148
87

archive.today/.is/.ph/etc malware warning/survey/Umfrage

4mon 20d ago by feddit.org/u/feddit in main@feddit.org

English version below.

Hallo zusammen,

vor ca. 2 Wochen gab es einen Post auf Hacker News, in welchem ein DDoS der Betreiber von archive[.]today, auch auf diversen anderen Domains wie archive[.]ph oder archive[.]is vertreten, gemeldet wurde.

Der HN Post selber ist recht fragwürdig, wie man in den HN Kommentaren nachlesen kann, insbesondere hinsichtlich des Nutzernamens von dem das gepostet wurde, aber inhaltlich ist es zutreffend.

Der DDoS-Angriff wird als JavaScript Code im Browser von Besuchern der archive[.]today Webseiten ausgeführt. Effektiv werden damit die Geräte von Besuchern für den Cyberangriff missbraucht, was einen Block beim Ziel deutlich erschwert. Wer bewusst an einem Botnetz teilnimmt macht sich potentiell auch der Computersabotage nach § 303b StGB in Deutschland oder vergleichbaren Gesetzen schuldig.

Dies ist auch jetzt weiterhin der Fall, da beim Besuchen der CAPTCHA-Seite weiterhin JavaScript Code für den DDoS ausgeliefert wird, um die angegriffene Seite vielfach aufzurufen. Die meisten gängigen Content- und Werbeblocker wie uBlock Origin sollten dies standardmäßig rausfiltern, jedoch kann man nicht davon ausgehen, dass jede Person sowas nutzt, insbesondere auf Mobilgeräten.

Zunächst hat @eb@social.coop diesen Thread gepostet, mit zusätzlichen Details weiter unten im Thread. Konkret hier und hier.

Etwas später gab es eine weitere Meldung von @iampytest1@infosec.exchange, welcher auch zusätzlich die Betreiber per Email um eine Stellungnahme gebeten hat. Laut iam-py-test gab es eine Antwort, in welcher der Ausgang des Angriffs von archive[.]today zugegeben wird. Damit ist davon auszugehen dass es nicht nur ein Fall eines Kompromittierten Servers ist.

Da archive[.]today ein recht populärer Dienst zur Archivierung von Webseiten ist möchten wir nicht ohne Rücksprache mit der Community drastische Maßnahmen ergreifen. Wir haben in den letzten Tagen überlegt welche Maßnahmen wir hier ergreifen können und welche Auswirkungen diese haben werden:

  1. Hinterlegung der Domains in Lemmy's URL-Filter
    Für lokale Nutzer werden Inhalte mit Links zu den betroffenen Domains nicht mehr erstellbar sein bis der Link entfernt wurde.
    Inhalte von Nutzern anderer Instanzen werden bei der Föderation direkt abgewiesen und sind bei uns überhaupt nicht erst sichtbar. Bei Inhalten in unseren Communities werden die Nutzer darüber auch nicht informiert, aus deren Sicht ist es nur ein Föderationsproblem, wodurch der Inhalt in der Regel nur auf der Instanz des Erstellers sichtbar bleibt.
  2. Hinterlegung der Domains in Lemmy's Beleidigungsfilter
    Dieser Filter wertet nur Textinhalte aus, Direktlinks aus Posts zu Archivlinks (URL Feld bei der Erstellung von Posts) können hiermit nicht gefiltert werden.
    Für lokale Nutzer werden entsprechende Inhalte nicht mehr erstellbar sein bis die Domain entfernt wurde.
    Inhalte von Nutzern anderer Instanzen werden bei der Föderation zensiert, indem die betroffenen Stellen im Text durch *removed* ersetzt werden. Der Inhalt wird nur bei uns geändert, andere Instanzen ohne diese Konfiguration zeigen den ursprünglichen Inhalt an.
  3. Entfernung von betroffenen Inhalten per AutoMod
    Diese Option würde betroffene Inhalte im Modlog vermerken und würde uns auch die Möglichkeit geben weitere Logik anzubinden, wie eine PM an den betroffenen Nutzer zu senden, wenn der Inhalt in einer unserer Communities war. Für Communities von anderen Instanzen würden wir hier keine Benachrichtigungen einbauen.

Diese Maßnahmen würden sich nur auf neue Inhalte beziehen, wir haben aktuell nicht vor alte Posts und Kommentare zu entfernen o.ä.

Wir bitten hiermit um Kommentare mit euren Meinungen bis Sonntagnachmittag dazu, bevor wir auf Adminebene entscheiden wie wir letztendlich damit umgehen wollen. Primär wollen wir uns hier an Feedback von lokalen Nutzern orientieren, jedoch werden wir natürlich auch Kommentare von Nutzern anderer Instanzen berücksichtigen, da diese natürlich auch mit unseren Communities interagieren.

Zu archive[.]today gehören mindestens folgende Domains:

  • archive[.]today
  • archive[.]is
  • archive[.]ph
  • archive[.]fo
  • archive[.]li

Hello everyone,

approximately 2 weeks ago someone reported a DDoS orchestrated by the operator of archive[.]today, also known from other domains like archive[.]ph or archive[.]is, on Hacker News.

The HN post itself is questionable, as you can see in the HN comments, especially concerning the poster's name, but the content is accurate.

The DDoS attack runs as JavaScript code in the browser of visitors of archive[.]today websites. Effectively this abuses the devices and abuses the devices of visitors for the attack. Effectively this abuses the devices of visitors for the cyberattack, which makes it a lot more challenging to block on the recipient's side. Someone knowingly participating in a botnet may also be guilty of Computer sabotage" according to § 303b StGB in Germany or similar laws.

This is currently still ongoing, as visiting the CAPTCHA sites still delivers JavaScript code for the DDoS, to access the targeted site many times. Most commonly used content and ad blockers like uBlock Origin should already be filtering this by default, but we can't expect everyone to use them, especially on mobile devices.

Originally, @eb@social.coop posted about the attack in this thread with additional details further down the thread. Specifically here and here.

A bit later there was another report by @iampytest1@infosec.exchange, who also reached out to the operator by email, asking for a statement. According to iam-py-test he received a response, which admits the attacks to be originating from archive[.]today. Based on this we can assume that this is not just a case of a compromised server.

As archive[.]today is a rather popular service for archival of websites we don't want to implement drastic measures against this without community feedback. In the last days we've considered which actions we could take and what their impacts will be:

  1. Adding the domains to Lemmy's URL filter
    For local users, content linking to affected domains cannot be posted anymore until the link is removed.
    Content from users on other instances will be dropped as it's received through federation and will never appear on our instance. For content in our communities users will also not be informed, for them it will look like just a federation issue, which will typically result in the content only being visible on the instance of the creator.
  2. Adding the domains to Lemmy's slur filter
    This filter only evaluates text content, direct links from posts to archive urls (URL field when creating a post) cannot be filtered with this.
    Local users won't be able to post affected content until the domain has been removed.
    Content from users on other instances will be censured as it's being processed by federation by replacing affected sections in the text with *removed*. Content will only be changed on our instance, other instances without this configuration will still show the original content.
  3. Removal of affected content via AutoMod
    This option would log affected content in modlog and would also allow us to implement additional logic, like sending a pm to users being moderated within one of our local communities. We would not notify users about content in communities on other instances.

These measures would only affect new content, we are not planning to remove or otherwise change old posts or comments.

Please comment your opinions on this until Sunday afternoon (CET), before we'll make the final decision on admin level on how we will deal with this. Primarily we want to base our decision on the feedback from local users, but we'll of course also consider comments from users on other instances, as they are also participating in our communities.

At least the following domains belong to archive[.]today:

  • archive[.]today
  • archive[.]is
  • archive[.]ph
  • archive[.]fo
  • archive[.]li

Vielen Dank für eure Rückmeldungen, wir besprechen die nächsten Schritte jetzt im Adminteam und werden die Tage dann ein Update haben.

Thank you for all your feedback, we'll discuss the next steps in our admin team and will have an update in the coming days.

Klopf klopf. Ich frag mal ganz vorsichtig nach einem Update in dieser Sache.

Gibt es was neues?

c/DACH und c/deutschland sind vor ein paar Stunden von sich aus aktiv geworden und haben die Angabe von archive [.] today (ua) links in ihren Communities verboten.

Es tut mir auch unendlich Leid, dass es bei uns nicht voran geht. Ich hake nach aber es tut sich nix. Ich überlege auch eventuell im Alleingang eine Meldung rauszuhauen, weil ich das warten Leid bin.

Wenn ich bis heute Nachmittag nix von den anderen höre, mache ich zumindest provisorisch einen gepinnten Beitrag die das Nutzen der genannten Archiveseiten verbietet.

Danke Dir! Ehren-Emopunker!

Bin eben heimgekommen. Ich arbeite bald an einem Beitrag der gepinnt sein wird.

Die restlichen Communitys, die ich (mit-) moderiere, werden noch nachfolgen.

Edit: Done

  • Augsburg und Umland
  • DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz
  • Deutschland
  • Technologie: Nachrichten aus Wissenschaft, Bio und Technik
  • Bayern
  • Netzkultur / Netzpolitik
  • aus aller Welt
  • Europa
  • Fahrrad
  • Eltern & alle anderen Erziehungsberechtigten
  • Verbraucherschutz
  • Community für überregionale Wahlen

Hab ich mir gedacht. Ich hatte auch in dem anderen Beitrag gesehen, dass Du etwas frustriert wirktest, weil da von den Admins noch nichts gekommen war.

Insgesamt sieht es doch so aus, dass zumindest diejenigen, die sich hier und bei den anderen Beiträgen geäußert haben, diese Entscheidung respektieren bis unterstützen, wenn sie den Hintergrund kennen.

Auch unabhängig von der aktuellen Problematik haben Archiv-Links aus meiner Sicht nichts im URL-Feld verloren, weil die Original-Quelle nicht transparent in der URL beziehungsweise in der Vorschau (Titel, Thumbnail & Zusammenfassung) erkennbar ist und Diskussionen nicht so einfach zusammengeführt werden können, wenn jemand anderes den gleichen Link postet.

Für mich ist prinzipiell alles okay, was Schaden von feddit und Dritten abhält.

Ich möchte ergänzend darauf hinweisen, dass es sinnvoll wäre, die systemimmanente Einladung zur Nutzung von archiv.-Links zu entfernen, die beim Erstellen von Beiträgen aktuell immer noch erscheint:

Desweiteren fände ich wünschenswert, wenn der Sachverhalt für IT-Laien runter gebrochen in einem Beitrag in DACH angepinnt vermittelt werden könnte; quasi als Dienstmeldung respektive Warnung an alle. Dass es Bedarf gibt, zeigen ja die hier von surprised pikachu präsentierten Zahlen, wonach archive-Links hier täglich mehrfach aufschlagen.

danke für den hinweis, das lässt sich leider nicht so einfach abstellen. ich habe dafür jetzt ein issue im lemmy-ui repo angelegt: https://github.com/LemmyNet/lemmy-ui/issues/3825

Hm, keine Kommentare bisher. Naja, erst 18h.

Sind diese Archivanbieter hardgecoded? Das fände ich irgendwie amatörisch.

ja:

Danke! Das Projekt ist zu gross für mich um da durchzuschauen, aber könnten das nicht default Konfigurationswerte sein, die man anderswo anders definieren kann? Obwohl das Wort "archive.today" im zweiten Code-Auszug hardgecoded ist (nicht als Link allerdings).

Ist Lemmy's web UI code "a mess"?

kp, mache selber nicht so viel mit js basierten anwendungen, daher habe ich da nicht so den vergleich. das wird aktuell auch in rust neugeschrieben.

an konfiguration gibt es nur die sachen die im readme zu sehen sind: https://github.com/LemmyNet/lemmy-ui/tree/0f4b5b79fb76e0612c959f587986840480b8edb5#configuration(beachte dass dies lemmy 1.0 ist, 0.19 ist evtl noch leicht anders)

das wird aktuell auch in rust neugeschrieben.

Wie so vieles. Hoffen wir also das Beste bzgl. Konfigurierbarkeit.

Vielen Dank fürs Kümmern!

Als Nutzer einer anderen Instanz wäre für mich wohl Nr. 3 am wünschenswertesten. Auch wenn der Automod sich nicht meldet hat man als Nutzer zumindest die Chance im Modlog nachzuvollziehen was mit dem eigenen Beitrag passiert ist. Bei allen anderen Optionen steht man wenn ich es richtig verstehe dann ja komplett ohne Hinweis da.

Ich sehe archive[.]today schon lange kritisch, wie aus meinem Profil ersichtlich wird und ich auch gepfostet habe.

Von solch konkreten Bedenken (javascript von mail[.]ru) abgesehen, es ist ein typischer Fall von Zu Gut Um Wahr Zu Sein. Die Betreiber scheinen wohl ziemlich viel Geld für Resourcen ausgeben, seit vielen Jahren, für etwas das umsonst ist? Erinnert mich daran wie 2007 Gmail der heisseste Scheiss war (keine Werbung! Umsonst! Speicherplatz!) und wir wissen ja alle wo das letztenendes hingeführt hat.

Ich sehe meine Bedenken also bestätigt, und bin für die strengstmögliche Lösung die aber andere Instanzen nicht ausschliesst.

BTW was den Vorwurf des Doxxens betrifft:

Joni Patakallio hat "lediglich" alles zusammengetragen was im Netz zu archive[.]today etc. zu finden war und hat aus dem Usernamen masharabinovitch geschlossen dass es sich wohl um eine(n) Masha Rabinovitch handelt.

Weiter, und ich zitiere iam-py-test:

Jani Patokallio isn't the only person to try and uncover the ownership of archive.today, nor even the most recent or most aggressive. Though the other people who have attempted it maybe aren't as easy targets. Especially given that list includes the US FBI, which doesn't take kindly to being DDoSed.

Option 3 und bei alten Posts automod kommi der die Sache erklärt.

Des weiter finde ich es schon scheiße, dass man jetzt die Wahl hat zwischen illegalen pay-or-ok, Buggy freemium Modellen, 728 Partnern, Preisen die man nicht verantworten kann wenn man mehr als eine Quelle im Leben haben möchte, russischen DDoS honigtöpfen und einem Internet Archive welches derartig Kapazitätsmäßig ausgelastet ist dass man es nicht verwenden soll um Artikel zu lesen.

Da wär ich fast fine damit archive.ph mit uBlock aufm Desktop und Mobil zu nutzen auch wenn die Russen dann evtl Statistik bekommen dass ich Demokrat bin. So einfach ist es aber natürlich nicht.

PS.: nochmal die Optionen durchgelesen: bin dagegen das localen Usern Inhalte von anderen Instanzen aufgrund von diesen Block vorenthalten werden. Da weiche ich auch ganz bewusst von meiner Haltung bezüglich .ml ab, weil das hier nichts grundsätzliches ist.

Alte Weisheit im Internet: Wenn etwas nicht kostet, bist du die Ware. Archive[.]today war da einfach zu nett.

Safe, ich denke halt wirklich weil die praktisch damit abrufzahlen über die gesamte Text-Medien Landschaft extrapolieren können. Gesellschaftlichr Insight die so nicht mal unsere eigene Regierung hat, bestimmt gut wenn man seit spätestens 2014 hybriden Krieg führt.

FOSS? Fediverse?

Leben auch von Spenden. Du bist nicht verpflichtet, etwas beizusteuern, und wenn es nur deine Zeit ist, aber wenn es keiner macht, wird es sterben.

Ständige Bandbreite-Engpässe, nie gut genug, Spendenaufrufe und Diskussion über Finanzierung etc. pipapo.

OK, D_a_X@feddit.org hätte den Spruch vielleicht erweitern können: Wenn etwas nicht kostet, und zu gut ist um wahr zu sein, bist du die Ware oder so

Ich muss auch sagen dass ich den Blog-Post https://gyrovague.com/2023/08/05/archive-today-on-the-trail-of-the-mysterious-guerrilla-archivist-of-the-internet/nicht in Ordnung finde. Da wird eine Person gedoxxt die einen Service für die Allgemeinheit anbietet, die höchstwahrscheinlich anonym bleiben wollte, und wir wissen ja wie gefährlich es ist als wirksamer Aktivist nicht anonym zu sein. Das ganze ist ja immerhin nicht gerade ganz legal.

wir unterstützen absolut kein doxxing, aber das entschuldigt lange nicht den missbrauch von besuchern für cyberangriffe.

Den begriff Doxxing hat einer der Stellvertreter von archive[.]today eingeführt.

Der Blogger hat lediglich zusammengetragen was über den Besitzer bekannt ist (und was andere vorher schon zusammengesucht haben), und seine einzige IRL Schlussfolgerung ist, dass ein User namens masharabinovitch möglicherweise auf einen Menschen namens Masha Rabinovitch hinweist.

Man muss hier auch die Grösse des Projekts in Betracht ziehen: es kostet mittlerweile wahrsch. fünfstellige Summen monatlich und hat bereits über 1000 TB Daten gespeichert. Da kann man schon von öffentlichem Interesse reden, was den Wunsch nach Offenheit mMn durchaus rechtfertigt. Und wenn der Typ nicht sehr reich ist kann das auch kein Eine-Person-Projekt (mehr) sein, und auch kein "Labor of Love".

Letztenendes gibt es einige starke Hinweise darauf dass der Betreiber, trotz früheren Verbindungen nach D-land, sich in Russland aufhält. Es werden, vom ggw. Angriff abgesehen, schon lange russische Analytics in jeden Aufruf eingebunden.

5-stellig halte ich persönlich für maßlos übertrieben.

What software do you run and how data is stored ?

The archive runs Apache Hadoop and Apache Accumulo. All data is stored on HDFS, textual content is duplicated 3 times among servers in different datacenters and images are duplicated 2 times. All datacenters are in Europe.

Ich behaupte, das lässt sich mit dem aktuellen Traffic im niedrigem 4-stelligen Bereich bewerkstelligen. Vielleicht sogar noch günstiger, wenn man die richtigen Tricks kennt.

Ich finde 1) blöd. Interessante und/oder wichtige Inhalte prallen damit an der feddit-Firewall (ich nenn’s mal so) ab, ohne dass irgendjemand weiß, warum. Möglicherweise weiß der Ersteller des Posts auch gar nichts von der Kontroverse um archive.ph.

2) finde ich nicht treffsicher genug. Durch direkte Links nach archive.ph wird weiterhin geDOSt.

3) scheint mir die beste Lösung zu sein. Der Programmieraufwand sollte sich in Grenzen halten (denke ich) und es wäre das zielgenaueste Instrument.

4) Ich würde auch alte Inhalte bereinigen. Was spricht dagegen?

ich mache ungern unwiderrufliche änderungen rückwirkend direkt in der datenbank, insbesondere über größere datenmengen.

aktuell haben wir z.b.

  • 23,907 posts in denen eine der domains in der beschreibung vorkommt
  • 15,680 posts in deren links eine der domains vorkommt
  • 6,306 kommentare in denen eine der domains vorkommt

edit: ich gehe dabei auch davon aus dass die älteren inhalte im laufe der zeit an bedeutung verlieren. mit maßnahmen für neue inhalte würden wir zumindest die zusätzliche verbreitung reduzieren.

ich gehe dabei auch davon aus dass die älteren inhalte im laufe der zeit an bedeutung verlieren.

stimmt zwar. Ich finde, wenn das Problem so wichtig ist, dass man in Erwägung zieht es programmatisch zu lösen, sollten auch alte Beiträge bereinigt werden. Die werden zwar höchstwahrscheinlich nur noch sehr selten aufgerufen, aber da macht es die Menge.

Du musst sie ja nicht löschen. Ersetze einfach archive.ph/link durch archive[.]ph/link und füge ganz ans Ende des Beitrags den Satz hinzu: „\n\nThe archive.ph link was automatically removed. See <Link zu einem Erklärungspost>“

ich habe auch schon darüber nachgedacht evtl in lemmy nen filter einzubauen der das nur in der repräsentation die wieder ausgegeben wird ändert, evtl. auf ne warnungsseite die erst nach bestätigung weiterleitet, aber zum einen ist das nicht so toll zu maintainen (evtl wird das mit dem lemmy 1.0 pluginsystem besser), und zum anderen wäre ich vermutlich der einzige im team der das maintainen könnte, was auch nicht ideal wäre. das hätte aber immerhin den vorteil dass die ursprünglichen daten nicht verändert würden.

Da regt sich der Philosoph in mir, der sich fragt, worin der Unterschied liegt zwischen einer veränderten Datenquelle und einer Repräsentation, die die Datenquelle für jeden Konsumenten anpasst.

es ließe sich einfach rückgängig machen wenn wir uns z.b. in zwei jahren entscheiden sollten dass wir das nicht mehr machen wollen weil z.b. dann seit 2 jahren keine angriffe mehr durchgeführt wurden und wir überzeugt wären dass das nicht wieder vorkommt oder zumindest die vorteile die risiken überwiegen.

Mal unabhängig davon, wie es ausgeht: was wäre denn eine Alternative für Archivlinks?

archive.org ist seriös https://de.wikipedia.org/wiki/Internet_Archive
Umgeht nur Paywalls leider nicht so schön.

Abgesehen vom schon lange existierenden archive.org (ich weiss, die sind in USA, ist problematisch, aber die Org selbst ist mMn vertrauenswürdig) gibt es noch ghostarchive.org als selbsthostbare Alternative. (hmmm, Föderierung möglich? 🤔)

Gibt es eigentlich ein Update hierzu? Der Beitrag ist ja schon 17 Tage alt und immer noch angepinnt.

Hab ich mich auch eben gefragt. Habs im Team angeregt

Ich bin für 2. oder 3. und hasse es, dass es noch schwieriger wird, wichtigen Inhalt zu konservieren.

Wenn die Seite wirklich bößartig ist, sollten auf jeden Fall keine Links darauf führen. Sowohl neue, als auch bestehende Links sollten entfernt werden. Den Client als DDoS-bot zu missbrauchen ist schon schlimm genug, aber wer weiß wie lange es dauert bis tatsächlich persistente Malware verteilt wird... Option 3 ist m.E. am sinnvollsten, weil der Benutzer eine konkrete Info erhält.

If the site is truly malicous, it should absolutely not be linked to. Both new as well as existing links should be purged. Using the visiting client as DDoS-bot is bad in its own right, but it's just a matter of time until visitors might get infected with persistant malware. Option 3 seems to be the most reasonable, as the user will get an information why the site is malicous.

Ich tendiere zu 2.
Was machen wir, wenn er eine neue Archiv url aufsetzt, weil die alten "verbrannt" sind?

Edit: kann man eine sprechende Fehlermeldung ausgeben, wenn die Erstellung lokal geblockt wurde?

zum edit: leider können wir die genaue fehlermeldung nicht anpassen.

die fehlermeldungen an der stelle sind:

  • URL is blocked on this instance
  • Text contains a slur which is blocked by this instance

Dann würde ich in der / den Seitenleisten darauf hinweisen. Das verhindert Frust

die liste lässt sich problemlos anpassen

Würden wir es überhaupt mitbekommen, oder ist jetzt jede archive.xxx verdächtig?

wir würden nur bestätigte Domains blocken. Die sind ja einfach zu erkennen wenn man sie anguckt. Neue Domains müssten vermutlich erst von jemandem gemeldet werden.

Ich bin zwiegespalten:

  1. Es ist natürlich völlig nicht ok, wenn hier Links gepostet werden, die User zum Teil eines DDOS machen
  2. Das hat höchstwahrscheinlich auch eine rechtliche Komponente. Keine Ahnung, wie das in Österreich ist, aber als geDDOSte Seite dürfte es in Deutschland ein recht klarer Fall sein.
  3. Das dürfte theoretisch auch grundsätzlich für diese Umgehungslinks gelten. Ich warte eigentlich nur drauf, dass ein Medienunternehmen seine Anwälte losschickt und die Umgehung der Paywall abmahnen lässt. Vllt. nicht hier, aber bei Reddit in /r/de wird das ja sogar per Bot erzwungen und/oder die Leute posten den Volltext als Kommentar und das in einem der größten deutschen Foren, welches definitiv den Medienunternehmen bekannt ist
  4. Aber, ganz großes Aber: Diese Archiv-Links sind in Paywall-Zeiten leider eine kritische Infrastruktur und leider, leider nötig. Natürlich wird hier keiner ein Abo der Neuen Osnabrücker Zeitung abschließen, nur um einen eingereichten Artikel zu lesen. Paywalls knallen auch unterschiedlich rein, nach Zeit, Abrufen, gelesenen Artikeln pro Monat, Geoposition. Das führt dann am Ende dazu, dass es keine Kommentare gibt, dass wieder nur die Überschrift kommentiert wird oder dass die Kommentare aus diesem höchst nervigen Paywall-Gemotze bestehen

Wäre derzeit für 3. Das würde für die wenigsten Komplikationen sorgen. Und die Benachrichtigung über den Grund per PN halte ich für eine gute Idee. Die Leute wissen dann wenigstens, warum ihr Beitrag nicht auftaucht.

Inzwischen ist das Thema auch bei Heise aufgeschlagen.

Wikipedias Request for Comments: https://en.wikipedia.org/wiki/Wikipedia:Requests_for_comment/Archive.is_RFC_5

das englische Wikipedia hat archive.today komplett ausgelistet.
Artikel auf Heise zum Thema

Option 3 scheint mir für die Nutzer am transparentesten zu sein, daher würde ich dafür stimmen. Ich bin aber noch nie mit dem URL-Filter oder Beleidigungsfilter in Berührung bekommen, bekommen Nutzer denn irgendein Feedback, wenn sie etwas posten/kommentieren, bei dem diese Filter greifen? Also z.B. "diese Domain ist auf unserer Blacklist"?

Eigentlich ist Option 3 auch nicht transparent, da Nutzer ja auch nicht benachrichtig werden, wenn ihre Kommentare oder Posts wegmoderiert werden, aber das wird wenigstens dokumentiert.

tl;dr: Option 1.

Warum? Zu dem Problem gibt es mehrere Perspektiven.

Meine persönliche lässt sich mit "NYPA" ganz gut zusammenfassen. Ich will nicht für einen Kleinkrieg zwischen zwei Institutionen benutzt werden - schon gar nicht, ohne mein Einverständnis. Seitdem ich also über die Problematik bescheid weiß, besuche ich keine der genannten archive.[*] URLs oder teile Content darüber.

Aus dieser Perspektive kann ich argumentieren, dass ich selber entscheiden kann, ob ich auf eine der URLs draufklicke. Option 4 "Keine Maßnahmen ergreifen" fehlt nur leider in der Liste.

Das ist auch verständlich, da es noch die Community-Perspektive gibt. Als Admin und Mod hat man Verantwortung für seine Schäfchen und sollte auch individuelle Entscheidungen vorwegnehmen. Orientiert man sich an (eine der vielen Versionen) der Netiquette erkennt man ganz klar Verstöße gegen die Einhaltung von technischen Standards und erwünschten, zwischenmenschlichem Verhalten. Vor dem Hintergrund der Schwere des Verstoß halte ich es für angebracht, sämtliche neuen Beiträge zu mit Referenzen zu archive.[*] zu verbieten. Hier käme also nur Option 1 in Betracht.

Gemäß der Spock'schen Regel (The lives of the many outweigh the lives of the few) lande ich am Ende meiner Argumentation also bei Option 1.

Warum nicht Option 2? Option 1 erscheint mir kalkulierbarer - auch für andere Instanzen.

Warum nicht Option 3? Man sollte das Zeug erst gar nicht reinlassen. Wenn man es vor dem Posten filtern kann - warum nicht?

Wenn ich das richtig verstanden habe, bezrifft Option 1 nur das URL-Feld und Option 2 nur das Textfeld, es erscheint mir also sinnvoll, beide Optionen zu kombinieren.

Option 1 betrifft auch Links in Texten, sofern diese als Links erkannt werden. Sowas wie https://archive.org/z.B.

Du hast recht - das habe ich übersehen.

Allerdings muss man da auch aufpassen, nicht ganze diskussionen über dieses Thema zu ersticken mit einem zu scharfen Filter.

Es wird noch schlimmer: es sieht so aus, als würde das Archiv manipuliert werden.

https://mathstodon.xyz/@11011110/116104534242592536

Hat Heise auch in einem Artikel erwähnt, weil die englischsprachige Wikipedia sich auch deshalb von der Nutzung von Archive . today trennt.

Option 3, alles was die Föderation behindert und für die Nutzer nur sehr schwer nachfolziehbar ist, ist meiner Meinung nach keine gute Lösung.

also? was letzte meinung?

Musste mich erst einmal in die Texte reinfuchsen, aber jetzt habe ich verstanden. Mache es kurz: bin für Maßnahmen 1,2 und 3. Gewährleistet vollständig den Schutz der Community vor problematischen Inhalten meiner Meinung nach.

archive[.]vn ist auch eine der Domänen. Macht also .today, .is, .ph, .fo, .li, .vn. Noch mehr?

Ich selber rufe nix auf ohne uBO. Kann mir als Laien mal wer erklären was da abläuft und vor allem gegen wen sich der DDOS derzeit richtet?

Ein kleiner Blog welcher einen Beitrag über die Archive.is etc. veröffentlicht hat.

Mit einem aktiven Aufruf der verschiedenen Archive Seiten (ohne unlock) trägst du zu 3 Requests/Sec auf den Blog bei:

setInterval(function() {
     fetch("https://gyrovague.com/?s" + Math.round(new Date().getTime() % 10000000), {
       referrerPolicy: "no-referrer",
       mode: "no-cors"
     });
   }, 300);

Was hat es mit der angegriffenen Seite so auf sich, gibts schon etwas zum Motiv des Täters?

Nur eben dieser eine kritische Artikel über Archive(.)is etc.

Braucht man bei uBo einen bestimmten Filter oder is das bei den Standartfiltern dabei

Ist direkt schon bei Standartfiltern dabei. Wobei ich den DDOS Code aktuell auch gar nicht mehr finde auf der archive Seite. 🤔

Es passiert immer noch.

Generell werde ich darauf hinweisen die betreffenden Seiten nicht mehr zu benutzen und Links zu ändern. Es muss jedoch gemeldet werden, da wir nicht überall sind.

Gibt es ne Möglichkeit, die Links als Beitrag zu sperren und, wenn sie in einem Textfeld gepostet werden, dass sie zu einer sicheren Variante ala archive[.] today umgewandelt werden?

Dazu sollte eventuell bei jedem solchen Link eine Warnung automatisch gepostet werden, wenn es dazu nen fähigen bot gibt.

Ansonsten #3

Lässt sich der Link auch einfach automatisch splitten, sodass daraus zum Beispiel arc ive . ph/blabla wird? Dann wären wichtige Inhalte immer noch aufrufbar

Das hilft nicht gegen das Problem, dass mein Browser für ein DDoS missbraucht wird, wenn ich die Seite besuche. Und feddit.org würde diese DDoS-Angriff weiter durch Verbreitung der Links wissentlich unterstützen.

Dann besuch die Seite nicht ¯\_ (ツ) _/¯

Ok, ich versuche es nochmal: Wer eine der genannten Seiten besucht, nimmt damit an einem DDoS Angriff des Seiteninhabers auf ein mir unbekanntes Ziel teil. Die Administratoren unserer Heimatinstanz wollen sich an diesen Angriffen nicht beteiligen, indem sie die Links weiterverbreiten - erstens weil DDoS böse, und zweitens ein bisschen strafbar. Daher suchen sie die beste Möglichkeit, Links auf die archive.today & friends Seiten zu bannen. Eine einfache Verschleierung ist kein Bann.

Naja, aber eine einfache [archive]/RestDesLinks Ersetzung sollte doch das beste aus beiden Welten vereinen: Die Links sind nicht klickbar und können nur von Eingeweihten genutzt werden, welche hoffentlich das Skript über uBlock oder ähnliches blocken. Aus meiner Sicht sollte man da auch rechtlich fein raus sein.

Didn't the US demand information about the owner recently from Canada? What are the chances this is a CIA op so US propaganda media moguls can paywall content?

That said, it's your instance. Do what you want.

@Maeve In November, the FBI did subpoena information about archive.today from Tucows, which is based in Canada but incorporated in the US. There has so far been no evidence connecting subpoena to this, despite initial speculation.

In what way is this a CIA op? As in the CIA hacked archive.today, or as in the malicious code didn't exist in the first place and everyone reporting on its existence is lying?

In the latter case, no. Multiple independent people have confirmed the existence of the malicious code, including Evan Boehs, a member of the uBlock Origin team, an employee for the adblocking company AdGuard, another member of the uBlock Origin team who I think lives in Japan, and multiple people on Y Combinator. And I have independently verified the existence of the malicious code.
The malicious code isn't 100% consistent with when it appears - I have gotten the CAPTCHA page but no malicious code - but it can be reproduced fairly reliably when accessing the website via Tor.

In emails which I have published on this account, the owner of archive.today has admitted they added the malicious code, and confirmed they added the malicious code in response to the article on gyrovague.com, which they say doxes them.

https://infosec.exchange/@iampytest1/115905846553756281

I contacted the official email on archive.today's website - the same email is on all of their websites and has been in use for years. The email used to respond is a known alias of the owner, and uses a domain owned by the owner. Sure, I can't prove I didn't just fake those emails. If you really think I did, then email the owner yourself and ask them.
But also, why would I fake the emails? What do I stand to gain? Fame? My original post already had gotten plenty of attention. Money? I don't profit from discrediting archive.today, and anyway I didn't need those emails to do it. Revenge? I had no grudge against archive.today. Is the CIA hiring unpopular crackpot shitposters now?

More broadly, why would the CIA want to help US media companies fight paywall circumvention? Right now, the US administration is attacking the press, not trying to help it.
And why would the CIA resort to this? Why not just hack archive.today and take it down? Or just find the owner and kill them? People have found their address using OSINT; surely the IC can find them. Why even subpoena information from Tucows if you have already hacked archive.today?
If the CIA and major media organizations were involved in a conspiracy to discredit archive.today, why has no media ever covered this? A single article on NPR or Fox News would get far more coverage than a random post on Hacker News and a few people on Mastodon.

I have been investigating into this case for weeks, and there is zero evidence that the CIA or US is in any way involved in this.

Sure, maybe I'm secretly working for the CIA, and the CIA has engaged in a 5 year long undercover operation to promote adblockers and Python.

Please calm down, I am not accusing you of anything. I'm saying the CIA probably implemented the code and are using it to go after dissidents.

https://www.kenklippenstein.com/p/ices-secret-watchlists-of-americansfrom https://news.abolish.capital/post/23552

@Maeve Again, what evidence do you have? Neither of the links you provided support your claims, and moreover neither are reliable sources (though the existence of ICE's database has been confirmed by reliable sources).

The owner has admitted they added the code. Are you saying the owner is the CIA? Then why would this be "a CIA op so US propaganda media moguls can paywall content"?

What information of value would the CIA get from an archive? And why add the DDoS code? What value would they have trying to take down - and in doing so drawing attention to - Jani's blog post? The only explanation would be that they want attention drawn to the post because it is wrong about who owns archive.today, but Jani's conclusions have been confirmed by several subsequent investigations, none of which have ever shown any connection between archive.today and the US government.

I can't disprove the CIA is involved, but the most logical explanation - which is supported by the evidence - is that archive.today is run by a single person or small group, and that person is angry about the blog post and wants to get attention. It isn't a perfect explanation, but there isn't a better one which is supported by the evidence.
There have been at least four investigations into archive.today ranging from 2020 to 2025 by bloggers, OSINT experts, and professional private investigators; I have reviewed all of them, and none support a connection with the USG.

The owner has admitted they added the code. Are you saying the owner is the CIA? Then why would this be "a CIA op so US propaganda media moguls can paywall content"?

I misread, I will reread your post now.

Fat finger deleted my other reply. I'm sorry I misread your post. I've only been nominally paying any attention to this, being more focused on the immediate threat of fascism currently threatening the globe. After rereading I did a quick search and turned up this: https://www.cathinfo.com/computers-and-technology/fbi-tries-to-unmask-owner-of-infamous-archive-is-site/

My next question is who is/are the owners/operators of gyrovague, who do they work for and the obvious question of why they're doing this is probably answerable from those. OP certainly has a guess. 🙃

That said, it's your instance. Do what you will shall be the whole of the law.

@Maeve Firstly, I want to apologize for my aggressive and mocking tone in my earlier messages. That was inappropriate. Furthermore, I misread your post as an accusation against me, which it wasn't, and was unnecessarily defensive. That also was inappropriate of me.

Secondly, no worries about the misreading.

gyrovague is owned by Jani Patokallio. Their bio says they work for Google, though I don't know if it is up-to-date. Their blog says they live in Australia but their website says "jani patokallio, somewhere in asia". My best guess is one is outdated and the other isn't; the blog last posted in February 2025 and never has been very active, so the biography there might be outdated.
When asked why they wrote the blog post, Jani stated:

I was just curious, since it's quite remarkable how huge archive.today is, how widely it's used, and how little we know about it.

https://news.ycombinator.com/item?id=46629573

The article itself never explicitly provides a reasoning, only stating the author used to believe archive.today was owned by the Internet Archive, and claiming they harbor no ill will towards the owner of archive.today. It is somewhat out of place, given the content of the other posts.

Jani Patokallio isn't the first or only person to look into archive.today, though their article is the most well known, even being cited on Wikipedia.

In any case, while my posts are cited by the OP, I had no role in freddit's decision and was not aware of it until your post.

Thank you for your apologies, I accept with deep gratitude and appreciation. I harbor no ill will, and actually feel quite silly for having forgotten reading about this some months ago. As I said on the deeply hated and distrusted lemmygrad when questioning who owns that site, there, "the firehouse firehose of shit is working [Bannon's advice to Trump was a constant barrage -- "firehose of shit"].

Also deep thanks and appreciation for additional information on gyrovague. I retain my tinfoil hat and the deep-seated suspicion that the US feds are involved up past their badly-coifed and bald pates. May the cosmos smile upon you.