おはようございます。
Kuropen(@kuropen@mi.kuropen.org)の投稿
このサーバーの主で本職はWebプログラマー。東京とさいたまと会津を行ったり来たりしている。現況身内専用サーバーにつき積極的にフォローします。
アウトプットが苦手な性格ですが少しずつがんばります。
#FF14: Polaris Solaris @ Titan
趣味: 一人旅(御朱印集め), 自作PC, ビデオゲーム(RPG/SLG), ウォーキング, ドライビング and more
サーバーからのお知らせは @info をご確認ください。
こちらに記載されたサーバーから当アカウントへのリプライ等は届きません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
結局疲れをため込みすぎたことにより自律神経が乱れて一時睡眠障害まで行ってしまったと。そして昨日温泉に行ってその反動が腰に来てる
このアカウントは、notestockで公開設定になっていません。
二要素認証登録状況をモデレーターが確認して、二要素認証登録されていれば公開投稿許可みたいなことをやりたい気はしている
よく仕事の方で、二要素認証登録状況は監視してます、登録しないやつには業務用のリソース触らせないぞってされるので…
このアカウントは、notestockで公開設定になっていません。
【NHKニュース速報 09:43】
H3ロケット2号機 目標の軌道に到達
機体は計画通り飛行 JAXA発表
#ニュース #NHKニュース速報
このアカウントは、notestockで公開設定になっていません。
の投稿
nyoki@v2.nyoki.club
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
の投稿
nyoki@v2.nyoki.clubこのアカウントは、notestockで公開設定になっていません。
Misskeyの運営者情報の設定するところに、「国によっては法令により表示が義務づけられている」って書いてあるんだがその場合はどう対策するのだろうか、とふと思った
まあ、自分はメールアドレス悪用されたことは過去にあるんで…
※高校時代の同級生に、手帳の持ち主連絡先欄からメールアドレス抜いてアダルトサイトに登録する輩がいた模様。携帯電話のキャリアメールのアドレスを変えたのはその1回のみ。
※あとは大学時代に何らかの原因で独自ドメインのメールアドレスが流出して無関係のサーバーからメールが発信されるようになった。なので自分所有のドメインではDMARCがrejectで設定されている。
連絡先欄がメールアドレスである必要はないと思うけど、管理者への連絡に繋がらないものを書くのはそれはそれでまずいと思いますよ
(自インスタンスで本当に荒らしが発生した場合などに問い合わせができなくなってしまうおそれがある)
一応自分はインスタンス情報のメールアドレス欄は @ を置換して、なおかつ個人アドレスではなく同ドメインの webmaster にしておいた。
問い合わせフォームで webmaster アカウント使うやつがいたらまあ普通じゃないだろう。
サーバー情報の問い合わせメールアドレスが悪用されているのかな? この項目はメールアドレスにする必要はありません。 代わりに問い合わせフォームの URL を入れても表示されます。実際 ふうぎょ などで自分が建てていたサーバーはこのようにしてありました。 @ や . を全角にしたり、@ を [at] に変換してみたりしても良いかもしれませんね。
公開サービスを運営している以上、逆にこちらがサービスと無関係な者からの問い合わせを受ける可能性を考えてメールアドレスは公開しないといけない(義務)
が、こういう悪用の可能性を考えると相応の工夫が必要という話
だと個人的には思っている。
でもこうなることというのは、ある意味で分散型SNSの名の下に「個人でインターネット上に公開サービスを運用すること」のリスクと捉えてほしいところではある。
このアカウントは、notestockで公開設定になっていません。
GitHubから情報抜かれて、海外の転職スカウトがしつこく電話かけてきて会社に迷惑をかけたこともあった(前職時代)し、ネット上(に限らずどこかしら)に書いた情報というのは悪用される、というのは頭の片隅にはある。
お問い合わせフォームさんCSRFトークンが見当らない感じでcurl -X POSTいっぱつえ送れちゃう感じにも見えてうーん
インスタンスにしてもフォームにしても脆弱なところが狙われる。。。
「何人たりとも信用しないこと(TRUST NO ONE)」がセキュリティの一丁目一番地であり、公開サービス運営者の最低限の要件である。
でもさすがにバッチで管理者メールアドレス抜いてました、とするならばさすがに想定外ではあったわな…
Mastodonの場合、サーバー情報ページの連絡先欄が標準で mailto リンクになってしまうので、フォームにする場合は、メールアドレスでなければ普通のWebリンクにする改造が必要かもしれない。
Misskeyは別に mailto リンクになるわけじゃなかったので普通にメールアドレスじゃないもの入れても安全だった。
$ echo 'メールアドレスを詐称されたらわかるように全てのメッセージにデジタル署名しよう(それはけっこう難しいな)' | gpg --clear-sign
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
メールアドレスを詐称されたらわかるように全てのメッセージにデジタル署名しよう(それはけっこう難しいな)
-----BEGIN PGP SIGNATURE-----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=RFJm
-----END PGP SIGNATURE-----
自分の場合は抜かれて詐称されているメールアドレスがたまたま独自ドメインだからDMARCで対処できているが…
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
他のメールアドレスも大量動員して同じようなことをしているとわかっている以上、個々のメールアドレス所持者の責任が問われるという展開にはならなくて、メールフォームに送信したのがどいつかってところから洗っていくということになるんだろうけど…
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
もちゃさんのリンクからサイト経由でTwitterに行ったら、普通に荒らしてる様子を投稿してるしなぁ。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
例えば、特定のメールアドレスだけ使って多数の企業に嫌がらせメールを送られた場合で、その特定のメールアドレスが自分のメールアドレスだったという状況だとしたら、自分が加害者と判断される余地があるからそれは通報したり捜査に協力したりといった自衛的アクションが必要になる可能性は高い。
でも、今回は特定の企業に対して多数のメールアドレスが使われたケースだから個々のメールアドレスは不正に使われただけという判断が容易にできると予想。
Misskey v2024.2.0がリリースされました。脆弱性修正も含まれておりますので、直ちにアップデートをお願いします。
【MICROPEN メンテナンスのお知らせ】
本日 16:00 から 16:30 までの予定で、当サーバーのメンテナンスを行います。
- OSのミドルウェアアップデート
- Misskeyのソフトウェアアップデート
メンテナンス中は当サーバーの接続が不能もしくは不安定となることがあります。
ご理解・ご協力のほどよろしくお願いします。
の投稿
Emperor@mk.shrimpia.network
このアカウントは、notestockで公開設定になっていません。
問い合わせフォームの自動返信機能を利用した「反射型」のスパム攻撃も以前から知られているところではあり
https://twitter.com/ecmammal/status/1540860934365007872
https://twitter.com/yuko_output/status/1616082681032507401
通知の受信設定についてのお知らせ
下記の設定ページより、メンション設定を『相互フォロー』等にすることで、通知を受信する対象を制限可能です。
設定 > 基本設定 > 通知 > メンション
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
それはそうで、何らかインターネットに公開しようとする際に問い合わせ先を示さないのも不誠実な態度ではあるわけで。
このアカウントは、notestockで公開設定になっていません。
そういう burner address 使うという次元でいいのならむしろ独自ドメインだったら生やしやすいわけだが…
◎「脆弱性」は最近の事象とは関係ありませんので、フォークの方も対応をお願いします。
Misskeyの実装としては9a70ce8および01de151を参考にしてください。
◎もちろんモデレーション機能も強化されていますので、ご利用いただきますようお願いします。
RE: https://misskey.io/notes/9pt8v90pkm7q08ii
自宅から歩いてすぐのところに警察署があるので、不正問い合わせの件を突き出しに行くか検討中
これについて真剣に考えています
RE: https://misskey.nokotaro.com/notes/818db2aafed4b7df8cdd9824
このアカウントは、notestockで公開設定になっていません。
ホワイトリストで特定サーバーとしか連合しないサーバーのこと、まとめてごっそりTwitterとかBlueskyの中央集権SNSに移住したようなもんとして見ればいいかなって
結局LTL主体で他サーバー連合はあくまでオプションという考え方なのかなと、そういうサーバーって。
求めていたのはあくまでも既存SNSに対するオルタナティブ、みたいな。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
それどこかの自治体の条例に引っかかりそうな気がする。もっともリアル街中に出なきゃ大丈夫か。
このDMARCレポートに書いてあるやつと、今回Misskeyの管理アドレスに指定していて不正利用されたやつが同じアカウントにひも付いていて、なので不正利用されること自体はもはや諦めがついている。
ただし今回は内容が物騒すぎるため対応検討中となる。
RE: https://mi.kuropen.org/notes/9pt0hsyubq
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
迷惑なメンションに困っている方へ
フォロー関係にない人からのメンションを制限する設定があります。
制限して差し支えない場合、こちらを活用してください。
このアカウントは、notestockで公開設定になっていません。
自分はWRCはこのあとJ SPORTSで見る予定。今はDAZNでExtreme Eかけてる。
いまRedemption Race(予選下位の順位決定戦)が終わったところでこのあと決勝(予選上位4台の順位決定戦)
【古くからMisskeyをお使いいただいているサーバー管理者様、およびMisskeyに変更を加えてサーバーを提供している管理者様へ】
Misskey v2024.2.0では、リポジトリURL(meta.repositoryUrl)が異なる場合、各ユーザーに対して添付画像のように改変したバージョンを利用している旨のメッセージが表示されるようになります。
古いインスタンスではrepositoryUrlがsyuilo/misskeyに設定されていますが、メッセージ表示時にこれが考慮されていないため、改変されていないにも関わらず表示されてしまいます。
Misskeyのソースに変更を加えずサーバーをご利用になっている場合、 コントロールパネル - ブランディング - リポジトリURL をmisskey-dev/misskeyに変更していただくことで、このメッセージは表示されなくなります。お手数をおかけしますがよろしくお願いします。
Misskeyを改変してお使いになっている場合は、リポジトリURLをご自身のGitHub等の公開リポジトリに指定してください。公開リポジトリをお持ちでない場合、default.ymlでpublishTarballInsteadOfProvideRepositoryUrl: trueを指定してください(これについての詳細は最新のexample.ymlをお読みください)。
RE: https://misskey.io/notes/9pt8v90pkm7q08ii
@souji@fedibird.com それ最近騒ぎになっているスパムなんですが、各サーバー管理者が対応に苦慮している案件なので、ブーストしないでサーバー管理者に通報してもらえますか?
公開されてるメールアドレス使って迷惑かけるの𝕏の方でも観測されてるのか。
