2023年10月22日
他の年の同じ日
次の年
12:08:34
notestock 公開ページリンク
icon

codeberg.org/fediverse/fediver
「それ、こうすればVCDIでも行けるよ」という話になって、「でもVCDIは署名対象の文書に`proof`プロパティで署名を埋め込む仕組みだから参照にハッシュだけ付けたい場合に馴染まないのよね。仮に`proof`の逆みたいなプロパティがあってハッシュ側から対象を指せれば話は別だけど……」とまで考えたところで「それ`"@reverse": "proof"`じゃん」と自己完結するなどしていた

Web site image
https://codeberg.org/fediverse/fediverse-ideas/issues/45#issuecomment-1287647
Integrity protection for `Announce` activities
12:15:02
notestock 公開ページリンク
icon

問題を適切に言語化できれば解決したも同然みたいなやつ

18:32:39
notestock 公開ページリンク
2023-07-03 08:42:04 らりお・ザ・何らかの🈗然㊌ソムリエの投稿 lo48576@mastodon.cardina1.red
icon

「JSON-LD 準拠の処理系が読んだときの解釈が、それっぽい走査や構造の仮定のもとで読んだときと異なる」みたいなの普通に攻撃に使えそうなのでそういうコードは書きたくないという強い抵抗感がある

18:33:26
notestock 公開ページリンク
icon

今まさにこれをどうしたものか悩んでいる
QT: mastodon.cardina1.red/@lo48576 [参照]

Web site image
https://mastodon.cardina1.red/@lo48576/110647137018194917
らりお・ザ・何らかの🈗然㊌ソムリエ (@lo48576@mastodon.cardina1.red)
Web site image
https://fedibird.com/@tesaguri/111277978824910190/references
投稿の参照(1件) by tesaguri 🦀🦝 (@tesaguri@fedibird.com)
18:42:12
notestock 公開ページリンク
icon

codeberg.org/tesaguri/fep/src/
オブジェクトのハッシュ値を生成するような用途で生成時にJSON-LDとして処理するとして、plain JSONとして読んだときに別の表現として認識されるようなオブジェクトにすり替える攻撃が成立しそうという懸念がある

Web site image
https://codeberg.org/tesaguri/fep/src/branch/fep-6b13/fep/6b13/fep-6b13.md#8-1-mismatch-between-original-and-canonical-forms
fep
19:18:51
notestock 公開ページリンク
icon

Plain JSONとして解釈してもJSON-LDとして解釈しても他方と異なる変な内容を掴まされる可能性がある以上は、真面目に処理したいならどちらの解釈も行なった上でそれぞれの結果が異なるものは怪しいものとして弾くしかなかったりするのだろうか。うーん……

2023年10月22日