Da mich da Thema um “Twitterank” nicht wirklich in Ruhe gelassen hat (vielleicht, weil ich selber viel programmiere), hab ich den Erfinder von “Twitterank“, Ryo Chijiiwa, kontaktiert und um ein kleines Interview gebeten… hier ist das Ergebnis…

You will find the original english Text more down this page…first this is an german translation of the chat. And sorry about my poor english…:-)

Das Interview wurde per eMail in englisch geführt, es folgt erst die deutsche Übersetzung.

1. Stand hinter der Idee, “twitterank” zu progammieren, der Gedanke, Passwörter von Twitter.com zu stehlen?

Ryo: Die Idee war niemals, Passwörter zu stehlen oder User zu betrügen

2. Würdest du andere Wege wählen, wenn es welche gäbe, als nach einem Passwort zu fragen?

Ryo: Ich würde auf jeden Fall andere Möglichkeiten wählen. Im Moment prüfe ich die Möglichkeit, Daten über die Twitter-Such API auszuwerten, aber dort sind die Daten sehr beschränkt, benötigen allerdings kein Passwort. Idealerweise wäre ein Schnittstelle von Twitter wie “oAuth” der beste Weg.

3. Würdest du mir einen Dump deiner SQL zeigen, nur damit man sieht, das du keine Passwörter speicherst?

Ryo: Natürlich. Aber wenn ich wirklich der Böse wäre, könnte ich dir ja gefakte dumps übergeben.  Was ich dir zeigen kann, ist die SQL-Struktur:

mysql> select * from twitterrank where userid=’ryochiji’;
+———-+————-+————+——+———————+
| userid   | twitterrank | ts         | vers | created             |
+———-+————-+————+——+———————+
| ryochiji |        70.7 | 1226616871 |    1 | 2008-11-12 03:41:15 |
+———-+————-+————+——+———————+

An dieser Stelle geb ich zu, das die Daten nicht prüfbar sind, aber ich bin überzeugt, das Ryo das Passwort nicht speichert. Das Dump macht technisch Sinn und die userid ist aus der Anmeldung bei twitterank, nicht die von twitter.com.

4. Warst du dir des Problems mit dem Passwort bewusst, als du das Programm geschrieben hast?

Mir war klar, das die Frage nach dem Passwort Probleme bereiten wird. Und auch wenn ich die Accounts der User niemals benutzt habe, sollten die User damit nicht einverstanden sein. Am Anfang hatte ich eine grosse rote Box bei der Anmeldung mit dem Hinweis, das die Herausgabe des Passwortes nicht ok ist, aber der einzige Weg, von Twitter.com einmalig Daten zu holen. Der Text schien nicht wirklich wahgenommen zu werden, bis von einigen Leuten dieses Verfahren als “Phishing” bezeichnet wurde. Das Grundprinzip der roten Box war, Leute zu warnen und darauf zu trainieren, nicht jedem Daten zu geben. Daraus entstanden die “Phishing” Gerüchte.

5. Würdest du alles mögliche tun, um die Privatsphäre der User zu wahren?

Ryo: Ja, absolut. Aus diesem Grund werden keine persönlichen Daten oder Passwörter gespeichert. Nur das notwendigste, um Daten für den twitterank zu generieren.

6. Würdest du twitterank kommerzialisieren, wenn du die Möglichkeit hättest?

Ryo: Es gibt keine Pläne für eine Kommerzialisierung. Twitterank ist ein Experiment, enstanden aus einer “Idee”, die Twitter-User irgendwie zu ranken. Das Projekt hat für mich mehr einen akademischen Aspekt, weniger einen kommerziellen. Ich habe ein paar Freunde, die es interessiert, wie Twitter sich auswirkt und wenn man daraus was lernen kann, bin ich gerne bereit, das mit der restlichen Welt zu teilen.

7. Nach all den Problemen, denkst du, das es wert ist, das Projekt weiter zu entwickeln?

Ryo: Es gibt noch ein paar Ideen, die ich gerne umsetzen möchte und ich erhalte auch positives Feedback. Solange mir das Projekt sinnvoll erscheint und einen Nutzen für die Öffentlichkeit bietet, werde ich daran weiterarbeiten.

8. Wenn du weitermachst, wärest du bereit, dich mit anderen Entwicklern zusammen zu tun, um das Script “vertrauenswürdig” zu gestalten?

Ryo: Ich habe darüber schon nachgedacht und es wird Entwicklung in Richtung “Open Source” stattfinden. Anfangs war ich gegen einen Freigabe des Algorhytmus und der Source, aber ich werde das alles in einer offenen Umgebung mit anderen Entwicklern diskutieren (auf zDNet gepostet).

Vielen Dank für das offene Interview Kyo. Ich sollte mich sicher hier neutral verhalten, aber ich denke, das hinter dem ganzen Tool eine Idee steht, die die Folgen nicht bedacht hat.

After thinking about twitterank and the rumours about this tool, I contaced the Author, Ryo Chijiiwa, to find out, whats going on with “Twitterank“. The Interview was taken by eMail.

1. Was your intention to code twitterank grabbing Twitter-passwords?

My intention was never to “steal” passwords, or abuse people’s
accounts in any way.

2. would you take other ways to calculate twitterank, if there are other possibilities instead of asking for a password?

Ryo: I would definitely prefer it if I didn’t have to ask for user’s passwords.  I am currently looking at using Twitter’s Search APIs instead, which won’t require a password, but it would also limit the data I can get.  Ideally, I think it would be best if Twitter supported something like oAuth.

3. Are you able to post a dump from your sql? (just showing, you are
NOT saving the password? all names will be marked off).

Ryo: I’m reluctant to give you the entire dump, but this is what the data looks like:

mysql> select * from twitterrank where userid=’ryochiji’;
+———-+————-+————+——+———————+
| userid   | twitterrank | ts         | vers | created             |
+———-+————-+————+——+———————+
| ryochiji |        70.7 | 1226616871 |    1 | 2008-11-12 03:41:15 |
+———-+————-+————+——+———————+

Obviously, if I were truly evil, I could easily lie about this, so I
don’t know if this proves anything… but there it is.

4. Did you realize the problem, when you code the script?

Ryo: I knew asking for passwords was problematic.  Even if I didn’t abuse
people’s accounts, it’s a dangerous pattern that people shouldn’t get
comfortable with.  That’s why I originally had a big red box with a
verbose warning about the dangers of giving away their passwords.  I
later commented out that text because it didn’t seem to have an
effect, but someone dug it up and misconstrued it as “evidence” that I
was phishing.  In reality, I was trying to warn and educate people.

Ultimately, I decided the app was still worth building, because I
figured that at least some of my friends would use it.  I anticipated
that some others would use it too, but I expected more people to be
turned away by the fact that they had to enter their passwords.
Obviously, I was wrong on that last part.

5. would you do everything possible, to keep users privacy?

Ryo: Yes, absolutely.  That’s the main reason why Twitterank does not store
passwords or other private data I retrieve from Twitter, even though I
could do interesting non-evil things if I did.

6. do you go on commercial base with twitterank, if possible?

Ryo: I have no plans to commercialize Twitterank at this time.  Twitterank
is mostly an experiment.  I had an idea for a slightly different way
to “rank” Twitter users, and I wanted to see if it was any good.  I
think of it more as an academic project than a commercial one.  For
instance, I have a couple of friends who are interested in doing some
analysis on Twitterank’s growth to better understand how memes spread.
If we learn anything interesting, I hope to share it with the world.

7. After all that trouble, do you think it is worth, working on it?

There are a few things I still plan on doing, and I’ve also received
quite a bit of positive feedback.  I’ll keep working on it for as long
as it remains interesting to me and beneficial to others.

8. If yes, do you maybe share your code to selected coders and make it this way
a trustable Script?

Ryo: I’ve been thinking about it.  I used to do some Open Source
development, and I’m a big fan of that model.  I was initially
reluctant to talk about the algorithm, but decided to err on the side
of openness and shared some of the concepts behind Twitterank in my
ZDNet post (http://blogs.zdnet.com/collaboration/?p=164).

Thank you Ryo for this Statement. I should stay without opinion here, but I think, It’s just an Idea, realized without thinking about the reactions. No evil hints…

Ähnliche Meldungen

• 13.11.2008 -- Twitterank unsicher?