi względami może być nawet gorszy: właściciel serwera nie tylko może ustalić dowolną politykę moderacji, ale też niewiele da się zrobić, jeśli ją będzie łamać. W przypadku większych mastodonowych społeczności to problem raczej teoretyczny, te miejsca mają ugruntowaną od lat opinię i nie chcą jej stracić. Można przyjąć, że jeśli do tej pory nie było słychać o problemach, to w przyszłości będzie podobnie. Odradzam natomiast serwery, które mają kilku użytkowników i istnieje od paru tygodni - chyba, że dobrze znamy właściciela.

Drugie niebezpieczeństwo to zniknięcie całego serwera.  Nie ma gwarancji, że uda się wybrać właściwie (w końcu, nawet korporacja obracająca milionami może zbankrutować), ale znów to duże społeczności mają większą szansę na przetrwanie. Są zarządzane półprofesjonalnie, osiągają regularne przychody ze zbiórek wystarczające na opłacenie serwera i zmotywowanie do pracy kilku administratorów. Na drugim biegunie są małe serwisy. Często są to projekty całkowicie jednoosobowe: właściciel opłaca hosting, administruje w czasie wolnym i pewnego dnia może po prostu dojść do wniosku, że szkoda poświęcać czasu i pieniędzy za wątpliwą chwałę.

Zamiast proponować kilka serwerów, zachęcam do samodzielnego sprawdzenia listy na  https://joinmastodon.org/pl/servers

Pierwsze kroki

Wybieramy więc serwer, rejestrujemy konto podając email, hasło i parę słów o sobie. W zależności od przyjętej polityki weryfikacji, albo od razu dostajemy dostęp, albo czekamy na decyzję administratora. Szukamy nowych znajomych w społeczności, a starym znajomym wysyłamy swój identyfikator. Klient webowy jest całkiem wygodny i konfigurowalny, ale oczywiście mamy też do wyboru wiele aplikacji mobilnych. Za najlepszy program na Androida uchodzi Tusky. Standardowo wpisy są ograniczone do 500 znaków, ale tu również każdy serwer może wprowadzać swoje zasady. Do postów możemy dołączać zdjęcia lub filmiki. Ciekawą opcją jest ostrzeżenie o zawartości, stosowane gdy np. chcemy zamieścić drastyczne zdjęcie albo spoiler - czytelnik zobaczy je dopiero po potwierdzeniu. Większość funkcji przypomina twitterowe, niekiedy różni się nazwą: wpis to nie twit, lecz toot.

Bezpieczeństwo i prywatność

Wydaje się, że architektura systemu jest bezpieczna. Kilka dni temu w świat poszła informacja o błędzie, który umożliwiał kradzież hasła: https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp. Świadczy on jednak raczej o sile Mastodona:
- większość serwerów nie była podatna, dotyczył tylko pewnej odmiany oprogramowania (pechowo, akurat serwer infosec.exchange poświęcony tematyce bezpieczeństwa był),
- błąd został szybko załatany,
- atak udał się dopiero po wypróbowaniu kilku sposobów i znalezieniu szczególnego zbiegu okoliczności, prostsze metody zawiodły.

Podejście do bezpieczeństwa konta jest standardowe jak na dzisiejsze czasy. Uwierzytelnianie dwuskładnikowe jest możliwe, ale nieobowiązkowe. Łatwo też sprawdzić jakim aplikacjom pozwoliliśmy na dostęp. Istnieją różne poziomy prywatności postów. Mogą być publiczne, ograniczone tylko do znajomych albo wiadomości prywatne. Ale uwaga: wiadomości nie są szyfrowane.

Dużym problemem na Twitterze są ostatnio fałszywe konta "zweryfikowane". Pod tym względem Mastodon jest nawet gorszy: każda społeczność ma swoje zasady weryfikacji, a wiele nawet otwarcie ogłosiło, że z powodu tysięcy nowych zgłoszeń zrezygnowało z jakiejkolwiek kontroli. Podszycie się pod jakąś osobę lub firmę jest więc możliwe. Zwłaszcza, że posiadacz oryginalnego konta może korzystać z innego serwera.

Plusy dodatnie i ujemne

Pisałem już o wadach niekomercyjnego i rozproszonego modelu, ale są oczywiście również zalety. Mastodon nie profiluje użytkowników, Cambridge Analytica nie dotrze do milionów wyborców. O tym, które posty zobaczy użytkownik, nie decyduje tajemniczy algorytm mający przyciągnąć jak najwięcej uwagi (czego ubocznym skutkiem jest podkręcanie negatywnych emocji i propagowanie fake newsów), zwyczajnie są pokazywane najnowsze posty z danego tematu, serwera lub listy obserwowanych.

Komercyjne serwisy starają się zatrzymać użytkownika u siebie, wręcz przejmować kolejne kawałki internetu. Chcesz tylko przeczytać jeden tekst? Załóż konto. Szukasz forum? Po co, nasze grupy są wygodniejsze. Koniecznie musisz skorzystać z tego zewnętrznego serwisu? No dobra, ostatecznie, ale zobacz, możesz się tam zalogować naszym kontem, tak jest łatwiej i szybciej. A serwery Mastodon radośnie dzielą się wiadomościami za pomocą otwartego, dostępnego dla wszystkich protokołu ActivityPub. Co więcej, posty publiczne są również dostępne jako RSS.

A jeżeli model wielu indywidualnie zarządzanych, ale komunikujących się ze sobą serwerów Mastodon wydaje się komuś niewystarczająco skomplikowany, wspomnę jeszcze, że sieć rozproszonych serwisów, zwana Fediverse, łączy dziesiątki różnych usług, każda z tysiącami serwerów. Najpopularniejsze to serwis video PeerTube, sieciowy dysk/pakiet biurowy Nextcloud i sieć społecznościowa Diaspora.

Dla programistów

Z założenia Mastodon jest serwisem otwartym i każdy może go rozwijać. Dlatego API jest dostępne dla każdego i bajecznie proste. Istnieją biblioteki dla wszystkich popularnych języków programowania. Wypróbowałem bibliotekę dla Pythona, napisanie prostego skryptu wysyłającego posty zajęło mi jakieś 5 minut, z czego 4 na przeczytanie dokumentacji. Ambitni lub używający niszowych języków mogą też samodzielnie korzystać z dobrze udokumentowanego API HTTP.

Jeśli porównać z Twitterem, Mastodon zdecydowanie wygrywa łatwością obsługi. Większość funkcji Twittera, zwłaszcza tych podstawowych jak pisanie i czytanie postów, jest co prawda równie łatwa. Najpierw jednak trzeba przejść uwierzytelnianie. Na początek musimy wybrać, z którego API Twittera chcemy korzystać (łatwiejsza wersja 1 i zalecana wersja 2), a potem wybrać jeden z kilku sposobów uwierzytelniania - niewłaściwy nie zadziała. Co więcej, żeby w ogóle zacząć pracę z API, najpierw trzeba założyć konto developera, po czym właściwie od razu wystąpić o tzw. Elevated Access. Zwykły poziom dostępu pozwala tylko na odczyt postów i to z wieloma ograniczeniami. Elevated Access wymaga podania informacji o sobie i o planowanej aplikacji. Ma to na celu ograniczenie problemów z botami wysyłającymi spam i fake newsy, gromadzeniem danych itp. Tyle że osoby odpowiadające za zatwierdzanie użytkowników prawdopodobnie zostały zwolnione i teraz każdy automatycznie uzyskuje pełny dostęp.