2024-2-17 - Posting @kuropen@mi.kuropen.org

08:44:07 Kuropen @kuropen@mi.kuropen.org

おはようございます。

08:47:54 Kuropen @kuropen@mi.kuropen.org

2024-02-17 08:24:08 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

08:48:35 Kuropen @kuropen@mi.kuropen.org

わざわざcrontab使ってまでsystemdの流儀に従おうとしない理由とは…

08:51:35 Kuropen @kuropen@mi.kuropen.org

2024-02-17 00:58:52 Posting めいめい mei23@misskey.m544.net

This account is not set to public on notestock.

08:53:12 Kuropen @kuropen@mi.kuropen.org

2024-02-17 02:48:39 Posting 結城浩 / Hiroshi Yuki hyuki@social.hyuki.net

This account is not set to public on notestock.

09:05:15 Kuropen @kuropen@mi.kuropen.org

結局疲れをため込みすぎたことにより自律神経が乱れて一時睡眠障害まで行ってしまったと。そして昨日温泉に行ってその反動が腰に来てる

09:05:45 Kuropen @kuropen@mi.kuropen.org

2024-02-17 09:04:35 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

09:09:38 Kuropen @kuropen@mi.kuropen.org

二要素認証登録状況をモデレーターが確認して、二要素認証登録されていれば公開投稿許可みたいなことをやりたい気はしている

09:11:41 Kuropen @kuropen@mi.kuropen.org

よく仕事の方で、二要素認証登録状況は監視してます、登録しないやつには業務用のリソース触らせないぞってされるので…

09:13:56 Kuropen @kuropen@mi.kuropen.org

2024-02-17 09:03:54 Posting 🐕masainu🐩 masainu@fedibird.com

This account is not set to public on notestock.

09:42:05 Kuropen @kuropen@mi.kuropen.org

㊗️ 打ち上げ成功 🚀

09:43:58 Kuropen @kuropen@mi.kuropen.org

2024-02-17 09:43:18 Posting 特務機関NERV UN_NERV@unnerv.jp

【NHKニュース速報 09:43】
Ｈ３ロケット２号機　目標の軌道に到達
機体は計画通り飛行　ＪＡＸＡ発表
#ニュース #NHKニュース速報

10:21:44 Kuropen @kuropen@mi.kuropen.org

2024-02-16 17:29:09 Posting ロージー / ハト rosylilly@best-friends.chat

This account is not set to public on notestock.

10:49:23 Kuropen @kuropen@mi.kuropen.org

2024-02-17 10:29:16 Posting にょき

nyoki@v2.nyoki.club

This account is not set to public on notestock.

10:50:06 Kuropen @kuropen@mi.kuropen.org

2024-02-17 10:42:13 Posting フジイユウジ fujii_yuji@mstdn.fujii-yuji.net

This account is not set to public on notestock.

10:50:15 Kuropen @kuropen@mi.kuropen.org

2024-02-17 10:49:28 Posting フジイユウジ fujii_yuji@mstdn.fujii-yuji.net

This account is not set to public on notestock.

10:50:24 Kuropen @kuropen@mi.kuropen.org

2024-02-17 10:30:44 Posting にょき

nyoki@v2.nyoki.club

This account is not set to public on notestock.

10:51:28 Kuropen @kuropen@mi.kuropen.org

Misskeyの運営者情報の設定するところに、「国によっては法令により表示が義務づけられている」って書いてあるんだがその場合はどう対策するのだろうか、とふと思った

10:56:05 Kuropen @kuropen@mi.kuropen.org

まあ、自分はメールアドレス悪用されたことは過去にあるんで…
※高校時代の同級生に、手帳の持ち主連絡先欄からメールアドレス抜いてアダルトサイトに登録する輩がいた模様。携帯電話のキャリアメールのアドレスを変えたのはその1回のみ。
※あとは大学時代に何らかの原因で独自ドメインのメールアドレスが流出して無関係のサーバーからメールが発信されるようになった。なので自分所有のドメインではDMARCがrejectで設定されている。

11:01:07 Kuropen @kuropen@mi.kuropen.org

連絡先欄がメールアドレスである必要はないと思うけど、管理者への連絡に繋がらないものを書くのはそれはそれでまずいと思いますよ
（自インスタンスで本当に荒らしが発生した場合などに問い合わせができなくなってしまうおそれがある）

11:09:15 Kuropen @kuropen@mi.kuropen.org

一応自分はインスタンス情報のメールアドレス欄は＠を置換して、なおかつ個人アドレスではなく同ドメインの webmaster にしておいた。
問い合わせフォームで webmaster アカウント使うやつがいたらまあ普通じゃないだろう。

11:16:25 Kuropen @kuropen@mi.kuropen.org

過去に流出したメールアドレスの不正利用、いまだにこれだけいるもんな…

11:19:37 Kuropen @kuropen@mi.kuropen.org

2024-02-15 15:35:37 Posting @balloon@misskey.cloud へ引っ越し balloon@calc.bal.ovh

サーバー情報の問い合わせメールアドレスが悪用されているのかな？ この項目はメールアドレスにする必要はありません。 代わりに問い合わせフォームの URL を入れても表示されます。実際ふうぎょなどで自分が建てていたサーバーはこのようにしてありました。＠や．を全角にしたり、＠を [at] に変換してみたりしても良いかもしれませんね。

11:22:22 Kuropen @kuropen@mi.kuropen.org

公開サービスを運営している以上、逆にこちらがサービスと無関係な者からの問い合わせを受ける可能性を考えてメールアドレスは公開しないといけない（義務）
が、こういう悪用の可能性を考えると相応の工夫が必要という話
だと個人的には思っている。

11:26:22 Kuropen @kuropen@mi.kuropen.org

でもこうなることというのは、ある意味で分散型SNSの名の下に「個人でインターネット上に公開サービスを運用すること」のリスクと捉えてほしいところではある。

11:27:20 Kuropen @kuropen@mi.kuropen.org

2024-02-17 11:16:44 Posting 工場OL🧂押尾 squid999@nightly.fedibird.com

This account is not set to public on notestock.

11:30:55 Kuropen @kuropen@mi.kuropen.org

あとこれメールフォームの側ももしかしてbot対策してないとか？

11:34:45 Kuropen @kuropen@mi.kuropen.org

アドブロッカーブロッカーの中にはF12の動きを止めるものもあるっぽい？

11:40:07 Kuropen @kuropen@mi.kuropen.org

GitHubから情報抜かれて、海外の転職スカウトがしつこく電話かけてきて会社に迷惑をかけたこともあった（前職時代）し、ネット上（に限らずどこかしら）に書いた情報というのは悪用される、というのは頭の片隅にはある。

11:46:14 Kuropen @kuropen@mi.kuropen.org

2024-02-17 11:45:44 Posting zunda zundan@mastodon.zunda.ninja

お問い合わせフォームさんCSRFトークンが見当らない感じでcurl -X POSTいっぱつえ送れちゃう感じにも見えてうーん

11:47:18 Kuropen @kuropen@mi.kuropen.org

やはりか…

11:48:13 Kuropen @kuropen@mi.kuropen.org

インスタンスにしてもフォームにしても脆弱なところが狙われる。。。
「何人たりとも信用しないこと（TRUST NO ONE）」がセキュリティの一丁目一番地であり、公開サービス運営者の最低限の要件である。

11:51:10 Kuropen @kuropen@mi.kuropen.org

でもさすがにバッチで管理者メールアドレス抜いてました、とするならばさすがに想定外ではあったわな…

12:20:32 Kuropen @kuropen@mi.kuropen.org

Mastodonの場合、サーバー情報ページの連絡先欄が標準で mailto リンクになってしまうので、フォームにする場合は、メールアドレスでなければ普通のWebリンクにする改造が必要かもしれない。
Misskeyは別に mailto リンクになるわけじゃなかったので普通にメールアドレスじゃないもの入れても安全だった。

12:25:42 Kuropen @kuropen@mi.kuropen.org

2024-02-17 12:24:44 Posting JJ1GUJ/2@admin

jj1guj@jiskey.dev

技適マークは箱に貼られてるので箱は捨てるといけないらしい

12:25:56 Kuropen @kuropen@mi.kuropen.org

…それありなん！？

12:31:15 Kuropen @kuropen@mi.kuropen.org

2024-02-17 12:29:53 Posting zunda zundan@mastodon.zunda.ninja

$ echo 'メールアドレスを詐称されたらわかるように全てのメッセージにデジタル署名しよう(それはけっこう難しいな)' | gpg --clear-sign
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

メールアドレスを詐称されたらわかるように全てのメッセージにデジタル署名しよう(それはけっこう難しいな)
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEE9glg2AsiQ4LKjYMctWwgMW1ugnkFAmXQKBsACgkQtWwgMW1u
gnnWZwv+IOhm3+9rdK6KXNwGa+kml7dAsQRsl7SX3WCY1df6boGpVxehKR87DUrz
dWuohwQPOAEDQvtiBMZn/N1p29pBfaCYb8J947eGBb9UnIaBOfrhPr18qED/d2xI
IaRzInSCXeLQ4pBK0vKev4Uv4zf6KsZqrTS28ZjdPRXIWAtwemWFajLBpZsXg8zr
IJxUKjPhBHsc6DxqAajNGdISw5XZpsRGhE6gT5Ay1reVh/bJNDIH9FyY6Z4F6HlZ
qquSR2ftsMAIOlVUMMsuMQ9zDKHyI4dhngGBl7Hzwfb4nK1fBsiB4PcGZEzLaenm
EkZ0ZE+6iHDxpbWbgVWO59cTSYX9uJcxI8fn3R2XSKW9y6HwyfN7ZXY8cFSsbuzP
fKXRZ1kzHUSLOUc+hUWp3PYIQ+X09Uk/AwdYj24kFzWLxUxahN3eO45p0T6XNQBV
z+peFi0cRkHZW94eHbnH9efuAlxnI/skrZ9TfwFIpD1dZ+qMJa98f6j6Y3w+jj4s
BxohaF4S
=RFJm
-----END PGP SIGNATURE-----

12:31:36 Kuropen @kuropen@mi.kuropen.org

自分の場合は抜かれて詐称されているメールアドレスがたまたま独自ドメインだからDMARCで対処できているが…

12:35:45 Kuropen @kuropen@mi.kuropen.org

2024-02-17 12:35:16 Posting めいめい mei23@misskey.m544.net

This account is not set to public on notestock.

14:03:20 Kuropen @kuropen@mi.kuropen.org

おっと、Extreme Eの時間か

14:15:57 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:13:03 Posting sublimer@あすてろいどん鯖管 sublimer@mstdn.sublimer.me

This account is not set to public on notestock.

14:15:59 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:14:00 Posting sublimer@あすてろいどん鯖管 sublimer@mstdn.sublimer.me

This account is not set to public on notestock.

14:16:01 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:15:44 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

14:23:52 Kuropen @kuropen@mi.kuropen.org

他のメールアドレスも大量動員して同じようなことをしているとわかっている以上、個々のメールアドレス所持者の責任が問われるという展開にはならなくて、メールフォームに送信したのがどいつかってところから洗っていくということになるんだろうけど…

14:24:07 Kuropen @kuropen@mi.kuropen.org

2024-02-17 08:37:17 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

14:24:09 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:22:09 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

14:24:13 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:23:09 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

14:24:14 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:23:48 Posting おさ osapon@mstdn.nere9.help

もちゃさんのリンクからサイト経由でTwitterに行ったら、普通に荒らしてる様子を投稿してるしなぁ。

14:30:43 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:30:06 Posting ぐすくま@わかりみ guskma@abyss.fun

This account is not set to public on notestock.

14:30:44 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:30:37 Posting 酸性雨 acid_rain@amefur.asia

This account is not set to public on notestock.

14:41:07 Kuropen @kuropen@mi.kuropen.org

例えば、特定のメールアドレスだけ使って多数の企業に嫌がらせメールを送られた場合で、その特定のメールアドレスが自分のメールアドレスだったという状況だとしたら、自分が加害者と判断される余地があるからそれは通報したり捜査に協力したりといった自衛的アクションが必要になる可能性は高い。
でも、今回は特定の企業に対して多数のメールアドレスが使われたケースだから個々のメールアドレスは不正に使われただけという判断が容易にできると予想。

15:11:40 Kuropen @kuropen@mi.kuropen.org

2024-02-17 15:10:49 Posting joinmisskey (api etc.) [Official] joinmisskey@misskey.io

Misskey v2024.2.0がリリースされました。脆弱性修正も含まれておりますので、直ちにアップデートをお願いします。

15:17:57 Kuropen @kuropen@mi.kuropen.org

【MICROPEN メンテナンスのお知らせ】
本日 16:00 から 16:30 までの予定で、当サーバーのメンテナンスを行います。
- OSのミドルウェアアップデート
- Misskeyのソフトウェアアップデート

メンテナンス中は当サーバーの接続が不能もしくは不安定となることがあります。
ご理解・ご協力のほどよろしくお願いします。

15:36:05 Kuropen @kuropen@mi.kuropen.org

2024-02-17 15:29:27 Posting 帝国官報

Emperor@mk.shrimpia.network

This account is not set to public on notestock.

15:45:51 Kuropen @kuropen@mi.kuropen.org

問い合わせフォームの自動返信機能を利用した「反射型」のスパム攻撃も以前から知られているところではあり
https://twitter.com/ecmammal/status/1540860934365007872
https://twitter.com/yuko_output/status/1616082681032507401

-
-Twitter

15:46:34 Kuropen @kuropen@mi.kuropen.org

2024-02-17 14:48:51 Posting お知らせ notify@misskey.io

通知の受信設定についてのお知らせ

下記の設定ページより、メンション設定を『相互フォロー』等にすることで、通知を受信する対象を制限可能です。
設定 > 基本設定 > 通知 > メンション

https://misskey.io/settings/notifications

Misskey.io

15:52:14 Kuropen @kuropen@mi.kuropen.org

ということでそろそろOCI Bastionのセッション発行しておこう

16:12:11 Kuropen @kuropen@mi.kuropen.org

本日のメンテナンスについては終了いたしました。

RE: https://mi.kuropen.org/notes/9pt94fa1ha

https://mi.kuropen.org/notes/9pt94fa1ha

Kuropen (@kuropen)

16:20:19 Kuropen @kuropen@mi.kuropen.org

2024-02-17 16:18:21 Posting weepjp 🟣 weepjp@fedibird.com

This account is not set to public on notestock.

16:20:20 Kuropen @kuropen@mi.kuropen.org

2024-02-17 16:20:03 Posting 酸性雨 acid_rain@amefur.asia

This account is not set to public on notestock.

16:21:03 Kuropen @kuropen@mi.kuropen.org

それはそうで、何らかインターネットに公開しようとする際に問い合わせ先を示さないのも不誠実な態度ではあるわけで。

16:25:45 Kuropen @kuropen@mi.kuropen.org

2024-02-17 16:25:37 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

16:26:40 Kuropen @kuropen@mi.kuropen.org

そういう burner address 使うという次元でいいのならむしろ独自ドメインだったら生やしやすいわけだが…

18:08:35 Kuropen @kuropen@mi.kuropen.org

2024-02-17 18:04:25 Posting joinmisskey (api etc.) [Official] joinmisskey@misskey.io

◎「脆弱性」は最近の事象とは関係ありませんので、フォークの方も対応をお願いします。
Misskeyの実装としては9a70ce8および01de151を参考にしてください。

◎もちろんモデレーション機能も強化されていますので、ご利用いただきますようお願いします。

RE: https://misskey.io/notes/9pt8v90pkm7q08ii

https://github.com/misskey-dev/misskey/security/advisories/GHSA-qqrm-9grj-6v32

Lack of media type verification of Activity Streams objects allows impersonation and takeover of remote accounts

https://github.com/misskey-dev/misskey/commit/9a70ce8f5ea9df00001894809f5ce7bc69b14c8a

Merge pull request from GHSA-qqrm-9grj-6v32 · misskey-dev/misskey@9a70ce8

https://github.com/misskey-dev/misskey/commit/01de1519dda0188121d4d1558310beaa24dbe8af

fix of 9a70ce8f5ea9df00001894809f5ce7bc69b14c8a · misskey-dev/misskey@01de151

https://misskey.io/notes/9pt8v90pkm7q08ii

joinmisskey api [Official] (@joinmisskey)

21:00:18 Kuropen @kuropen@mi.kuropen.org

自宅から歩いてすぐのところに警察署があるので、不正問い合わせの件を突き出しに行くか検討中

21:06:18 Kuropen @kuropen@mi.kuropen.org

2024-02-17 21:06:03 Posting Nokotaro Takeda takenoko@misskey.nokotaro.com

これについて真剣に考えています

RE: https://misskey.nokotaro.com/notes/818db2aafed4b7df8cdd9824

https://misskey.nokotaro.com/notes/818db2aafed4b7df8cdd9824

Nokotaro Takeda (@takenoko)

21:10:25 Kuropen @kuropen@mi.kuropen.org

2024-02-17 21:07:34 Posting めいめい mei23@misskey.m544.net

This account is not set to public on notestock.

21:11:07 Kuropen @kuropen@mi.kuropen.org

2024-02-17 21:10:32 Posting kphrx kPherox@pl.kpherox.dev

ホワイトリストで特定サーバーとしか連合しないサーバーのこと、まとめてごっそりTwitterとかBlueskyの中央集権SNSに移住したようなもんとして見ればいいかなって

21:12:18 Kuropen @kuropen@mi.kuropen.org

結局LTL主体で他サーバー連合はあくまでオプションという考え方なのかなと、そういうサーバーって。
求めていたのはあくまでも既存SNSに対するオルタナティブ、みたいな。

22:05:21 Kuropen @kuropen@mi.kuropen.org

2024-02-17 22:02:45 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

22:05:23 Kuropen @kuropen@mi.kuropen.org

2024-02-17 22:03:50 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

22:06:37 Kuropen @kuropen@mi.kuropen.org

それどこかの自治体の条例に引っかかりそうな気がする。もっともリアル街中に出なきゃ大丈夫か。

22:09:54 Kuropen @kuropen@mi.kuropen.org

このDMARCレポートに書いてあるやつと、今回Misskeyの管理アドレスに指定していて不正利用されたやつが同じアカウントにひも付いていて、なので不正利用されること自体はもはや諦めがついている。
ただし今回は内容が物騒すぎるため対応検討中となる。

RE: https://mi.kuropen.org/notes/9pt0hsyubq

https://mi.kuropen.org/notes/9pt0hsyubq

Kuropen (@kuropen)

22:11:43 Kuropen @kuropen@mi.kuropen.org

2024-02-17 22:09:21 Posting genya0407 genya0407@social.genya0407.link

This account is not set to public on notestock.

22:11:45 Kuropen @kuropen@mi.kuropen.org

2024-02-17 22:11:00 Posting もちゃ(あと-13.60Kg) mot@mastodon.motcha.tech

This account is not set to public on notestock.

22:12:06 Kuropen @kuropen@mi.kuropen.org

2024-02-16 11:24:15 Posting のえる noellabo@fedibird.com

迷惑なメンションに困っている方へ

フォロー関係にない人からのメンションを制限する設定があります。

制限して差し支えない場合、こちらを活用してください。

その他の通知設定（Mastodon）

通知の受信設定（Misskey）

22:17:14 Kuropen @kuropen@mi.kuropen.org

2024-02-17 22:11:00 Posting camo camo@fedibird.com

This account is not set to public on notestock.

22:21:18 Kuropen @kuropen@mi.kuropen.org

2024-02-17 22:20:49 Posting 村雲るね☁つじごや renem2185@mi.tsujigoya.net

やってるやってる

Rd.2 ラリー・スウェーデン前日SP＆SS13｜WRC
https://abema.tv/now-on-air/world-sports-1

https://abema.tv/now-on-air/world-sports-1

エラー | ABEMA

22:26:34 Kuropen @kuropen@mi.kuropen.org

自分はWRCはこのあとJ SPORTSで見る予定。今はDAZNでExtreme Eかけてる。
いまRedemption Race（予選下位の順位決定戦）が終わったところでこのあと決勝（予選上位4台の順位決定戦）

22:29:25 Kuropen @kuropen@mi.kuropen.org

2024-02-17 22:28:34 Posting joinmisskey (api etc.) [Official] joinmisskey@misskey.io

【古くからMisskeyをお使いいただいているサーバー管理者様、およびMisskeyに変更を加えてサーバーを提供している管理者様へ】

Misskey v2024.2.0では、リポジトリURL(meta.repositoryUrl)が異なる場合、各ユーザーに対して添付画像のように改変したバージョンを利用している旨のメッセージが表示されるようになります。
古いインスタンスではrepositoryUrlがsyuilo/misskeyに設定されていますが、メッセージ表示時にこれが考慮されていないため、改変されていないにも関わらず表示されてしまいます。

Misskeyのソースに変更を加えずサーバーをご利用になっている場合、 コントロールパネル - ブランディング - リポジトリURL をmisskey-dev/misskeyに変更していただくことで、このメッセージは表示されなくなります。お手数をおかけしますがよろしくお願いします。

Misskeyを改変してお使いになっている場合は、リポジトリURLをご自身のGitHub等の公開リポジトリに指定してください。公開リポジトリをお持ちでない場合、default.ymlでpublishTarballInsteadOfProvideRepositoryUrl: trueを指定してください（これについての詳細は最新のexample.ymlをお読みください）。

RE: https://misskey.io/notes/9pt8v90pkm7q08ii

https://misskey.io/notes/9pt8v90pkm7q08ii

joinmisskey api [Official] (@joinmisskey)

23:12:39 Kuropen @kuropen@mi.kuropen.org

@souji@fedibird.com それ最近騒ぎになっているスパムなんですが、各サーバー管理者が対応に苦慮している案件なので、ブーストしないでサーバー管理者に通報してもらえますか？

23:31:44 Kuropen @kuropen@mi.kuropen.org

2024-02-17 23:30:14 Posting OZAWA@お一人様インスタンス✅ bmwandmore@mstdn.bmw-and-more.info

公開されてるメールアドレス使って迷惑かけるの𝕏の方でも観測されてるのか。

23:45:05 Kuropen @kuropen@mi.kuropen.org

2024-02-17 23:44:20 Posting 藤嶺氷雨 hisame_f78@mi.kuropen.org

This account is not set to public on notestock.

Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29

Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29

Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29