そういやカスタム絵文字に SVG 対応してる ActivityPub 実装ってないのか

@noellabo 他の画像フォーマットを扱うのと同程度のリスクだとは思いますが、気分的になんか怖いというのもわかる

仮にサーバー側で対応してたとしてもネイティブアプリ開発者の方面から悲鳴が上がりそう

@noellabo SVG に含まれる script 要素のような interactive な機能については <img> 要素においては機能しませんし、こと Mastodon においては script 要素を含む SVG ファイルを直接開いた場合でさえ CSP によってブロックされます。それを踏まえた上で、気分的になんか怖いというのもわかるという意図でした（理屈の上では安全でも直感的に嫌な予感がするという感覚はそれとして大事）

我々は SVG に対するセキュリティリスクを恐れる一方で、PNG 画像や WebM 動画を扱う際のセキュリティリスクを過小評価していないだろうか？

@noellabo サーバーサイドで再エンコーディングを行うことが「無害化」であるかと言われると、attack surface が Web ブラウザから libvips や ffmpeg に移っただけに思えますが、それはそれとして SVG に対する手軽な安全策が欲しいという事については同意です

SMARTalk サ終したからもう SIP クライアント常駐させなくていいんだったと気付いてアンインストールした

ActivityPub の仕組み上、Twitter のようにリストに入れて様子見てからフォローするができないので、フォロー後になってやっぱ合わんわｗでフォロー外されるのは仕方なさそう

Twitterでもやっぱ合わんわｗでフォロー外してくれても構わんですが