Malicious remote code execution backdoor discovered in the popular bootstrap-sass Ruby gem | Snyk https://snyk.io/blog/malicious-remote-code-execution-backdoor-discovered-in-the-popular-bootstrap-sass-ruby-gem/
Malicious remote code execution backdoor discovered in the popular bootstrap-sass Ruby gem | Snyk https://snyk.io/blog/malicious-remote-code-execution-backdoor-discovered-in-the-popular-bootstrap-sass-ruby-gem/
久しぶりにフルッタメルカドンを淹れたらあんまりおいしくならなかったようええええぇーん
そんな 
ですが
e6814a332 (upstream/master) Fix `tootctl accounts cull` (#10460)
bd365cc38 Duplicate values (#10470)
26bd9fa50 i18n: update Catalan translation (#10458)
caa2814d4 Translate Korean (devise) (#10464)
cc6e3c390 Cache featured collections, as well as outbox, followers and following (#10467)
https://mastodon.zunda.ninja/@zundan/101869378381211606
好みによりけりなのが言語
暦によりけりなのが元号
\Master/ \ますたー/
Merged tootsuite/mastodon at e6814a332c3b355893d366cf8639ab3c7e30b52b.
RT @osyoyu@twitter.com: MX 設定したら G Apps のパスワードリセットからのログインとかもできちゃうのかな (MX は設定されている)
https://twitter.com/osyoyu/status/1113876771135414273?s=21
@babukaru MX は Mail eXchanger で,そのドメインのメールアドレスのメールを配送する先を指定する DNS レコードなのだけど,たとえば元々 G Apps とか Office 365 とかで独自ドメインメールを運用してるドメインで MX が設定されてたのなら,ドメインパクると G Apps とか Office 365 の管理者権限もパスワードリセットからパクれるんじゃないかなという思考実験の話
whoisの管理メールアドレスをそのドメインにしとくと穴ががっぽりよね
「ラブライブは我々が頂いた!」 人気アニメの公式サイト乗っ取りか 公式「原因究明中」 ドメイン移管された?(要約) - ITmedia NEWS https://www.itmedia.co.jp/news/spv/1904/05/news051_0.html
This account is not set to public on notestock.
Hungarian strawberries never disappoint me. とかかな?
Hungarian strawberries are always delicious.
ポジティブになるの慣れてん
This account is not set to public on notestock.
This account is not set to public on notestock.
「会社のみんなで2週間の夏休みです」とか書いているところがあれば、ドメイン移管ゲットのチャンス!?
This account is not set to public on notestock.
私もいまこれ思った、改元でjpドメインも所有者シャッフル大チャンスじゃん
ドメインを乗っとってパスワードリセットのメールを横取りして鳥アカウントを乗っ取る事例があったわよねー
This account is not set to public on notestock.
This account is not set to public on notestock.
乗っとり後のページの証明書、Let's Encryptとかでお気軽に作れるよねって確認してみたかったんだけど日本が朝になったからかTLSすらつながらないっすね。IPアドレス1個だけだしサーバ業者さんがどきどきしてるのかも。
JPドメインの件は、我々も足下の見直しが必要だし、仕組みの改善もなされるでしょう。
それはさておき。
我々分散SNSの鯖缶勢がこの事例から学ぶべきコトとして、連絡先の重要性が挙げられます。
すなわち、
きちんと連絡がとれて、意志表示ができる管理者がいること。
Mastodon v2.8では、Keybaseとの連携(簡単に登録できるようになる)が搭載されますが、管理者の連絡先情報が必須になっています。
管理 - サイト設定 の連絡先ユーザー名やビジネスメールアドレスは、きちんと設定されていますか?
#ハッシュタグリレー でも、この情報を用いて、サイト全体に対する設定を行える管理者を確認しようと思っています。
連絡、非常時の代行者も含め、いつでもとれるようにしておきましょうね。 #mastodon
あきょぜ(4.3.0a)
akyoz@plustodon.net
This account is not set to public on notestock.
$ :| openssl s_client -connect www.lovelive-anime.jp:443 -servername www.lovelive-anime.jp
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = www.lovelive-anime.jp
verify return:1
---
Certificate chain
0 s:/CN=www.lovelive-anime.jp
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
03:3d:eb:26:b6:cc:dc:a3:37:76:8a:19:e6:35:e3:62:b9:2c
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
Validity
Not Before: Apr 4 16:02:53 2019 GMT
Not After : Jul 3 16:02:53 2019 GMT
Subject: CN=www.lovelive-anime.jp
:
X509v3 Subject Alternative Name:
DNS:lovelive-anime.jp, DNS:www.lovelive-anime.jp
:
これみればわかる >> crt.sh | lovelive-anime.jp https://crt.sh/?q=lovelive-anime.jp
www のついてるほうもこれなんで >> crt.sh | www.lovelive-anime.jp https://crt.sh/?q=www.lovelive-anime.jp
This account is not set to public on notestock.
This account is not set to public on notestock.
アメリカで言うfutonはソファーベッドにマットレスが付属してるもののことなんだよね
This account is not set to public on notestock.
翻訳botさんのAI、米帝の人工衛星で動いてそうだから使うのにお金かかりそうよね (人工衛星じゃなくてGoogleさんかどこかのデータセンターです)
This account is not set to public on notestock.
RT @tiketiketikeke@twitter.com: 高等教育機関および学校法人などが登録可能な ac\.jp ドメインのドロップキャッチ事案です。
2002年に山梨大学と統合し山梨大学医学部となった旧山梨医科大学のドメイン yamanashi-med[.]ac[.]jp が風俗店を紹介するブログサイトと化しています。
これ、レジストラの責任は重いと思いますよ。
https://twitter.com/tiketiketikeke/status/1113991849910226944?s=21
This account is not set to public on notestock.
Tailchaser@mstdn.beer
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
This account is not set to public on notestock.
DSS 43 carrier lock on Hayabusa-2
Frequency: 8.4261GHz
Signal strength: -136dBm
OUT OF LOCK OFF 1 MCD2
This account is not set to public on notestock.
This account is not set to public on notestock.
DSS 55 receiving data from Hayabusa-2 at 4.1kb/s.
IN LOCK OFF 1 MCD2
Keybase,一言で言えば PGP を SNS における本人認証に使えるようにした基盤
$ sync; sync; sync; sudo reboot
リブートすどー(-人-)
$ uptime
15:04:15 up 1 min, 1 user, load average: 0.29, 0.12, 0.05
ありあとー!
DSS 14 receiving data from Voyager 1 at 160b/s.
IN LOCK OFF 1 MCD2
This account is not set to public on notestock.
This account is not set to public on notestock.
こんどのv2.8.0で、MastodonがKeybaseに対応する。
Keybaseはざっくり言うと、本人確認を容易にしてくれる仕組みで、
本人の本物のアカウントや管理しているサイトが確認できたり、登録されている鍵を使って、本人だけが確認できる暗号化した秘密のメッセージを作成したりできる。
こんな感じ。
https://keybase.io/noellabo
Keybaseというサービスに一元管理される便利さの反面、一つのサービスに集中してしまう中央集権の問題があるので、
Mastodonでは、同様の仕組みを持つ別のサービスにも対応できるように最初から作り込んで、特定サービスに依存しないように、リスクを回避できるようにしている。
いわゆる「公式アカウント」を実現するためには、Keybaseの利用をお薦めしたい。
Mastodonのv2.8.0は、Keybaseがソーシャルアカウントに公式対応する4/8に合わせてリリースされる予定。
多くのサービスが対応できる一般的な仕組みが組み込まれる。この記事参照。
https://qiita.com/syui/items/b60f8e1920930eff76b0
#mastodon
Mastodonの対応アプリのように、鯖缶が特に何も対応の為の手間をかけなくても、ユーザーが自動的に利用できるように、仕組みが作り込まれている。
従来の考え方では、サーバ毎に独立したサービスとして、Keybaseへの登録が必要だった。
今回の新機能では、どんなURLで公開していても、Mastodonであれば自動的に登録できるようになっているということが画期的です。
なお、注意点として、サーバ管理者の連絡先が未登録だとダメです。登録していない人は、いまのうちに登録しておきましょう。
また、当然v2.8.0からの対応なので、自分の所属サーバがv2.8.0になっていなければダメです。 #mastodon
Keybase連携だけど、あくまでKeybaseに登録する認証をスムースにするためのもので、Keybaseの機能に依存するようなものは(少なくともすぐには)作らないと思うよ。
プロフィールに補足情報かけるでしょ? そのリンク先に、rel="me"をつけたアンカーを書いておくと、認証できる機能がある。あれがKeybaseでもできるようになるって感じ。
プロフィールの認証も、あまり知られてないかもしれないので、画像を添付しておくので見ておいて。
要は、リンクしたサイトからこちらのプロフィールにもバックリンクが張られていたら、本物の本人のサイトってわかるよねってこと。
#mastodon
Keybaseの話。
自分が本物であることを証明するって結構難しいことなので、
まず、ネット上で活動している存在の同一性を証明して、
その中の現実社会と結びつく何かを頼りに、どうやら本人らしい、と判断するという感じです。
--
Mastodon(DTP鯖)で活動しているnoellaboが、twitterのnoellabo、githubのnoellaboと同一であるということを、Keybaseが証明してくれます。
Webサイトを更新できる人であることも証明できます。
--
それと、Keybaseから公開鍵を取得することができるので、これを使って暗号化して本人に何かを送ることで、本人とだけ秘密のやりとりができます。
チャットする機能、ファイルを暗号化して送る機能などが提供されています。
--
フォロー、フォロワーからも、本人らしい、という判断ができます。
--
えーと、これはその名が示すように、KeyのBase。
鍵の拠点とする場所です。
$ dig +noall +answer NS lovelive-anime.jp
lovelive-anime.jp. 299 IN NS dns-c.iij.ad.jp.
lovelive-anime.jp. 299 IN NS dns-b.iij.ad.jp.
よかったねえ
This account is not set to public on notestock.
www.lovelive-anime.jpが1つのAレコードにしか解決されなくてなんとなく不安になったけど問題ないようだ。ELBばっかり触ってるやつはこれだから。
そしてしまった443
$ :| openssl s_client -connect www.lovelive-anime.jp:443 -servername www.lovelive-anime.jp
connect: Operation timed out
connect:errno=60
DSS 65 receiving data from Hayabusa-2 at 8.2kb/s.
IN LOCK OFF 1 MCD2
文化庁側が改心したようで何より
https://twitter.com/KenAkamatsu/status/1114089261542727680
This account is not set to public on notestock.
