Claireさんから「みた」との確認いただきました。根本的な対応はお願いしないとだね。

弊ぼっちはSidekiqをストリーミングが動いている時だけ1スレッドだけ動かす緩和策で乗り切ろうといまのところ思います。ポストの配達に遅延が出てごめんだけど被害を受けた場合の進行も遅いハズ。

たぶん脆弱性を報告するためのメールアドレスを探すのが本当は最初にやるべきことだったよね。Discordで個人に連絡するのはスケールしないので。

お、ちゃんと警告してもらとる。しばらくのあいだだけだからね、

カレーとドメインブロックの関係

https://github.com/ruby/resolv-replace はどれくらい深くまで影響できるんだろう。Rubyのコードからの名前解決なら掌握できるような気もする…

このアカウントは、notestockで公開設定になっていません。

メールアドレスあるじゃん←

@hanage999 もう眠くて（眠くなくても）ちゃんと考えられてないですが、自サーバから見に行っちゃうパスの一つはつぶせそうで、他にもリモートから見にいくように仕向けるパスはいくつかありそうな気がします

このアカウントは、notestockで公開設定になっていません。

@7n4 弊ぼっちサーバは、HerokuのマネージドPostgresの無料プランから始めて2回プランを上げて、マネージドRedisは無料のを1個から3個に増やしました。今は無料がなくなっちゃったのでRedisは強い有料の1つにまとめました。Puma、Sidekiq、Nodeはだいたい同じ規模で動き続けてます。

!!

@coin12 少なくともAndroidの公式アプリではドメイン名をタイプしたらログインできそうですよー。cc @56info

@hanage999 眠くなくてもぽんこつは変わらないのでご心配なく〜w

@coin12 アカウントを作るボタンの近くにログインするボタンがあるかもです

Sidekiqを1スレッドに減らしたのでトゥートの配達は予想どおり60/分前後に落ちております。ちゃんとスケールしててすごいんだよなあ！

ドメインをいくつか停止してSidekiqのスレッド数を常時2+利用時5に戻しました

TVerさんのトップページをFirefoxで開いてしばらくすると広告の枠だけ表示されて消せなくなり広告をクリックするしかなくなるのですばやく別のページに遷移する必要があるんだけどさっぱりぷりぷりなおされないのは無視できるほどFirefoxのシェアが少ないってことなのかしらかなしいね

この右上のばってんが広告を消すボタンっぽいんですけど押しても反応がない…と思ったらPrivate Browsingなら反応して消えてくれるな。Ubuntu 22.04でもmacOSでも普段づかいのFirefoxでは消せないのでクッキーが関連してそうね (クッキーを消すとみたい番組表を失いそうなのでできないw

この！まいなちゃんに！消えてほしいんだよねえ。詳細はこちらボタンを押して新しいタブが開くか今日は広告を表示しないチェックボックスを押す、あるいは背後のページをスクロールする以外の操作を受け付けてもらえないんだよねw

デバグする気力はないというぽんこつ

そうそう件のサーバ、攻撃を受けるとローカルで知っている該当のドメインのアカウントの数がとっても多くなりそうに見える。下記は普通のサーバの例。

> SELECT COUNT(1) FROM accounts WHERE domain='example.com';
count
-------
1941
(1 row)

被害を受ける用のサーバを作って試してみようかな…

bundle installが遅いと思ったら実家までトンネルくぐってたよね…

ぐえーidn-ruby (デプロイしてからconfig var設定しよう

PipelineのProduction段に新しいアプリを作り、最安のPostgresとRedisとPapertrailをつけ、Mastodonのワーキングコピー内でconfig varを設定、

export HEROKU_APP=<希望のアプリ名>
heroku config:set \
OTP_SECRET=`ruby -r securerandom -e 'puts SecureRandom.hex(64)'` \
LOCAL_DOMAIN=$HEROKU_APP.herokuapp.com \
HEROKU=true \
RAILS_LOG_LEVEL=debug \
SMTP_FROM_ADDRESS=notifications@localhost \
RUN_WORKER=true WEB_CONCURRENCY=1 SIDEKIQ_THREADS=3

Slugをプロモートして残りのconfig varを設定、

heroku config:set \
`heroku run rake mastodon:webpush:generate_vapid_key | grep ^VAPID_`

ユーザーを登録して新規登録を閉じる。パスワードはconfig varに覚えさせておく。

heroku run 'tootctl accounts create \
zundan \
--email zundan@example.com \
--confirmed \
--role Owner; tootctl settings registrations close'

ブラウザからログイン。

heroku open

件のドメインのアカウントを1つ検索してSidekiqを3スレッド10分間ほど走らせておいたら、statusesが1000個弱、accountsが2000個じゃく、その他できていました。やでやで。

さて他にできることもないのでごはんを食べよう。下はムール貝ナゲット。英語では「ムール貝」と「筋肉」は同じ発音なんだそうな。

設定メニューのモデレーション - 既知のサーバー - ドメインブロックを追加から、重大性を停止にして件のドメインを追加したところ、アカウントのミュートやステータスの削除などが始まって、method=GET path=/api/v1/announcements format=html controller=Api::V1::AnnouncementsController action=indexがすぐrに終わるようになりました。なるほど。

@nelsoncoffeeroaster んふふ

オフトンアウトできないひとにはまめもさん考案のラッコトップコンピューティングもおぬぬめよ？

インキーして陰気に

はい

@taiyo Misskey named it a Forkbomb.
https://misskey.io/notes/98bjfxxwv1

やっぱり缶詰じょうたいかー

やっと電球型蛍光灯の在庫が尽きて我が家にもLED電球がやってきたぞ！（って白熱電球と見分けつかないなあw

@yakitama 左は電球型蛍光灯で、なんと右はLED電球なんですよこれがw

こってり！いいなあ！こってり！

脆弱性対応のコード書いてみたいなあでも中途半端にやっても迷惑なだけだしなあって悩みつつ水曜どうでしょうを見始めた

@yakitama たぶん https://www.gelighting.com/led-lights/bulbs/e26/ge-relax-hd-soft-white-60w-replacement-led-general-purpose-a19-light-bulbs-4 だと思います。消費電力が8.5Wなのかな？熱になるのは何Wくらいなんだろう…

あー。買い出しでマッシュルームを買ってくるのを忘れましたね。

@yakitama 僕のPixel 4aは、たぶん平均5Wくらい消費してて（根拠は忘れちゃったけど充電時の電流と充電にかかる時間から見積ったんだったと思います）同じくらいの発熱なら電極から捨てられそうな気もしますねー

$ ruby -e 'puts "カニクリームコロッケ".chars.shuffle.join'
ニッケーカクリコムロ

いためたまねぎすぱ

ウー

このアカウントは、notestockで公開設定になっていません。

お、やっと安心して設定できるな

マウナロアのFissure 3から溶岩だばーの現在の様子だそうです。元気だなあ！
https://www.youtube.com/watch?v=SnjGqn1K9ZQ

電源を入れてから光り始めるまで遅延があるのがかわいい。電圧が安定するまで電流を出さないみたいな保護回路が入ってるのかな？