Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Berechtigungssystem von Hubzilla verstehen - RELOADED

Begriffe / Begriffsbestimmungen

Wer?

Hubzilla ermöglicht es verschiedenen Nutzern unterschiedliche Dinge zu tun, auf unterschiedliche Art und Weise mit unserem Kanal zu interagieren. Aber wer sind denn diese Nutzer, wie werden sie unterschieden?

Es gibt acht Nutzerarten, die von Hubzilla unterschieden werden:

  1. Jeder im Internet: Das ist die Gesamtheit aller, die mit irgendeinem Client-Programm im Internet unterwegs sind. In der Regel sind dies Webbrowser, man kann aber auch mit anderen Anwendungen auf Inhalte im Internet zugreifen, bis hin zum grundlegenden Zugriff mittels Kommandozeilentools wie z.B. wget oder curl. Das bedeutet, dass es wirklich jedem im Internet erlaubt ist, auf Ressourcen unseres Kanals zuzugreifen. Er muss über keinen Fediverse-Account verfügen, sondern kann unsere Ressource auch direkt über die Eingabe einer URL abrufen, z.B. indem er unsere Kanalansicht channel/\<kanalname\> aufruft und die öffentlichen Postings unseres Kanals präsentiert bekommt.

  2. Jeder authentifizierte: Hiermit sind alle erfasst, welche über einen Fediverse-Account verfügen, in ihrem Dienst eingeloggt sind und nun aus ihrem Stream / ihrer Timeline auf unsere Inhalte zugreifen möchten.

  3. Alle Hubzilla-Mitglieder: Dies ist eine Einschränkung gegenüber Nr. 2. Der Zugriff ist nur mit einem Hubzilla-Kanal möglich. Wer also über einen Account bei einem Hub verfügt und über einen eigenen Kanal, kann, wenn er eingeloggt ist, auf Inhalte aus seinem Stream heraus zugreifen. An dieser Stelle greift dann auch Open WebAuth (OWA) und, wenn die Inhalte entsprechend veröffentlicht wurden, sogar Magic Auth (die automatische Berechtigungserteilung über Token). Die Beschränkung bezieht sich auf das Protokoll. Deshalb fallen auch (streams) Kanäle darunter, weil diese mittels Nomad/Zot6 mit Hubzilla kommunizieren.

  4. Jeder auf dieser Webseite: Hier nun eine Einschränkung gegenüber Nr. 3. Während bei Nr. 3 jeder Hubzilla-Nutzer (Account-/Kanal-Inhaber) auf unsere Inhalte zugreifen kann, wird der Kreis der Berechtigten weiter eingeschränkt, nämlich auf Hubzilla-Nutzer, die einen Account und Kanal nutzen, der auf dem selben Hub liegt, wie unserer.

  5. Beliebige Verbindungen: Dies ist eine weitere Einschränkung gegenüber Nr. 2. Es genügt nicht, über einen beliebigen Fediversedienst, nicht über einen beliebigen Hubzilla-Kanal, ja nicht einmal über einen Hubzilla-Kanal auf dem eigenen Hub zu verfügen. Der Zugriff ist auf alle beschränkt, zu denen eine Verbindung besteht. Dabei ist es unerheblich, ob der Nutzer über einen Hubzilla-Account verfügt, oder über einen Account bei einem anderen beliebigen Fediverse-Dienst. Erheblich ist, dass eine Verbindung zu dem Account/Kanal besteht.

    Achtung: Bei Hubzilla basieren Verbindungen grundsätzlich auf Gegenseitigkeit. Es gibt zunächst einmal nicht die Unterscheidung in Follower und Followed. Eine Verbindung ist zunächst einmal beides. Man folgt einem anderen und dieser folgt einem ebenfalls. Die Nutzergruppe „Beliebige Verbindungen“ gilt aber auch schon für noch nicht angenommene Verbindungen, solange diese nicht gelöscht wurden.

  6. Angenommene Verbindungen: Hier besteht nun eine Einschränkung gegenüber Nr. 5. Diese Berechtigung gilt nur für "echte" Verbindungen im Sinne von Hubzilla, also um wechselseitige Verbindungen (Follower und Followed).

  7. Nur die, denen Du es explizit erlaubst: Dies ist die restriktivste Berechtigung. Sie ist auf "echte" Verbindungen, also auf angenommene Verbindungen beschränkt und erfordert eine explizite Berechtigung über die jeweilige Kontaktrolle, welche man der Verbindung zugeordnet hat, oder eine explizite Berechtigungserteilung über die Berechtigungs-Einstellungen des jeweiligen Inhalts. Wir müssen den Zugriff also explizit erlauben.

  8. Nur ich: Bei der letzten Berechtigung handelt es sich letztlich gar nicht wirklich um eine Berechtigung, denn kein weiterer ist berechtigt, auf die Ressource zuzugreifen. Es ist nur uns persönlich gestattet und möglich.

Open WebAuth / MagicAuth

Teilt man Inhalte mit eingeschränkter Zugriffsberechtigung, muss sich der Empfänger für den Zugriff authentifizieren. Dies geschieht in Hubzilla mit der Open WebAuth (OWA) Funktionalität, und zwar überwiegend mittels MagicAuth. Dabei wird automatisch ein Authentifizierungs-Token mitgeschickt, welches die Berechtigung bestätigt.

Open WebAuth funktioniert auch im Zusammenspiel mit Tootik, Friendica, (streams) und Forte.

Was?

Hubzilla ermöglicht es verschiedenen Nutzern unterschiedliche Dinge zu tun, auf unterschiedliche Art und Weise mit unserem Kanal zu interagieren. Wer die Nutzer sind, haben wir gerade erfahren. Aber was sind die Dinge, welche diese Nutzer tun können, welche Interaktionen sind ihnen möglich?

  1. Kann meinen Kanal-Stream und meine Beiträge sehen: Dies ermöglicht es, dass andere Nutzer unseren Kanalstream betrachten können und unsere öffentlichen Beiträge sehen und in der eigenen Timeline / dem eigenen Stream angezeigt bekommen.
  2. Kann mir die Beiträge aus seinem Kanal schicken: Damit nehmen wir Postings des anderen Nutzers in unseren Stream auf. Seine Beiträge werden uns angezeigt.
  3. Kann mein Standardprofil sehen
  4. Kann meine Verbindungen sehen
  5. Kann meine Datei- und Bilderordner sehen: Diese Berechtigung ist erforderlich, damit andere Nutzer unsere Cloud sehen können und auch Dateien aus der Cloud, auf welche wir in unseren Beiträgen verweisen bzw. welche wir in unsere Beiträge einbetten (Bilder, Videos...). Ggf. kann diese Berechtigung mittels OCAP (siehe Teil 2) überschrieben werden. Verzeichnisse und Dateien dürfen vom Ersteller sogar dort gelöscht werden.
  6. Kann in meine Datei- und Bilderordner hochladen/ändern: Damit erlauben wir es dem Nutzer, Dateien in unsere Cloud hochzuladen, sowie vorhandene Dateien zu ändern. Das ist eine Berechtigung, die mit Bedacht nur an vertrauenswürdige Verbindungen vergeben werden sollte. (Benötigt OWA)
  7. Kann die Webseiten meines Kanals sehen Achtung: Das gilt auch für Artikel und Karten. Hier steht dann in den Berechtigungs-Einstellungen auch „Öffentlich“ nicht zur Wahl.
  8. Kann meine Wiki-Seiten sehen
  9. Kann Webseiten in meinem Kanal erstellen/ändern: Ähnlich wie bei den Cloud-inhalten, erteilen wir damit die Berechtigung, Webseiten in unserem Kanal zu erstellen, zu verändern oder zu löschen. Auch hier sollte man wieder gut überlegen, ob, und wenn ja, wem man diese Berechtigung erteilt. (Benötigt OWA) Achtung: Das gilt auch für Artikel und Karten.
  10. Kann meine Wiki-Seiten bearbeiten: Damit ermöglichen wir eine echte Wiki-Arbeit, also eine gemeinschaftliche Bearbeitung der Wiki-Inhalte.
  11. Kann auf meiner Kanal-Seite (“wall”) Beiträge veröffentlichen (Benötigt OWA) Siehe hierzu die Erläuterungen aus dem dritten Hubzilla Workshop.
  12. Darf meine Beiträge kommentieren und mögen/nicht mögen (Grundlegende Antwortenkontrolle)
  13. Kann mir direkte Nachrichten schicken
  14. Kann Profile und Profilsachen mögen/nicht mögen (Benötigt OWA)
  15. Kann mit mir chatten
  16. Kann meine öffentlichen Beiträge in anderen Kanälen zitieren/spiegeln: Damit werden Kontakte dazu berechtigt, den eigenen Kanal als Kanalquelle zu verwenden und damit die eigenen Beiträge automatisiert weiterzuleiten.
  17. Kann meinen Kanal administrieren: ACHTUNG! Überlegt Euch gut, was Ihr tut und wem Ihr dieses Recht zugesteht.

Die Stufen des Berechtigungssystems / das Whitelist-Prinzip

Das Berechtigungssystem von Hubzilla beruht auf einer Art Whitelist-System (auch Positivliste genannt). Grundsätzlich ist zunächst anderen Personen (Fediverse-Nutzer oder sogar reine Internet-Nutzer ohne Fediverse-Account) alles verboten. Mittels zweier Whitelist-Stufen können wir dann bestimmten Benutzern oder Benutzerkreisen Berechtigungen erteilen.

Es gibt zwei Positiv-Listen bei Hubzilla: die Kanalrolle und die Kontaktrolle.

Die Kanalrolle ist die grundlegende Whitelist unseres Kanal, wie der Name schon nahelegt, und somit die erste Stufe des Berechtigungssystems. Die durch die Kanalrolle erteilten Berechtigungen werden an alle Kontaktrollen vererbt. Alles, was wir in der Kanalrolle erlauben, kann durch Kontaktrollen nicht wieder verboten werden. Es ist lediglich möglich, bestimmten Nutzern weitere Erlaubnisse zu erteilen. Dies geschieht dann mit den Kontaktrollen, der zweiten Stufe des Berechtigungssystems.

Die dritte Stufe des Berechtigungssystems sind schließlich die Berechtigungs-Einstellungen (/ ) für einzelne Inhalte. Man könnte meinen, dass man hiermit das Prinzip der Positivliste überschreibt, es ist aber, wenn man es genauer betrachtet nicht so. Einerseits gilt es nur für einzelne Inhalte (oder Inhalts-Hierarchien) und andererseits setzt man damit keine einzelnen Berechtigungen der beiden ersten Stufen außer Kraft, sondern sämtliche. Wählt man in den Berechtigungs-Einstellungen statt "Öffentlich" oder der Standard-Privacy-Gruppe (diejenige, in welche automatisch gepostet wird und die bei allen Kanälen als "Freunde" vorhanden ist, selbst wenn die App Privacy Groups gar nicht explizit installiert wurde), andere Berechtigungen für den Zugriff, wird der Zugriff zunächst für alle (außer einem selbst) verboten. Durch die Auswahl von Gruppen oder einzelnen Verbindungen (die Berechtigungs-Einstellungen funktionieren nur mit "angenommenen Verbindungen") gestattet man es dann bestimmten Verbindungen, auf den Inhalt zugreifen zu können. Man erstellt eine individuelle Whitelist für den bestimmten Inhalt bzw. die bestimmte Inhaltshierarchie.

Die Kanalrolle

Die Basis des Berechtigungssystems eines Kanals ist die Kanalrolle. Jeder Kanal verfügt über eine solche Rolle. Man muss sich beim Erstellen eines Kanals auf eine entsprechende Kanalrolle festlegen.

Kanalrolle: "Öffentlich"

Die Kanalrolle "Öffentlich" ist eine vom System vorkonfigurierte Kanalrolle, die ein weitestgehend öffentliches Agieren in Grid und Fediverse ermöglicht.

Hinweis: Die vorkonfigurierten Kanalrollen "Öffentlich", "Persönlich" und "Community Forum" erlauben es nicht, einzelne Berechtigungen zu verändern. Es besteht keine Möglichkeit, diese (das "Was?") zu editieren (das "Wie?" zu ändern).

Die von der Kanalrolle "Öffentlich" vergebenen Berechtigungen werden an "Jeder im Internet" vergeben. Es sind:

  • Kann meinen Kanal-Stream und meine Beiträge sehen
  • Kann mein Standardprofil sehen
  • Kann meine Verbindungen sehen
  • Kann meine Datei- und Bilderordner sehen
  • Kann die Webseiten meines Kanals sehen
  • Kann meine Wiki-Seiten sehen
  • Darf meine Beiträge kommentieren und mögen/nicht mögen
  • Kann mir direkte Nachrichten schicken
  • Kann Profile und Profilsachen mögen/nicht mögen
  • Kann mit mir chatten

Kanalrolle: "Persönlich"

Die Kanalrolle "Persönlich" ist eine vom System vorkonfigurierte Kanalrolle, die ein etwas beschränkteres Agieren in Grid und Fediverse ermöglicht.

Die von der Kanalrolle "Persönlich" vergebenen Berechtigungen werden an "Jeder im Internet" vergeben. Es sind:

  • Kann meinen Kanal-Stream und meine Beiträge sehen
  • Kann mein Standardprofil sehen
  • Kann meine Datei- und Bilderordner sehen
  • Kann die Webseiten meines Kanals sehen
  • Kann meine Wiki-Seiten sehen

Kanalrolle: Community Forum

Die Kanalrolle "Community Forum" ist eine vom System vorkonfigurierte Kanalrolle, die einen Kanal zu einer Art Internet-Forum bzw. zu einer Kommunikations-Gruppe macht. Beiträge, die in den Foren-Kanal geschrieben werden, werden an alle Verbindungen des Kanals verteilt.

Die von der Kanalrolle "Community Forum" vergebenen Berechtigungen werden an "Jeder im Internet" vergeben. Es sind:

  • Kann meinen Kanal-Stream und meine Beiträge sehen
  • Kann mein Standardprofil sehen
  • Kann meine Verbindungen sehen
  • Kann meine Datei- und Bilderordner sehen
  • Kann die Webseiten meines Kanals sehen
  • Kann meine Wiki-Seiten sehen

Kanalrolle: Benutzerdefiniert

Die Kanalrolle "Benutzerdefiniert" ist eine vom System vorkonfigurierte Kanalrolle, bei welcher die Möglichkeit besteht, jede einzelne Berechtigung zu verändern. Man kann die Berechtigungen in den Privacy-EinstellungenBenutzerdefinierte Konfiguration der Channel Role bearbeiten.

Die von der Kanalrolle "Benutzerdefiniert" vergebenen Berechtigungen werden an "Jeder im Internet" vergeben. Es sind:

  • Kann meinen Kanal-Stream und meine Beiträge sehen
  • Kann mein Standardprofil sehen
  • Kann meine Verbindungen sehen
  • Kann meine Datei- und Bilderordner sehen
  • Kann die Webseiten meines Kanals sehen
  • Kann meine Wiki-Seiten sehen

Alle anderen Berechtigungen sind auf "Nur die, denen Du es explizit erlaubst" gesetzt.

Die Kontaktrollen

Die zweite Stufe des Berechtigungssystems sind die Kontaktrollen. Für jede Kanalrolle gibt es eine eigene, speziell konfigurierte Kontaktrolle: Standard. Diese ist zunächst auch so konfiguriert, dass sie allen neu hinzugefügten Verbindungen automatisch zugewiesen wird (dieses Verhalten lässt sich auch nur ändern, wenn man die App "Contact Roles" über die App-Verwaltung im App-Menü verfügbar macht). Sie räumt Verbindungen weitere Berechtigungen ein, die über die von der Kanalrolle an "Alle im Internet" vergebenen Berechtigungen hinausgehen.

Standard-Kontaktrolle für die Kanalrolle "Öffentlich"

Für die Kanalrolle "Öffentlich" sieht die Kontaktrolle vor, dass zusätzlich zu den ohnehin eingeräumten Berechtigungen für alle, Kontakte auch noch folgende Berechtigungen erhalten:

  • Kann mir die Beiträge aus seinem Kanal schicken
  • Kann auf meiner Kanal-Seite (“wall”) Beiträge veröffentlichen
  • Kann meine öffentlichen Beiträge in anderen Kanälen zitieren/spiegeln

Das führt zu einem Verhalten, welches am ehesten von einem öffentlichen Social-Network Account erwartet wird.

Standard-Kontaktrolle für die Kanalrolle "Persönlich"

Für die Kanalrolle "Persönlich" sieht die Kontaktrolle vor, dass zusätzlich zu den ohnehin eingeräumten Berechtigungen für alle, Kontakte auch noch folgende Berechtigungen erhalten:

  • Kann mir die Beiträge aus seinem Kanal schicken

Dies ist eine etwas restriktivere Variante und verbessert die Selbstbestimmung gegenüber einem typischen öffentlichen Social-Network Account.

Standard-Kontaktrolle für die Kanalrolle "Community Forum"

Für die Kanalrolle "Community Forum" sieht die Kontaktrolle vor, dass zusätzlich zu den ohnehin eingeräumten Berechtigungen für alle, Kontakte auch noch folgende Berechtigungen erhalten:

  • Kann auf meiner Kanal-Seite (“wall”) Beiträge veröffentlichen

Dies ermöglicht erst die Foren-Funktionalität, weil das Veröffentlichen von Beiträgen über die Wall-to-Wall Posting Funktion erfolgt.

Standard-Kontaktrolle für die Kanalrolle "Benutzerdefiniert"

Für die Kanalrolle "Benutzerdefiniert" sieht die Kontaktrolle vor, dass zusätzlich zu den ohnehin eingeräumten Berechtigungen für alle, Kontakte auch noch folgende Berechtigungen erhalten:

  • Kann mir die Beiträge aus seinem Kanal schicken

Das entspricht der Standard-Kontaktrolle für die Kanalrolle "Persönlich".

Kontaktrollen verwalten und benutzen

Um weitere, eigene Kontaktrollen zu erstellen bzw. zu editieren oder zu löschen, muss man die automatisch bei Kanalerstellung installierte App "Contact Roles" im App-Menü zugänglich machen. Das erledigt man, indem man über "+ Apps" im App-Menü in der Gruppe der installierten Apps das Sternchen bei der App "Contact Roles" aktiviert. Anschließend kann man die App im App-Menü aufrufen.

Es wird zunächst das leere Formular für das Erstellen einer neuen Kontaktrolle angezeigt. Dabei fällt auf, dass es für einige Berechtigungen zwei Auswahlkästchen gibt. Zusätzlich zum normalen Kästchen eines in roter Schrift:

Dies sind die Berechtigungen, welche von der Kanalrolle vorgegeben sind. Hier zeigt sich, dass man die Berechtigungen von dieser Positivliste in einer Kanalrolle nicht wieder entziehen kann. Sie sind in jeder Kontaktrolle als "Erbe" vorgegeben.

Die schwarzen Auswahlkästchen erlauben es nun, zusätzliche Berechtigungen für Verbindungen einzuräumen, indem man ein Häkchen setzt.

In der Seitenleiste werden die vorhandenen Kontaktrollen aufgelistet. Die Kontaktrolle "Standard" existiert immer und diese kann auch weder gelöscht, noch verändert werden.

Wählt man diese Rolle in der Seitenleiste aus, so werden die Berechtigungen für die Standard-Rolle angezeigt:

Diese Kontaktrolle kann, wie gesagt, nicht bearbeitet werden.

Wählt man in der Seitenleiste den Menüpunkt "+ Neue Rolle hinzufügen", wird wieder das leere Formular angezeigt. Hier kann man nun eine eigene Kontaktrolle erstellen. Zum Beispiel eine, die noch weitergehende Berechtigungen für bestimmte Kontakte erteilt. Man muss einen Namen vergeben. Außerdem kann man festlegen, dass diese Rolle automatisch neuen Verbindungen zugewiesen wird. Wählt man diese Option, so wird sie, sofern sie in einer anderen Kontaktrolle bisher eingeschaltet war, in dieser ausgeschaltet. Die Option kann nur in einer einzigen Kontaktrolle aktiv sein.

Was macht man nun damit?

Nun stellt sich die Frage der konkreten Nutzung dieser Mechanismen. Was macht man damit, was kann man damit machen, wie weit geht die Steuerung der Berechtigungen, was macht das System so besonders?

Einfache Nutzung

Wer Hubzilla nur als ganz normalen Zugang zum Fediverse (oder zum Grid) nutzen möchte, ist mit den beiden Standard-Kanalrollen "Öffentlich" und "Persönlich" schon gut bedient, ohne etwas machen zu müssen.

Mit der Kanalrolle "Öffentlich" ist man am nächsten dran an einem "klassischen" Sozialen Netzwerk. Alles, was man postet oder teilt ist öffentlich und kann von jedem, der im Internet unterwegs ist, gesehen werden. Außerdem wird der Inhalt an alle Verbindungen verteilt, in deren Timeline/Stream er auch landet und dort auch teilen (Zitat-Posting) oder wiederholen (Boost), sowie Kommentare verfassen und ihn mögen bzw. nicht mögen.

Um das zu nutzen, muss der Einsteiger weder die Kontaktrollen-App "Contact Roles", noch die App "Privacy Gruppen" installieren/aktivieren bzw. benutzen. Der Kanal funktioniert wie erwartet.

Die Kanalrolle "Persönlich" ist ähnlich gut zu nutzen, hat aber ein paar Einschränkungen, die dem Kanal mehr Privatsphäre gibt. Auch ihn kann man verwenden, ohne "Contact Roles" oder "Privacy Gruppen" zu bemühen. Erster und entscheidender Unterschied ist, dass man Inhalte als Standard zunächst einmal nicht-öffentlich teilt. Alles wird nur an die eigenen Verbindungen verteilt. Der Inhalt ist auch nur für die Verbindungen zu sehen, obwohl die Kontaktrolle eigentlich sagt "Kann meinen Kanal-Stream und meine Beiträge sehen" = "Jeder im Internet". Das hängt mit den Privacy Gruppen zusammen und wird später in diesem Thema erläutert.

Teilen und Wiederholen durch Fremde aber auch Verbindungen sind, wie auch das Wall-to-Wall Posten nicht möglich.

Die Kontaktrollen kommen ins Spiel

Möchten wir weitere Berechtigungen unter einer Kanalrolle "Öffentlich" oder "Privat" einräumen, dann benötigen wir Zugriff zur App "Contact Roles". Es existiert immer eine Standard-Rolle, die bereits Berechtigungen erteilt, welche über die Berechtigungen aus der Kanalrolle hinausgehen. Sie kann aber nicht bearbeitet werden. Wir müssen dafür eine neue Kontaktrolle anlegen, welche – zusätzlich zu den generellen Berechtigungen aus der Kanalrolle – für Verbindungen die gewünschten Berechtigungen erteilt.

Eine Kontaktrolle ist immer diejenige, welche an alle neuen Kontakten vergeben wird. Neue Kontakte! Das bedeutet, wenn wir uns eine eigene Kontaktrolle erstellen und diese so konfigurieren, dass sie allen neuen Kontakten zugewiesen wird, so gilt das nur für künftige Verbindungen. Die bereits bestehenden Verbindungen behalten die alte Kontaktrolle. Um diesen, oder ggf. nur einem Teil der bereits bestehenden Verbindungen die neue Kontaktrolle zuzuweisen, muss man diese in der App "Verbindungen" zum Bearbeiten öffnen, wo dann diese Zuweisung möglich ist.

Hat man noch keine Privacy Gruppe eingerichtet und die App noch nicht zugänglich gemacht, existiert trotzdem eine Standard Privacy Gruppe mit dem Titel "Freunde". Dieser Gruppe werden alle Verbindungen automatisch zugefügt. Erstellen wir also eine neue Kontaktrolle und wollen diese zum Standard für alle Verbindungen machen, so schalten wir dort die Option, künftigen Kontakten diese automatisch zuzuweisen, an und weisen die neue Kontaktrolle einfach der Privacy Gruppe "Freunde" zu, in welcher ja alle bereits vorhandenen Verbindungen enthalten sind. Das erspart die Einzelzuweisung zu allen Verbindungen.

Kanalrolle "Benutzerdefiniert" als genaueste Berechtigungseinstellung

Wählt man die Kanalrolle "Benutzerdefiniert", hat man die Möglichkeit, jede einzelne Berechtigung für unterschiedliche Zielgruppen festzulegen. Mit unterschiedlichen Kontaktrollen, die ihrerseits unterschiedliche zusätzliche Berechtigungen erteilen, kann man für jede einzelne Verbindung genau die Berechtigungen festlegen.

Deshalb ist es bereits unmittelbar nach Einrichtung des Kanals sinnvoll, die einzelnen Berechtigungen einzustellen. Je nach Präferenz sollte man dabei möglichst zurückhaltend sein. Weitergehende Berechtigungen kann man dann individuell mit den Kontaktrollen erteilen.

Alles, was man nicht generell erlauben möchte, aber ggf. einzelnen oder Gruppen von Kontakten, setzt man dann auf "Nur die, denen Du es explizit erlaubst".

Privacy Gruppen: Helfer und Teil des Berechtigungssystems

Die Privacy Gruppen, die im ersten Teil schon mehrfach angesprochen wurden, haben eine Dreifachfunktion. Einmal kann man sie als eigenständigen Bestandteil des Berechtigungssystems sehen, dann dienen sie als Helfer für die Nutzung der Kontaktrollen und schließlich fungieren sie als Filter für den Stream.

Die App "Privacy Gruppen"

Die Funktionalität für Privacy Gruppen existiert in Hubzilla auch schon, ohne dass die App installiert ist. Wie bereits erwähnt, verfügt jeder neue Kanal über eine Privacy Gruppe mit dem Namen "Freunde".

Dass dem so ist, erkennt man aber nur daran, dass eine Privacy Gruppe in den Berechtigungs-Einstellungen (/ ) zu Inhalten auftaucht: "Privacy Gruppen  Freunde".

Installiert man die App "Privacy Gruppen", so wird damit letztlich nur die App zur Verwaltung von Privacy Gruppen installiert und zugänglich gemacht. Ohne die App hat man keine Möglichkeit, die eine Gruppe "Freunde" zu betrachten oder Mitglieder hinzuzufügen (ist unerheblich, weil jede neue Verbindung von Anfang an ohnehin automatisch der Gruppe "Freunde" zugewiesen wird) bzw. zu entfernen.

Ruft man die App nach der Installation auf, erscheint die Eingabemaske für das Erstellen einer neuen Privacy Gruppe.

In der Seitenleiste werden die existierenden Privacy Gruppen aufgelistet. Bei einem ganz neuen Kanal ist das, wie gesagt, die Gruppe "Freunde". Wählt man eine Gruppe aus, so werden die Parameter der Gruppe angezeigt und darunter die Verbindungen in zwei Spalten. In der linken Spalte alle Verbindungen, die nicht in der Gruppe enthalten sind. In der rechten Spalte alle Verbindungen, die Mitglied der Gruppe sind.

Bei einem Kanal der Rolle "Öffentlich" ist lediglich die Option "Neue Kontakte standardmäßig zu dieser Gruppe hinzufügen" bei der Standard-Gruppe "Freunde" aktiviert. Bei einem Kanal der Rolle "Persönlich" zusätzlich die Option "Standardmäßig in diese Gruppe posten". Das ist dafür verantwortlich, dass man bei einem persönlichen Kanal grundsätzlich nicht-öffentlich postet, sondern nur an alle seine Verbindungen. Möchte man mit einem persönlichen Kanal etwas öffentlich posten, muss man dies mit den Berechtigungs-Einstellungen ändern.

Um eine Verbindung, die noch nicht in der Gruppe enthalten ist, dieser hinzuzufügen, muss man lediglich auf die Verbindung in der linken Spalte klicken.

Anschließend ist die Verbindung aus der linken Spalte verschwunden

und in der rechten vorhanden

Um eine Verbindung aus einer Gruppe zu entfernen, verfährt man analog. Man klickt auf die zu entfernende Verbindung in der rechten Spalte, worauf diese dort verschwindet und wieder in der linken Spalte erscheint.

Privacy Gruppen als Bestandteil des Berechtigungssystems / Berechtigungs-Einstellungen

Privacy Gruppen sind Bestandteil der dritten Ebene des Berechtigungssystems, der Berechtigungs-Einstellungen. Die Berechtigungs-Einstellungen, die man bei den Editoren für Inhalte findet, ermöglichen das Teilen des Inhalts an bestimmte Kontakte, aber auch an bestimmte Privacy Gruppen.

Wählt man in den Berechtigungs-Einstellungen direkt eine Gruppe als Ziel, wird der Inhalt nur mit den Mitgliedern der Gruppe geteilt. Ein Posting wird zu einer Direktnachricht, an welcher sämtliche Mitglieder der Privacy Gruppe beteiligt sind. Die Konversation ist damit nicht-öffentlich und ein solches Posting kann auch nicht weitergesagt oder geteilt werden. Dateien sind nur durch die Verbindungen in der Privacy Gruppe verfügbar.

Möchte man an mehr als nur die Mitglieder einer einzelnen Privacy Gruppe teilen, benötigt man aber eine Mehrfach-Auswahl. Diese findet man unter "Benutzerdefinierte Auswahl". Hier tauchen alle Verbindungen auf und man kann für jede einzelne Verbindung festlegen, dass der Inhalt mit ihr geteilt wird.

Oberhalb der einzelnen Verbindungen werden außerdem auch die vorhandenen Privacy Gruppen aufgeführt. Damit kann man dann die Berechtigung für den Inhalt auf eine oder Mehrere Gruppen festlegen.

Mit den Berechtigungs-Einstellungen ist es also möglich, Inhalte mit bestimmten Verbindungen zu teilen und man kann die Privacy Gruppen für eine sinnvolle Gruppierung von berechtigten Verbindungen nutzen.

Privacy Gruppen als Helfer für die Kontaktrollen

Eine weitere Funktion von Privacy Gruppen ist die Hilfs-Funktion für die Kontaktrollen.

Hat man eine Kontaktrolle erzeugt, so kann man diese natürlich allen gewünschten Verbindungen einzeln zuweisen. Manchmal möchte man aber eine bestimmte Kontaktrolle für eine größere Anzahl von Kontakten am liebsten auf einen Rutsch zuweisen. Dafür erstellt man einfach eine entsprechende Privacy Gruppe, welche genau diese Verbindungen enthält. Nun kann man in der App "Contact Roles" die Kontaktrolle öffnen und im Auswahlfeld "Weisen Sie diese Rolle folgender Privacy Gruppe zu" einer ganzen Gruppe die Kontaktrolle zuweisen.

Beachte: Jeder Verbindung kann nur eine einzige Kontaktrolle zugewiesen werden. Weist man einer Verbindung über eine Privacy Gruppe eine Kontaktrolle zu, so wird diese zur aktuellen Kontaktrolle für die Verbindung. Dies gilt außerdem nicht rückwirkend. Die Kontaktrolle wird nur den Verbindungen zugewiesen, die zu diesem Zeitpunkt Mitglied der Privacy Gruppe waren. Fügt man später weitere Verbindungen zu der Gruppe hinzu, erhalten diese nicht automatisch die gerade zugewiesene Kontaktrolle, sondern diejenige, welche als Standard für neue Verbindungen eingestellt ist. Man muss also ggf. die Zuweisung, wenn mehrere Verbindungen der Privacy Gruppe zugefügt wurden, erneut durchführen, damit wieder alle auf dem selben Stand sind.

Privacy Gruppen als Filter für den Stream

Diese Funktion der Privacy Gruppen gehört streng genommen nicht zum Berechtigungssystem, weil damit lediglich die Stream-Ansicht gefiltert wird.

In der Stream-Ansicht findet man in der Seitenleiste die Karte "Stream filtern". Dort befindet sich auch ein Eintrag "Privacy Gruppen". Wählt man dort nun eine Privacy Gruppe aus, so werden ausschließlich die Inhalte der Verbindungen, welche in dieser Privacy Gruppe enthalten sind, im Stream angezeigt.

Berechtigungs-Einstellungen - die dritte Schicht des Berechtigungssystems

Die Berechtigungs-Einstellungen (/ ), welche man in den verschiedenen Inhalts-Editoren findet (meistens unmittelbar neben dem Button "Absenden" / "Bearbeiten" oder neben Datei- und Verzeichnisnamen in der Cloud), ermöglichen die Steuerung der Berechtigung für den Zugriff auf den jeweiligen Inhalt.

Wie bereits erläutert, lassen sich Zugriffs-Berechtigungen auf Inhalte mit den Berechtigungs-Einstellungen steuern. Zugriffsparameter:

  • Nur ich
  • Öffentlich (entsprechend der Kanalrolle)
  • Privacy Gruppe
  • Forum
  • Benutzerdefiniert

Der Zugriff kann – entsprechend der Kanalrolle – öffentlich erlaubt werden, auf einen selbst beschränkt sein oder auf eine Privacy Gruppe oder ein Community Forum beschränkt bleiben.

Die Auswahl "Benutzerdefiniert" erlaubt eine genau abgestimmte Zuteilung von Berechtigungen. Es stehen hier alle Privacy Gruppen und alle Verbindungen zur Auswahl. Im Modus "Benutzerdefiniert" ist allerdings auch eine Mehrfachauswahl möglich. So können mehrere Privacy Gruppen und mehrere Einzelverbindungen die Genehmigung erhalten, den Inhalt zu sehen und ggf. damit zu interagieren.

Zu jedem Eintrag gibt es zwei Buttons: "Erlauben" und "Verweigern". Mit dem selektieren des Buttons "Erlauben" wird der Verbindung bzw. sämtlichen Mitgliedern der Privacy Gruppe die Berechtigung erteilt. Mit dem selektieren des Buttons "Verweigern" wird der Verbindung bzw. sämtlichen Mitgliedern der Privacy Gruppe die Berechtigung entzogen. Letzteres kann dazu dienen, bestimmte Verbindungen von einem Zugriff auszuschließen, die normalerweise Zugriff auf den Inhalt hätten.

Helfer: Privacy-Einstellungen

Grundsätzliche Einstellungen zur Privatsphäre werden unter Einstellungen → Privacy-Einstellungen vorgenommen.

Es sind folgende Einstellungen möglich:

  • Indizierung durch Suchmaschinen deaktivieren
  • Neue Kontakte automatisch genehmigen
  • Accept all messages which mention you (This setting bypasses normal permissions) Alle Nachrichten akzeptieren, in denen Sie erwähnt werden (Diese Einstellung umgeht die normalen Berechtigungen.)
  • Accept unsolicited comments for moderation (Otherwise they will be silently dropped) Unaufgeforderte Kommentare zur Moderation akzeptieren (Andernfalls werden sie stillschweigend verworfen.)
  • Enable OCAP access (Grant limited posts the right to access linked private media) OCAP-Zugriff aktivieren (Gewährt bestimmten Beiträgen das Recht auf Zugriff auf verlinkte private Medien)

"Accept unsolicited comments for moderation" erlaubt es Nutzern, die eigentlich nicht kommentieren dürfen, einen Kommentar zu einem Beitrag abzugeben. Der Kommentar wird dem Kanalinhaber dann vorgelegt und dieser kann moderierend entscheiden, ob der Kommentar zugelassen oder er verworfen wird. Diese Option ist mit Vorsicht einzusetzen. Sie kann zu höherem Spam-Aufkommen führen. Dabei erscheinen die Kommentare zwar nicht in der Konversation, der Administrator muss aber unter Umständen sehr viele Kommentare moderieren.

Die Option “Enable OCAP access” ermöglicht den Zugriff zu verlinkten privaten Medien. OCAP steht für Object-capability model. Diese Option ist sinnvoll, insbesondere wenn man Postings in seinem Stream findet, bei welchen eingebettete Bilder nicht angezeigt werden, weil sie vom Eigentümer mit eingeschränkten Zugriffsberechtigungen veröffentlicht wurden. Dies ist insbesondere für reine ActivityPub-Dienste von Belang, weil diese keine Entsprechung zum Hubzilla-Berechtigungssystem kennen (OWA/Token).

Kommentar-Steuerung

Hat man den Beitrags-Editor entsprechend konfiguriert, kann man für einzelne Beiträge das Kommentieren verbieten oder erlauben.

Die Editor-Einstellungen erreicht man unter settings/features → Editor, oder indem man im Beitrags-Editor auf das kleine Zahnrad () oben rechts im Nachrichtenfeld klickt.

In diesen Einstellungen findet man die Option "Kommentare deaktivieren (Ermöglicht, die Kommentarfunktion für einzelne Beiträge abzuschalten)". Schaltet man diese Option ein, gibt es in der Toolbar des Beitrags-Editors das Symbol "". Die Sprechblase mit den drei Punkten signalisiert, dass Kommentare – der Kanalrolle und der Kontaktrolle folgend – grundsätzlich erlaubt sind. Klickt man auf das Symbol, verschwinden die drei Punkte (). Nun sind Kommentare für diesen Beitrag komplett deaktiviert.

Nicht wirklich Berechtigungssystem, aber trotzdem Privatsphäre-Features

Neben den hier aufgeführten Komponenten des Berechtigungssystems von Hubzilla gibt es noch einige weitere Funktionen, welche die Privatsphäre schützen bzw. unerwünschte Inhalte verbergen.

Inhaltsfilter auf Kanalebene

Inhaltsfilter auf Kanalebene ermöglichen es, bestimmte Inhalte aus dem eigenen Stream auszufiltern bzw. nur bestimmte Inhalte überhaupt in den Stream aufzunehmen. Konfiguriert werden diese unter Einstellungen → Kanal-Einstellungen in den Filterfeldern "Beiträge mit diesem Text nicht importieren" bzw. "Nur Beiträge mit diesem Text importieren".

Inhaltsfilter auf Kontaktebene

Inhaltsfilter auf Kontaktebene erlauben es, bestimmte Inhalte, die eine bestimmte Verbindung veröffentlicht, auszufiltern bzw. nur bestimmte Inhalte, die eine bestimmte Verbindung veröffentlicht, in den eigenen Stream aufzunehmen. Sie werden im Verbindungseditor im Reiter "Filter für den Inhalt" konfiguriert.

Weitergehende Informationen zu den Inhaltsfiltern findet Ihr in den Dokumenten und der Aufzeichnung des ersten Hubzilla-Workshops vom 17. September 2025, bei dem es um genau dieses Thema ging.

NSFW

Die App "NSFW" ist ebenfalls eine Filter-Variante für den eigenen Stream. Mit NSFW kann man bestimmte Inhalte im eigenen Stream ausblenden, also hinter einer Schaltfläche verstecken, so dass der eigentliche Inhalt erst nach Klick auf diesen Button erscheint. In der App kann man eine Reihe von Wörtern (auch reguläre Ausdrücke sind möglich und das Filtern nach Sprache des Beitrags) angeben. Tauchen diese nun in einem Beitrag auf, wird der Inhalt des Beitrags zunächst verborgen und kann durch Klick auf die entsprechende Schaltfläche angezeigt werden.

Superblock

Mit der App "Superblock" ist es möglich, auch fremde Nutzer (also Fediverse-Nutzer, zu denen man selbst keine Verbindung hat) im Stream zu blocken. Während der normale Block nur bei Verbindungen funktioniert, kann man mit Superblock auch Nutzer aus dem eigenen Stream aussperren, mit denen man nicht verbunden ist. Postings solcher Nutzer können im Stream erscheinen, wenn diese z.B. einen Kommentar zu einem Posting einer Verbindung abgegeben haben oder wenn ihre Beiträge durch eine eigene Verbindung wiederholt werden.

Im Avatarbild des Kanals gibt es ein kleines weißes Dreieck. Klickt man darauf und hat man die App Superblock installiert, gibt es im sich daraufhin öffnenden Menü den Eintrag "Vollständig blockieren", mit welchem man den Nutzer auf die Superblock-Liste bringt. Beiträge dieses Kanals erscheinen nun überhaupt nicht mehr im Stream.

Ruft man die App selbst auf, wird die gesamte Superblock-Liste angezeigt. Hier kann man auch bei Bedarf einzelne Kanäle wieder aus der Liste entfernen und den Block damit aufheben.

Profil / Profile

Obwohl nicht sofort offensichtlich, sind auch die Profile Teil des Berechtigungssystems. Das Profil eines Kanals ist sozusagen die Visitenkarte der Identität. Im Profil kann man Informationen zum Kanal (womöglich auch zur Person, die hinter dem Kanal steht) preisgeben. Wer auf Interaktion hofft und Verbindungen wünscht, sollte hier zumindest die Grundlegenden Informationen anbieten. Dieses Thema wurde bereits im zweiten Hubzilla Workshop besprochen (ab Minute 11:19).

Mit der Berechtigung “Kann mein Standardprofil sehen” legen wir fest, wer dieses Profil einsehen kann und damit die Informationen erhält. Dafür können wir aus den Berechtigungen auswählen, die zur Verfügung stehen. Mit “Jeder im Internet” machen wir unsere Profilinformationen vollkommen öffentlich. Dies ist die Voreinstellung bei allen Kanalrollen. Um dies einzuschränken, müssen wir die Kanalrolle “Benutzerdefiniert” verwenden. Mit den Einschränkungen können wir den Kreis derer, die unser Profil sehen können, begrenzen. Hubzilla erlaubt es aber, mehrere Profile für einen Kanal zu erstellen. So kann man, wenn Bedarf besteht, weitere Profile, also quasi weitere “Visitenkarten”, erstellen, die andere oder mehr Informationen bieten, und diese dann bestimmten Verbindungen anzeigen.

Um weitere Profile anzulegen und ihre Sichtbarkeit festzulegen, wählt man im Hauptmenü “Profile bearbeiten”. Dort werden dann alle vorhandenen Profile angezeigt (bei neuen Kanälen lediglich das Standardprofil).

Nun kann man über den Button “+ Neu anlegen” ein neues Profil erzeugen, das man dann mit den gewünschten Informationen befüllt.

Jetzt muss man nur noch festlegen, welche Verbindungen dieses spezielle Profil präsentiert bekommen. Dies erfolgt, indem man oben rechts aus dem Menü “Profilwerkzeuge” den Menüpunkt “Sichtbarkeit bearbeiten” auswählt.

Es wird nun eine Ansicht mit zwei untereinander liegenden Blöcken von Verbindungen geöffnet, wobei der obere Block diejenigen Verbindungen enthält, welchen das neue Profil gezeigt werden soll, und der untere alle Kontakte, die lediglich (bei entsprechender Berechtigung) das Standardprofil.

Hier kann man nun mit einem einfachen Klick auf das Profilbild der Verbindung diese zwischen beiden Blöcken hin und her schieben.

Ruft nun jemand das Profil auf, der nicht zu der speziellen Gruppe gehört, oder der (bei öffentlicher Berechtigung) gar nicht authentifiziert ist, wird diesem das Standardprofil angezeigt.

Den zugewiesenen Verbindungen hingegen wird nun das neue Profil angezeigt (sie haben die Berechtigung dafür - also ist das auch Teil des Berechtigungssystems).

Was alles möglich ist

Was kann man mit diesem Berechtigungssystem nun aber eigentlich anfangen?

Die Antwort ist: ALLES!

08/15

Wenn man sich keinen Kopf über Berechtigungen machen möchte und Hubzilla einfach nur als Zugang für das Soziale Netzwerk des Fediverse verwenden möchte, kann man dies out of the box tun, indem man die Kanalrolle "Öffentlich" bei Kanalerstellung auswählt. Man muss nicht unbedingt noch an irgendetwas rühren.

Möchte man sofort oder später einige Dinge weitergehend regeln, wie z.B. die Anzeige von Medien Fremder, schaltet man OCAP Access ein und um Kommentare für bestimmte Beiträge zu sperren, muss man auch noch die entsprechende Editor-Option aktivieren. Wenn man unabhängig vom Verbindungsstatus blocken möchte, muss noch Superblock hinzukommen und zur Eigenschutz bietet sich auch noch NSFW an.

Wenn man es einfacher haben möchte, Konversationen auch an geschlossene Nutzerkreise zu steuern, installiert man Privacy Gruppen.

Mehr muss aber nicht.

4711

Wer Social Media möchte, aber etwas mehr Wert auf Privatsphäre legt, der wählt als Kanalrolle "Persönlich". Damit sind zwar einige Funktionen im Vergleich zu "Öffentlich" nicht mehr vorhanden, es sind aber solche, die man ja eben auch vielleicht einschränken möchte. Vor allem aber muss man sich im Klaren sein, dass man fortan nun nicht mehr öffentlich teilt, sondern nur an seine Verbindungen (es sei denn, man ändert dies für einzelne Inhalte explizit über die Berechtigung-Einstellungen).

Spätestens ab dieser Kanalrolle empfiehlt es sich, sowohl die Kontaktrollen-App und die Privacy-Gruppen-App zu installieren, um seine Kontakte ggf. nach unterschiedlichen Berechtigungen zu kategorisieren. Muss aber auch nicht.

foobar

Möchte man eine Gruppen-Konversation, angelehnt an ein Internet-Forum anbieten, wählt man die Kanalrolle "Community Forum". Hier gibt es die selben Berechtigungen und Einschränkungen wie bei der Kanalrolle "Persönlich". Das Wall-to-Wall Posting ist Verbindungen erlaubt, denn diese Art des Postens ermöglicht erst die forenartige Kommunikation. Die Alternative, das Posten im DN-Stil ("@!"), bewirkt bei einem Community Forum das selbe, wie das Wall-to-Wall Posten. Teilen oder Wiederholen von Postings ist hingegen nicht erlaubt, weil die Kommunikation in einem solchen Forum den Verbindungen vorbehalten ist.

Ans Eingemachte

Die Kanalrolle "Benutzerdefiniert" ist das Schweizer Taschenmesser unter den Rollen. Man kann damit die vordefinierten Kanalrollen 1:1 nachbilden, man kann die Standardrollen quasi als Vorlage nutzen und einzelne Berechtigungen schon auf Kanalebene anders regeln oder man baut sich von Grund auf eine eigene Berechtigungs-Hierarchie für seinen Kanal.

So kann man z.B. eine wirklich geschlossene Community erzeugen oder ein echtes nicht-öffentliches Forum. Grundlage jeder Konfiguration sollte sein, sich eine Liste zu erstellen, was mit dem Kanal alles möglich sein soll und wie andere mit unserem Kanal interagieren können sollen. Anhand dieser Vorgaben konfiguriert man nun die einzelnen Berechtigungen der Kanalrolle. "Jeder im Internet" ist dabei das offene Scheunentor. "Nur die, denen Du es explizit erlaubst" ist das abgeschlossene Scheunentor zu welchem man ausgewählten Kontakten mit der Kontaktrolle den Schlüssel zur Verfügung stellt. Die Verwaltung der Schlüssel zum Tor kann man zusätzlich sehr gut mit Privacy Gruppen erledigen.

Es ist übrigens auch nicht verkehrt, ein Community Forum auf diese Art und Weise zu erstellen, wenn man ein eher geschlossenes Forum erzeugen möchte.

Auch völlig nicht-öffentliche Foren sind so möglich und erlaube eine wirklich private Zusammenarbeit.

So arbeiten z.B. wir als Hubzilla-Workshop-Team mit einem solchen Forum. Und weil wir vertrauensvoll in unserem kleinen Team arbeiten, hat jedes Mitglied auch sehr weitreichende Berechtigungen.

Vorneweg: Unser Arbeitsforum existiert ausschließlich im Grid. Logisch, denn als Hubzilla-Workshop-Team verfügen wir alle ja über mindestens einen Hubzilla-Kanal. Die Beschränkung stellt sicher, dass jeder auch wirklich das im Foren-Kanal tun kann, was mit Hubzilla möglich ist.

Jetzt einmal kurz zur Konfiguration unseres Arbeitsforums:

Die Kanalrolle ist natürlich "Benutzerdefiniert". In den Privacy-Einstellungen haben wir die Indizierung durch Suchmaschinen" präventiv noch abgeschaltet, obwohl eine solche Indizierung schon aufgrund der Konfiguration der Rolle unmöglich wäre. OCAP-Access ist ebenfalls aktiviert, falls eines der Mitglieder einmal ein Bild aus der eigenen Cloud einbindet, welches ggf. nicht völlig öffentlich ist.

In den Profileinstellungen wurde die Option "Schlage mich neuen Mitgliedern als möglichen Kontakt vor" deaktiviert. In den Profil-Einstellungen wurde außerdem die Option "Mein Standardprofil im Netzwerkverzeichnis und in Followerlisten veröffentlichen" ebenfalls deaktiviert (damit taucht das Forum nicht mehr in Verzeichnissen auf). Danach wurde in den benutzerdefinierten Berechtigungen (Einstellungen ➔ Privacy-Einstellungen  Benutzerdefinierte Konfiguration der Channel Role) jede Berechtigung auf "Nur die, denen Du es explizit erlaubst" gesetzt.

Um nun den Mitgliedern des Forums (Verbindungen werden nicht automatisch angenommen) die passenden Rechte einzuräumen wurde eine Kontaktrolle angelegt, welche alle Berechtigungen bis auf "Kann meine öffentlichen Beiträge in anderen Kanälen zitieren/spiegeln" erteilt (geerbte Berechtigungen gibt es bei dieser Kanalrollen-Konfiguration ja ohnehin nicht). Wir arbeiten als Team vertrauensvoll und gleichberechtigt im Forum und dürfen damit alles im Forenkanal tun und diesen auch administrieren.

Diese Kontaktrolle haben wir dann allen Forenmitgliedern zugewiesen und hatten damit ein nicht-öffentliches Forum, welches nicht in irgendwelchen Verzeichnissen auftaucht und dessen Inhalte niemand außer uns selbst sehen oder damit interagieren kann.

Wer ein nicht-öffentliches Forum erstellen möchte, aber seinen Mitgliedern bestimmte Rechte nicht einräumen will, lässt diese in der Kanalrolle halt weg.

Auch wenn die Kanalrolle "Benutzerdefiniert" zunächst sehr speziell und kompliziert erscheint, ist sie aber eigentlich diejenige, welche das Besondere an Hubzilla ist und ich würde sie früher oder später jedem empfehlen, der von Hubzilla mehr erwartet, als nur ein 08/15-Fediverse-Dienst zu sein.