今のTwitterって一般人も普通に使ってるし、かれらの使うタンスを維持したり集客したりする人にどんな利点があるのか？ってあたりから議論しないと回らんよ。腕のある人のインスタンスの大半は集客が積極的ではなくて小規模なままというのが現状

Twitterユーザの脱出でマストドンに来るにしても、タンスを分散させるような考えがないと結局は企業じゃないと維持できない何かになる

ただし維持費の問題があるのです。大手タンスは結局どこかしらの企業そのものか、企業から支援を得ている

クライアント作る人は結局タンスも建てるよね…日常使用しつつタンスのエラーログ見れる状況が開発に便利だから。

あれ、マストドンってdocker構成だとrubyは2.4.4じゃない？ ruby2.5.1に上げる必要が、って話はどこから出てきたんだろ？

このアカウントは、notestockで公開設定になっていません。

コントローラーの充電が切れていて正座待機するなど

やっとルームスケールVRできる状態になったぜ

Glideから画像を読みに行く時にUser-Agentが反映されてなかった。なるほどbuild.gradleの annotationProcessor の指定を kapt に置き換えないとアノテーション指定が反映されなかったんだな…。なくても動いてたから気が付かなかったよ

50A契約だし、つなぐのはPC1台と小さいガジェット一杯と撮影用照明かだからたぶん大丈夫

コンセントタップ、6畳間ならこのくらいで足りるかなあ…？

@Dalk perlbrewとかcpanminusとかdockerとかあるし好きな方法で…

"SweetTubuan/0.1.1" とかいうUser-Agentが飛ぶぞ

User-Agent の使われ方って統計とかなら別にいいんだけど、たまに挙動を変えられたりすることもあるので逃げ道を用意しておく

https://mastodon.juggler.jp/media/MB0z5Hty6cY8HqSoKvA

npmだとSequelize がmigrationもできてラクな感じはある

@tmyt 主な問題はどうパースするかじゃなくてその後にどんな(装飾された)文字列を組み立てるかにある。絵文字の対応とか(アニメーションする)カスタム絵文字の対応とか、メンションをfull acctにするかどうかとか、添付メディアの画像と同じURLを簡略表示するとか、リンクURLの簡略表示とか。添付メディアの表示も拘るとキリがない

@tmyt PleromaとかPeerTubeとかpixelfedとかMisskey とかFunkwhale とかPlume とか色々あるよね。Twitterみたく標準化されてないオレオレマークアップでは済まないのは自明

@tmyt ActivityPubがいろんなサービスと連動する以上、コンテンツのやり取りになんらかマークアップが使われるのは仕方ない。標準的なマークアップであるHTMLならライブラリが既にあるし仕様の曖昧さもない

@tmyt どの処理系にもHTMLパーサーのライブラリがあるからそれを使うのがお手軽。STはHTMLパーサー自前で持ってるな…

https://play.google.com/store/apps/details?id=org.tootto お、Androidのマストドンクライアントに新作がでてる。中華製

@tmyt ウチのアプリのTootApiClient.kt のauthentitation1()あたりに使用例があるよ

リコーとブラザーのプリンタで写真画質の印刷は無理

プロフェッショナルな環境だとデータのカラープロファイルを印刷機にあわせることで最高の性能を出せるとかあるけど、普段使いにはただただ邪魔でしかないです

@tmyt client credential も再利用するか破棄しないとサーバに溜まっていくので注意です

Android Studio 3.1.2 で動かすのに少し苦労するサンプルだった。そして trying to draw too large(144609280bytes) bitmap. で落ちるなど画像の取り扱いがザツ。まあAPIのサンプルだしな…

@tmyt アプリデータのエクスポートやバックアップからの復元なども影響しますが、基本的にはそんな感じです

Android用SDK のドキュメント https://api.ricoh/docs/camera-wireless-sdk-android/ 認証いるかも？

リコーが一眼レフをPCやスマホから制御するSDKを公開
http://jp.ricoh.com/release/2018/0516_1.html あら面白そう

@tmyt ユーザ毎ですが再利用はしてますね。2.4でスコープも増えたし、アプリサーバでまとめて管理しなくてよかった。
クライアントIDって削除する手段がない（ユーザ管理画面にあるのはアクセストークンの削除）のを作者と話した事があるんですが、「削除してもシステムに影響が出ない条件」が難しいらしく、彼ら的には現状維持みたいです。
なお再利用の際に存在確認のためにclient credential を取得できるようになってます。コレがないとブラウザ認証時にアプリ側ではエラーハンドリングができない事態に陥る

SlaskはTLS1.1もう捨てちゃったのか

https://github.com/tootsuite/mastodon/pull/7532/files フォロワーを隠す設定、API的にはカラのリストが返ってくるだけのようで古いクライアントでも安心。でも古いタンスから検索して覗くと見れたりしないのかな？

OSSでActivityPubなInstagram alternative が開発中みたい
https://mastodon.social/@pixelfed/100046746396112965
https://mastodon.social/@pixelfed/100046881109098251
https://github.com/dansup/pixelfed (未コミットのコードがあるらしい)

@Dalk クライアント側のperl、crypt::SSLeayとかじゃないですかねー

@Gargron
of cource it should not be bigger than 4K (for browser ).

Since the area where the client displays the notification is small, I think that the end of the text in the notification data should be omitted.

it should be shortened by byte unit, aiming at the boundary of the code point because the number of bytes consumed varies greatly depending on the type of character.

@Gargron I checked actually payload size that send from mastodon. https://github.com/tootsuite/mastodon/pull/7521
currently 15923 bytes request body was detected.

@Gargron About payload size limit, WebPush Protocol requires at least 4k. FCM Push service for native app guaranteed 3k.

Pleromaからメンション以外をひらがなで埋めた5000文字のトゥートをマストドンのタンスに送ったら、プッシュ購読のエンドポイントURLに届いたイベントのリクエストボディは15923バイトあった。長すぎてFCM経由でアプリに届けるのは無理だ

GDPRがらみで、アカウント登録時に年齢確認が入るといいなーと思ってる。カスタマイズしたら成人限定のタンスつくるとかできそう (認証ではなくて確認なのでそこまで強くはない)

#SubwayTooter のインストール端末数3456(Playストア限定)のうち、プッシュ購読を利用しているアカウントの数は現在613です。割合としてはmaster勢が多いのだなという印象

それがほんとならほとんどどこの画面からでもリストに追加できるSTははるか未来にいるな？ …そんなわけないだろう。微妙な差でしかないよ

大手タンスだけ対応！とか大手タンス以外はログインの度にタンス名を入力してね！（クッキーに覚えない)とかは流行らんと思う

このアカウントは、notestockで公開設定になっていません。

まとめサイトなんて去年の4月には存在してたけど、この問題のせいですぐ終了しちゃったのよ。そりゃ問題なかったら誰かが既につくってるよね

ユーザ設定で検索エンジン避けを有効にしてるような人は転載許可しないだろうしなあ…

検索エンジン用の収集・転載は特別に保護されてるらしいけど、まとめサイトはその枠ではないので…。投稿者本人にひとつひとつ転載許可を得るの？タンスによっては利用規約で転載許可が強制されたりするの？

転載許可どうすんの＞まとめサイト
Twitterと違って利用規約で転載許可が強制されてるわけじゃないよ

5000文字のメンション、リクエストボディは5556バイトになった

プッシュAPIから送られてくるデータ、10文字のメンションで836バイト、500文字のメンションで1356バイトある。デコードに必要なHTTPヘッダやアプリ固有のデータを足してもまだ余裕があるが、Pleromaから5000文字のメンションが来たらどうなるのか?

https://github.com/tootsuite/mastodon/pull/7521 このPR、ブラウザ用WebPushの改善とアプリ用WebPushの改悪が混ざってて怖い

@umikaki5017 クラッシュレポートはたまに見てるけど、もうOS由来のものしか残ってないしワークアラウンドもないから何もできないよ。端末メーカーが8.1アプデを出さない訳だなという感想

@Gargron WebPush requires at least 4k payload to push services, but FCM for native app has more smaller 3k limitation and its payload have to contain decription key and salt.
please make some limitation about payload size!

炎症を抑えるのならプロポリスのど飴がいいよ

鍵の再生成のせいかマストドンのWebUIのプッシュ通知が死んでるんだけど、これどうやったら回復するんだろうか…

このアカウントは、notestockで公開設定になっていません。

くはあ、くはあ

よし、偽物のプッシュイベントを受け取らないようにする修正ができた。急ぎではないしそのうちリリースする

node.js からWebPushのJWTを検証するサンプルです。 https://gist.github.com/tateisu/18e9807dfb8779c247d6297bcf445686
この短いコードを書くのに12時間かけたなんて恥ずかしいわ…

Json Web Token の署名の検証を行う時の鍵データの作り方が分からなくて頭が溶けそう。jsonwebtokenやjwa等のモジュールが要求するPEMを、サーバから受け取った公開鍵から作らないといけないみたい

購読そのものは残ってて現在の状態は取得できるので、信頼できる相手（購読APIの呼び出し先）から新しい公開鍵を提示されたなら自動で切り替えるべきかなあ…。

なお現在は署名はノーチェックなので対象端末のFCMデバイストークンが分かるなら偽物のイベントをプッシュをさせることが可能。しかし届いたアプリ側で通知を取得し直すから、偽イベントにより通知が増えることはなく、単にバッテリーを浪費されるだけ。とはいえよろしくはない

@unarist 変わったことを検知する部分が主に悩むところだったりします

プッシュ購読APIの応答にはVAPID_PUBLIC_KEYが含まれる。これはペイロード用ではなく署名検証用であり、クライアントはこの鍵をプッシュサービスに登録する事でコールバックの呼び出し元が購読先と同じであることを検証するべきである。…しかしだ。昨日の騒ぎでもあったようにタンス側が鍵を再生成すると変わってしまう。どうすりゃいいんだろうな…

低気圧による不調全般の話だったような…？ 基本的に血行が悪くなるので、何か血行が良くなるようなことをするといいはず

だいたい長風呂です＞低気圧時の体調管理

うちの地域の最低・最高気温の推移。変化が激しい。そりゃ体調も悪くなるよな… 少し落ち着いたけどバテ気味になってる

まくらにされると重くないんだろうかという疑問はある。呼吸に影響しそうだし

https://ejje.weblio.jp/content/love+pillow なお「女性の胸」という意味もあるらしい

love pillow ってイエスノー枕だけど、まあ日本の抱き枕も表と裏で違うから似たようなものか…

node.js + Kotlin/js を軽く試してみたら、 npmのモジュールを使う時にコードが曲芸だらけになってつらみを感じています。かといってC10K的なのをKotlin/JVMでやるとnioのSelectorでガリガリという方向になり大変つらい。Kotlin/JVM で coroutine + I/O multiplexing な感じのステキなライブラリはあったりしませんでしょうか…

@usg25 サイトのトップページを開いてログインボタンを探すのです

そういう意味では、脆弱性があると話題になった時点で攻撃者はコミット見に行くだろうからたいして変わらないとも言える

リリースノートにはなぜ漏れたのか直接的には書いてないけど、コミット見ればだいたいわかるよね…

このアカウントは、notestockで公開設定になっていません。

@sakko2005 rc1の間のどこかのコミットでプッシュ購読がサポートされて、でもバージョン番号からは対応ずみかどうか判断できません。よって rc1はタンスによって動いたり動かなかったりするよ。

果たして大手タンスはプッシュ購読が大幅に増える負荷に耐えきれるのか。まあ2.4自体はかなり負荷が下がってるから大丈夫だろうけど

#SubwayTooter のアカウント設定の通知セクションにある「プッシュ購読の更新」ボタンを押すと現在の購読状況が分かります。妙な理由で購読できてないこともあるので、何かおかしかったらそれ押して確認してみてね！

なんだかんだあって 2.4.0rc3になったタンスの人たち！ #SubwayTooter からアクセストークンの更新を行うとプッシュ通知がリアルタイムで来るようになるぞ！ しかも2.4未満の頃と違って安全なやつだ！

日本のモンエナは薬事法がらみでそこまで効果ないのでいいんじゃない？ 私はカフェインで不安症状でることがあるので、仕事が詰まってる時期は避けてるけど

物置部屋を掃除して出たゴミを捨てるために階段昇降して集積所まで10往復。汗まみれになった…

今朝のアレの対応でアレしてもアクセストークンは有効なままなのです

マストドンのdiscordの会話中でトークンリフレッシュは検討されていたのですが、プッシュ通知のためにアプリサーバにアクセストークンを渡すというアレな仕組みがあったせいで今まで見送られていました。2.4でこれが解決するので、今後のバージョンでトークンリフレッシュが実装される可能性は高いです

@yakitama ぇ、お仕事の方ですよ…？ SNSかんけいないよ？

仕事で使った結構な時間がアレになってアレな気分になってる

tootsuite/documentation に小さいPRを2つ投げた

ソレはまず障害の話ではないな…

MXは複数用意できるのでメールは単一障害点ではないと思うんだがどうだろうか。もしそれが単一障害点だというのならWebサイトのドメインだってそうだ

（まずRailsコンソールの出し方を知らない）

オイゲンさんからのメールの続きで、2FA認証をリセットするのにRailsコンソールで「User.update_all(otp_required_for_login: false, encrypted_otp_secret: nil)」を実行するように書かれてるが、どうするかなあ…

@yakitama セキュリティ基準を定める機関の要求通りに動いてる人にそれを言うのは単なるFUDなんでは。

WebUIなんかおかしいな？

@yakitama 古い環境をギリギリまでサポートするというのはむしろ良いことなんでは。

@yakitama クレジット決済システムのセキュリティ基準を定める国際機関「PCI SSC（Security Standards Council）」では、TLS 1.0は非推奨とされ、2018年6月30日までに無効化することを要求している

はい、再ログインが必要になるような対応を行いましたん

このアカウントは、notestockで公開設定になっていません。

オイゲンさんからタンス管理者たちに送られたメールによると、rc1-rc2のタンスはrc3に早く上げた方がいいみたいですね

@100isdrinking はい、そうです。

20180514130000 ImproveIndexOnStatusesForApiV1AccountsAccountIdStatuses: migrated (83.0101s)
やや長めのmigrationだったな…

このアカウントは、notestockで公開設定になっていません。

@WAHa_06x36 @Technowix xmpp itself is not push service.

@WAHa_06x36 @Technowix of course it waste battery. I dont want make battery drainer. also, normally 15min polling is not so bad.

@Technowix @WAHa_06x36 @Gargron if you don't like google service, but is there open alternatives of cloud messaging service? it requires specialized mobile network function. I know amazon kindle has it own messaging service, but it's not open too.

@Technowix @WAHa_06x36 @Gargron yes, ST2.4.9 supports push subscription (maybe need update access token to enable it). app calls subscription api, then app-server receives notification from mastodon, then event is redirected via Firebase Cloud Messaging that uses mobile network function that can send message to deep sleeped mobile device.
if device has no google servece, ST can use polling notification every 15min interval.

@kumanotetu マストドン2.4から自分の非公開トゥートはブーストできるようになりますからね。長押し操作の関係で他人のトゥートでも押せるようにしないとダメですし。判別はトゥート時刻のところに非公開マークが出てるはずなのでそっちを見てください

@yakitama いや、コレで困るのはmaster勢やrc勢だけだからね。正式リリース版だけ使ってる人はコレで問題ないの

プッシュ購読した後に送られてくるイベントの、暗号化されたデータをアプリサーバでデコードするかしないかはまだ迷ってるんだけど、現時点ではデコードも何もせずに読み捨ててるので安全です（
この後の展開としては暗号キーをアプリ側で生成してアプリサーバではデコードしないか、アプリサーバ上でデコードしないとFCMのペイロードから溢れるか、現状のまま何もしないか。うまく動いてくれるのなら現状のままが一番楽で安全かな

プッシュ購読APIのGETはAPIがない場合と購読がない場合の両方で404が返る。タンスのバージョンで読み分けるにしても2.4.0正式版と2.4.1以降でないと「購読がない」という判断ができない。2.4.0rc1はコミットによりAPIの有無が異なるが、バージョン番号には表れないので「APIがない」と解釈せざるを得ない。よってタンスが2.4.0正式版になるまでの間は、通知が不要な場合でも購読解除を定期的に呼び出すことになります。

https://github.com/tootsuite/mastodon/pull/7471 と https://github.com/tootsuite/mastodon/pull/7472 でプッシュ購読の現在の状態が分かるようになった。対応せねば…

うう、はたらきたくないでござる！

日曜朝のmasterをマージしてアプデしてから3/4日が経過。 裏で動かしてたバックアップが終わったあたりからスワップが減っていってるのを観測した。今までこんなことはなかったんだ…

@carcass5382 ここ2-3週間のSTのアプデはマストドン2.4（
未リリース）の新機能に合わせたやつだから、2.3のタンスの住人はまだアプデしなくてもオッケー

まあ2.4正式リリース前だし混乱があるのは仕方ないよね

https://github.com/lindwurm/mastodon/commits/hota/2.4 をみて「少し古いな…？」ってなってる。そりゃ色々あるわけだ

ただし名前の文字数が30文字なので、カスタム絵文字のショートコードをいくつも並べるのは非現実的…

このタンスも2.4rcになったので名前部分にカスタム絵文字が使えるよ。入力支援はないのでショートコードをコピペする必要があるよ。前後に空白が必要かもしれない

https://github.com/tootsuite/mastodon/issues/7468 issueに要望を投げておくなど

というかdoorkeeperのアレを直す前にウチのテスト鯖でpush購読の動作確認してたので、末代鯖でpush購読できないのは何か別の理由だと思われる

doorkeeper のあのバグはコールバックURLが特定のパターンでないと発生しないみたいで、STのコールバックURLでは無問題だった

push権限を得るためにクライアント登録からやり直してますよ…

oauth認証の承認画面にもpushスコープの表示は出てた

アクセストークンの更新やホーム読んだりは普通にできてるよ

末代鯖に POST /api/v1/push/subscription 投げたら HTMLで「セキュリティ認証に失敗 - Mastodon <img/>」 (HTTP 422) みたいなエラーが返ってくる。タンスのエラーログを見れる訳ではないのでこれ以上の詳細は分からない。

2.4.8はPlayストアには出さなかったけど2.4.9は出す

Content Security Policy に blob: を追加すると直った。

公式Webから画像をアップロードできない状態になってしまっているの、 Refused to load the image 'blob:https://mastodon.juggler.jp/1e4dbe84-aa6a-4908-ba63-c78fb3a3e39c' because it violates the following Content Security Policy directive: "default-src https: wss: data: 'unsafe-eval' 'unsafe-inline'". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback. とかいう理由らしい

postgres,redis,public/* 等のボリュームマッピングするフォルダは /mastodon の外側に出しておくとdocker-compose build が捗ります

@_ それは凄く古いバージョンのSSですよ。リリース履歴にAPKがあれば試せるかもしれませんが、おすすめしません

こっちはまるで謎。Playストア側の問題だから分かったとしても手を出せないんだけど

このアカウントは、notestockで公開設定になっていません。

@unarist おお、そうかも！

@_ いまの最新は2.4.xだよ… かなりふるいよ。 gihtubのリリース履歴をみてくだちい。そこにAPKもあるし署名は同じなのでダウンロードして普通にアップデートできるよ

今朝のmaster、WebUIからの画像のアップロードに問題あるな… 画面の右下に「エラー！不明なエラーが発生しました」とか出る

@_ STのバージョンはいくつ？

@_ 公式Webでは表示されてるんですか？

その機能だけ捨てて2.4にしてからアイマス丼の対応を待って追従するのがいいんでは

@_ プロフのカスタム絵文字、公式もSTも入力支援はまだないよ。投稿欄でショートコードを確認してコピペでプロフを更新すると、2.4のタンスと今ストアにあるSTでなら見れるよ

メディアプロクシでwebpにすれば、ブラウザとSubwayは帯域へらせるし本体は無改造ですむよ

(続き)アクセストークンのダイジェストとアプリのインストールIDをアプリサーバに送って、複数の端末で同じアクセストークンが使われてたら最初の１つだけにプッシュ購読を許可するようにした。
アクセストークンの使いまわし自体を禁止するとバックアップやエクスポートでトラブルになるので、それは避けたかったのだ…

色々やらないといけないが、ねむい💤

うちの鯖をアップデートしたのでSubwayTooterのアカウント設定で「プッシュ購読の更新」ができるようになったはず

めんてするか