ゆるぼ: ablobcatnodmeltcry のソース元

お疲れ様でした

Amazonの商戦略に負けて、幼女戦記漫画全巻買ってしまった

幼女戦記、漫画版あるんだ

そういや alpine には security updates channel みたいな概念はあるのか？ upstream 垂れ流しよな？

Docker イメージ使ってる人たちってセキュリティアップデートの適用はどうしてるんだろ？公式イメージ使わず自分でビルド？

Firefish / Misskey のインストールスクリプトは ffmpeg 入れるのか。Mastodon / Misskey / Firefish 鯖は大体影響受けるのかな

ffmpeg が依存している libvpx で、特定の入力エンコーディングで crash が発生する severity: high の脆弱性。セキュリティアップデートがきている
https://github.com/advisories/GHSA-wc24-pw3j-j6vw

この仕様が分かりにくくて、注意書き入れようぜみたいなんが Firefish のイシューに上がってたな

RE: https://misskey.io/notes/9kg2dl4imw

rustc の下流安定版が出るくらいまで、Rust 世に広がってきたんだなあという謎の感動がある

このアカウントは、notestockで公開設定になっていません。

とりあえず昼休憩終わりにして、やることやりにいくか

ところで平日の真っ昼間から TL に投稿が流れてる人は、一体何をしてるんだ...? (僕は無職してます)

まあ、そのために今できることの一つが EV 証明書の啓蒙というのは分からなくはないが、あまりに効果が薄すぎる上に、間違った方向に啓蒙進むと逆にセキュリティの欠陥となりかねないしな

フィッシングサイトを区別する方法を提供して www のユーザを危険から保護するのがゴールで、それに対して効果が薄いと分かってる技術があるならその効果を運用と折り合いつけて高めることを考えるのが本来向くべき方向でそれこそがセキュリティだと個人的には思うんだが、CA/B は現状そっちの方向にあまり向いてない気がするというのが元々の話だった

でも、啓蒙でなんとかなると思ってる人ってセキュリティ界隈の人には結構いる。それはかれらがセキュリティが本業でそこにコストをかける意義を十分承知してるからだけど、他の人がリスクを十分理解しない可能性とそんなの覚えるコストかけるぐらいならリスクを取ることを無視している場合も結構目立つ。でもセキュリティ向上って本来そういう話じゃないよねと個人的に思う

EV は割と規格化されてるし、ちゃんと運用されればフィッシング防ぐ目的にはある程度効果見られるかもしれないが、少なくとも現状の Web 環境でなんらかの効果があるとは思えない。例えば僕は一応怪しいと思ったところは、証明書の issuer と organization 見るようにしてるが、一般的にそれを強要することはかなり難易度が高いと思うし、それにより絶大な効果があるわけでもない (これに関しては複数の調査報告がある)

EVの審査方法が規格化されたのは前進ではあると思うけど、問題なのはそれだけコストかけてなんらフィッシング防止に効果が見られないことで、EV証明書がうんぬん、DV証明書が云々以前に埋めるべきところがあると思うけどな

EV証明書使って今の Web 環境でフィッシングが防げる、防止になんらかの寄与をすると本気で思ってるんだろうか？

EV証明書を使った方がいい議論をしてる人の中に、本当にフィッシングサイトを一般人が見抜くための技術として何が必要かを議論してる人が少数なのが残念で、大体重要なとこに DV 証明書使わない方がいいみたいな議論しか見ないよな

早期型落ちトマホーク配備、きな臭くはあるが、今できることをやるとこうなる感はある

あらあら

また、その補完であるトマホークについても、米側と取得時期を早めるべく交渉しました。その結果、2026 年度及び2027 年度にブロックⅤを取得しつつ、ブロックⅤの一部をブロックⅣに変更することにより、当初予定より１年早く2025 年度からトマホークを取得することとしました。今後米国政府において議会承認の手続きがとられることとなります。

ブラウザ、マジでいまだにブックマークとか、タブとか、クッキーとか言ってるのほんと正気じゃなくない？今は令和やぞ。いや、まあソフトウェア技術者からしたら分かりやすいけど

なのでその辺解決して、VR デバイス向けとかにも提供すれば、次の覇権取れるんじゃない的な？ホーム画面取れるって結構もう覇権だよな

音声アシスタントとかは方向性としては間違ってないと思っているんだよなあ。結局普通の人にとってやりたいのって、気に入ってる曲とか動画見て、探したい情報探して、みんなが感じてることを感じて、そして連絡取りたい相手とやりとりしたいだけで、そこにアプリ購入だの、URL 遷移だの、オンライン通信だの意味不明な工程挟む必要性感じないと思うんだよなあ (まあ、僕は普通の人じゃないので、感性がちゃんと理解できてるか分からんが)

それでいうと、Android / iOS のホーム画面もいい勝負ではあるんだが、ブラウザよりは随分マシ。Windows / macOS は...

Web サイトに辿り着けないので、アプリ量産しなきゃいけない問題、リテラシーというより単純にブラウザが使いにくいというのがあると思うんだよな。正気じゃない UI してるブラウザ多いし。だって作ってるの、普通の人は URL でサイト見分けられると思ってる開発者たちだし...

このアカウントは、notestockで公開設定になっていません。

情報発信・受信を AP に統合した世界見てみたいな

RSS reader 滅ぼしたいというか、RSS 滅ぼしたい

ActivityPub outbox reader 流行らせて、RSS reader 滅ぼしたい

ま、k8s で運用してる人には関係ないが

アップデート時、pnpm run build も cargo build も必要ないのが売りです (つまり、停止時間はファイル置換の時間のみ)

そういや、今日の仕事は終わった

https://github.com/mizunashi-mana/firefish-dist-pkg の使い方記事書くか

使ってる人は見る気がする (僕は使ってない。アップデートも apt install でできるようにしてるし)

RE: https://post.naskya.net/notes/9kdp2pcbpfu50yv0

Oh...

(0Day) Exim AUTH Out-Of-Bounds Write Remote Code Execution Vulnerability

デフォルトタイムラインをデフォルトハッシュタグで選べるようにするで、救われる鯖があるんです？

今日も今日とてLTLを分けたいがために鯖をもう一つ立てなきゃいけない話か？

Rust は

const X: i32 = 0;

mod a {
    pub const Y: i32 = 1;
}

fn main() {
    println!("{:?}", { use a::*; X + Y });
}

こういうのがあるんだ
https://gitlab.com/soapbox-pub/mostr

少なくとも二度個人鯖の個人アカウント爆破してるし、Fediverse 上で一番長いアカウントは Vivaldi social にある避難垢だわ

個人鯖運用してる身としては、個人鯖に継続性を微塵も感じないが、どうなんだろ？

サービスプロトコル分散させる前にやることがあるんだよなあ

これが21世紀の技術かよって感じ（？）

DNS と X.509 Root CA、現在のネットワーク技術の主要な部分を占めるわけだが、非常に制約の強い運用のされ方をしてるんだよな

このアカウントは、notestockで公開設定になっていません。

まあ権限管理とかはなくて良いけど

個人鯖だからこそ機能豊富なソフト使いたいみたいなとこない？

Rust は

const X = 0;

mod A {
    const Y = 1;
}

fn main() {
    println!("{:?}", A.{ X + Y }); // 3 を出力
}

OCaml これなのか

RE: https://ff.mizunashi.work/notes/9kb4a8a1a2qkdpsw

こういうの普通の言語ではどうしてるんだ。まあそもそも A.(x + y) みたいなのを書ける言語は少ないかもしれんが

x = 1

module A
  y = 2
end

A.x // エラー (もしくはリント警告)
A.(x) // => 1

x = 1

module A
  y = 2
end

A.#self.x // エラー
A.#self.y // => 2
A.(x + #self.y) // => 3
A.(#self.x) // エラー

エラーになって欲しいとして、

x = 1

module A
  y = 2
end

print A.(x + y)

x = 0

module A
  y = 1
end

print A.x

保険、基本数がなきゃ成り立たないし、規模の経済が効きやすいというのはそうだよな