@okin_p 当初メアド無しで登録できるとこが狙われてるって話だったんですが、どうも変わってきたみたいですね…🥺
@4uShiyu で歌を歌っている人のプラベ垢。
たまにメンヘラになるので要注意
@mistvoise と同棲中のセクマイ
昔はサーバーとかネットワーク触ってるエンジニアだった人。
今は志優の名前でサイト作ったりSNSアドバイスしたり、なんかできることをゴネゴネやってます。
Python好き。
mstdn.yuicho.net の管理者です。
何かあったらメンションかDMしてください。
ということはつまり、メアド必須でも意味がない…?
This account is not set to public on notestock.
どっちかっていうと、荒らされてる鯖のIP管理元に通報するほうが早そう
数多いけど
This account is not set to public on notestock.
444なんてあったんだ
TCPコネクションぶっちかなるほどreturn 444;
が評価されるとNGINXは何のレスポンスも返さずにコネクションを閉じるようです。HTTP/1.1 444
のようなレスポンスを返すわけではないようです。
This account is not set to public on notestock.
This account is not set to public on notestock.
この手のフィルター、バニラMastodonでも必要だよなぁと思う
ちょうど Mastodon v4.2.7 がリリースされたところですので、それに対するパッチを出しておきます。
リモートから届いた、あるいはブーストや検索等でfetchしたCreate Activityのcontentに対し正規表現でマッチしたものを拒否する機能を追加するものです。
要するにサーバレベルのリモート投稿フィルタです。
https://github.com/fedibird/mastodon/tree/add-reject-pattern-to-admin-setting-v4.2.7
手順はざっくりこんな感じ。
sudo -iu mastodon
cd live
git fetch https://github.com/fedibird/mastodon add-reject-pattern-to-admin-setting-v4.2.7
git reset --hard FETCH_HEAD
RAILS_ENV=production bundle install
RAILS_ENV=production yarn install --frozen-lockfile
exit
sudo systemctl restart mastodon-*
データベーススキーマなどには影響しないので、いつでもv4.2.7に安全に戻せます。必要な方はどうぞ。
This account is not set to public on notestock.
どうしてもMisskeyが良いっていうのでなければ、kmyblueさんはにじみすと利用者層(オタク女性)が近いから良いと思うよ。絵文字リアクションも使えるし!
gitのrelease追跡にNewReleasesおすすめ
ユーザー数2位、3位、11位のサーバーが鎖国。述べ7万人のユーザーがfediverseから退場することになるらしい。
This account is not set to public on notestock.
This account is not set to public on notestock.
これは考え方次第だと思うのだけど、だからこそもっと鯖の粒を小さくして行く必要があると思ってるんだよなぁ
とはいえ、鯖が増えれば増えるほど、今回みたいなことに使われてしまう脆弱な鯖も増えるわけで……
本当にこれ
仕方ないんだけどね
This account is not set to public on notestock.
実際ドメインの信頼度とか見る仕組みがメール界隈には(色々問題あるとはいえ)存在するので、似たような仕組みがAPにも必要だとは思う
まあなんというか、今回の一件がThreads参入前でまだ良かったなの気持ち。
今後Threadsが二の足踏む可能性は大いにあるけど。
いやだからActivityPubはダメだとかBlueskyはダメだとかNostrはダメだとかじゃなくて、それぞれメリデメあんだからそれを理解して使い分けてくれや、何とかと鋏は使いようだろ
@tukine 鎖国のやり方によりますけど、にじみすさんの鎖国はメンションすら届かない感じっぽい気配がありますね
フォロー関係はお互いそのままで止まるので、その後どっちかが外したりしたら不整合が起きるはず
しかもまたセキュリティパッチやん
> This release is an important security release fixing a major security issue.
仕方ないことなんだけど、これでスパムやってるクソガキの思う壺になってしまってるから悲しい
今回の対応に使うかどうかはまた別として、20も30も付けるのは明らかにおかしいので、そういうのを未然に防ぐ目的で実装するのはありかなとおもいます
メルアドも承認も無くてアカウントが作れる実装、かなり責任重大すぎない?
This account is not set to public on notestock.
This account is not set to public on notestock.
そうなるだろうなーと思ってた()
notestockのbotフラグ立ててるアカウントにも来てるので、たぶんbotフラグは見て無さそう。そんな丁寧なことして無さそう。
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
MastodonでhCaptchaを使う - https://www.okin-jp.net/archives/6841
しぃ!にいれました。hCaptchaを突破できないときはメールもらったら対応します。ほかのサーバーだとMisskeyではTurnstile、FirefishではhCaptchaを入れています。
Hostdonから独自鯖へのお引越考えてる人に色々助言してたけど、そもそもHostdonってデータ抜き出せるんか???
鯖管、自分の管理してるドメイン以外のアカウントも持って周知する必要あるなーって思った
スパム飛ばしてきてた鯖の紹介見たら、「low-moderation instance」って書いてあったwwwww
いや、low-moderationすぎるやろwwwww
いやー、ぜひ不正にアカウント作られまくった鯖主さんたちには被害届出していただいて、このクソガキっぽいやつ捕まえてほしいわぁ
勘違いする人いないと思うけど、!が多いとクソガキって言いたいわけじゃないからね…🥹
こんな面倒なことやっといて、ばらまいた文章がこんなダサいのって…
例のスパム、改めて文章読むとちょいちょい変なんよな
犯罪組織 の運営を名乗ってるくせに後半紹介したやつが運営になってるし、犯罪組織
なのに告発だの無料で提供だの意味分からんし
最初は外国人かAI生成なのかなとも思ったけど、この「!」の多さ、まじでクソガキがやってるのでは…
僕のMacくん、「トゥート」を変換しようとすると「gif」が出てくるんだけどなんで?????
トゥートはgifだった…??????
スパムちゃん夜はちゃんと寝る良い子だった説(スパムの時点で良い子ではない)
QT https://mstdn.poyo.me/@NekomovYuyusuky/111937059900540587
This account is not set to public on notestock.
kmyblueのLTS版で、 /app/views/settings/preferences/reaching/show.html.haml の34行目でhintが2回定義されているっていうものすごく軽微なバグを見つけてしまった。
特に動作に支障はなさそう(たまにログにwarningが出るぐらい)で最新版では修正されているので、issueあげるほどでもないかな…
というか認識済みのバグな気もする。
(のでここで呟くだけにした)
お?
1PasswordでOTP管理できそう…?
使ってみて良さそうだったら、Authyから1Passwordに乗り換えようかなぁ
普段使わないアカウントをモデレーター権限でログイン無効化してしまいたいけど、これってやっぱり無効化にしたら発行済みのトークンも使えなくなるのかな
一応iCloudキーチェーンでもOTPの管理はできるのだけど、1要素目であるパスワードがiCloud管理だから、2要素とも同じところで管理しちゃったら意味ない気がするのよなぁ
AuthyのDesktop版がサポート終了するらしい。
まじかぁ…
Rely on Authy desktop apps? You have one month to switch your 2FA, or else | ZDNET
https://www.zdnet.com/article/rely-on-authy-desktop-apps-you-have-one-month-to-switch-your-2fa-or-else/
This account is not set to public on notestock.
いったいどれだけの鯖でスパムアカウント生やしてるんや…
というか、認証無しにアカウント作れる鯖のリスト持ってて、次々乗り換えてんのかな
This account is not set to public on notestock.
なんか書かずにはいられなかった。
これはきっと、そのへんのなんかよくわからん機関のアレな陰謀の一つっぽいやつな気がする
今この鯖をドメインブロックしてる鯖主さんリプライください!
…って、ブロックしてたら見れないか!ꉂꉂ ( ˆᴗˆ )ドッ
自鯖だと法律さえ守れば何言っても怒られないから最高
(なおドメインブロックされる恐れはある)
This account is not set to public on notestock.
まあ正直見れるだけで十分ではある()
たまーにさくっと全アカウントのタイムライン様子見るには、公式のアプリはやりにくかったんじゃぁ
#feather 使ってBluesky見るの、画像の保存とかはうまく行かないね
添付ファイルの形式がおかしくなっちゃってる気配
@rkdnsh それで問題ないですねー
401ってことは認証ができてないんで、メアドかパスワードが違うってことになります
メアドの他IDでも認証可能なので、ひとまずIDとアプリパスワードで試してみてください
🚨 Mastodon security patch released
The Mastodon team has released new versions that fix several important security issues.
It is strongly recommended that admins upgrade to the latest version of their branch ASAP.
More information about the security patches are available in the changelog:
4.2.6 https://github.com/mastodon/mastodon/releases/tag/v4.2.5
4.1.14 https://github.com/mastodon/mastodon/releases/tag/v4.1.13
4.0.14 https://github.com/mastodon/mastodon/releases/tag/v4.0.13
This account is not set to public on notestock.
今回に関しては、Discordのリンク貼ってDDoSをイキってる感じあったから、単純に愉快犯なのかなって気もしなくはない
This account is not set to public on notestock.
This account is not set to public on notestock.
多分だけど、インフラエンジニアは変な人(褒め言葉)がおおい
というか、Cloudflare全体的に無料でできること多すぎて、もはや怖い()
This account is not set to public on notestock.
This account is not set to public on notestock.
鯖缶を仕事でやってる時、昔障害が発生したら「テンション上がってきたあああああ」って叫んでる人がいたらしく、その人のことが「障害でテンション上がるなんておかしい」って言われてた。
その瞬間に、自分もやばい分類なんだと悟ったから、テンション上がってること気づかれないようにしてた。
わかるし、前職の時実際テンション上がってた
This account is not set to public on notestock.
正直テンション上がる
This account is not set to public on notestock.
棒を押すタイプの改札型入り口、昭和の施設ではよく見た気がするけど、最近どんどん減っている気がする。
京都の帷子ノ辻駅にがちょがちょする改札あって、多分これからも残る
(昔存在した改札を入場専用にしてるので、無くせないけれどちゃんとした改札にすることもできないやつ)
面白いぐらいしっかり俳句wwwwwww
QT https://social.timespiral.co.jp/@find575/111936204644960583
This account is not set to public on notestock.
@lithium03 管理者メアドで悪さしてる話とは別に、いくつかの鯖で、連合に出てきたユーザー片っ端にメンションするスパムが大量に生やされてる感じです……
IPまで自分で準備してますっていうならまだあれだけど、それでもIPが所属する国の評価を下げることになるので、結局どこかには迷惑をかけてしまう結果になると思ってる。
……という感覚、レンタルサーバー使ってるユーザーさんにはそこまでなかったりするんだよねぇ…
前職で苦労した…………
それに、インターネットで何かをする上で、全て自分のものだけで運営してるパターンってほとんどないと思うのよね。
個人になれば特に。
そういう状態で、スパムの発射台になってしまうと、借りてる元にめちゃめちゃ迷惑がかかるので、そういう意味でも「借りてる責任」が存在するかなぁの気持ち。
(というか、数年前まで貸してる側の立場だったので、そこのところしっかりしてくれーっていうユーザーさんが多すぎた)
インターネットの世界において、どんなサーバーを運営するかは持ち主の自由かなって思うけど、それはあくまでインターネット全体の安全性を脅かさないことが大前提になってるかなぁって思う。
例えば、WordPressでどんなサイト運営しても(どこかの規約や法律に触れてないなら)文句言われる筋合いはないけれど、そのWordPressがスパムの発射台とかにならないようにする『責任』はあると思うのよね
@srgr0 Mastodonに限らず、Web鯖とかメル鯖でも同じかなーって思うんですけど、あくまで「他所鯖に迷惑かけない」が大前提かなぁと思ったりします…
他所に迷惑かけることがないのであれば、別にその鯖管理者の独断方針でいいかなぁと。
@notice うーん…
そうなんですね…
いろんな連絡する上でもメアド設定は必須の方が良さそうだけど、身内で使う(つもりしかない)鯖だとその方がいいって思う人もいるのかなぁ
そんな設定あっても怖すぎてできない…
#Yuichodon においては、該当するスパムは使われている単語でブロックした上に、うちに届いていたスパムアカウントは全てprugeしました
(まともなアカウントもあったので、ランダムに発行されたと思われるアカウントを止めてます)
Misskeyってメルアド不要で登録できる鯖って存在するの…?
Mastodonもフォークによってはできるんかな