076萌SNS
  • Login

  • Public

    • Public
    • Network
    • Groups
    • Popular
    • People

Conversation

Notices

  1. めいめい (mei23@misskey.m544.net)'s status on Sunday, 08-Sep-2024 23:36:18 JST めいめい めいめい
    in reply to
    • tesaguri 🦀🦝

    @tesaguri@fedibird.com あーまあなるほどなのだわ

    In conversation about 3 months ago from misskey.m544.net permalink
    • のえる (noellabo@fedibird.com)'s status on Sunday, 08-Sep-2024 23:36:18 JST のえる のえる
      in reply to
      • tesaguri 🦀🦝

      @mei23 @tesaguri 結局既に該当idのキャッシュもってる場合以外はfetchしないといけないので、idだけにしちゃいましょう。

      In conversation about 3 months ago permalink
    • tesaguri 🦀🦝 (tesaguri@fedibird.com)'s status on Sunday, 08-Sep-2024 23:36:19 JST tesaguri 🦀🦝 tesaguri 🦀🦝
      in reply to

      @mei23 私もFedibirdの実装を詳しく追っているわけではないですが、`Emoji`オブジェクトに`id`があるならそのURIの同一性をもってリモートのものと同一の絵文字であることが判定できるのではないでしょうか

      In conversation about 3 months ago permalink
    • めいめい (mei23@misskey.m544.net)'s status on Sunday, 08-Sep-2024 23:36:19 JST めいめい めいめい
      in reply to
      • tesaguri 🦀🦝

      @tesaguri@fedibird.com あーいやEmojiがuriだけだと blobsignya と紐づけられなくない?って話だわ
      { "id": "fedibird.com/emoji_reactions…", "type": "Like", "content": ":blobsignya:", "object": "fedibird.com/users/tesaguri/…", "tag": [ "misskey.m544.net/emojis/blobsign…", ] }

      In conversation about 3 months ago permalink
    • tesaguri 🦀🦝 (tesaguri@fedibird.com)'s status on Sunday, 08-Sep-2024 23:36:19 JST tesaguri 🦀🦝 tesaguri 🦀🦝
      in reply to

      @mei23 その場合はそのURIをfetchすれば良いのではないでしょうか。<https://github.com/kmycode/mastodon/security/advisories/GHSA-c7p6-c688-fhgp>のような脆弱性のリスクを避けるためにはいずれにしても`id`をfetchする必要はあるでしょうし

      In conversation about 3 months ago permalink

      Attachments

      1. スタンプを利用することで、他のサーバーのカスタム絵文字の画像やライセンス情報などを上書きできる2つのリスク
        ### リスク1 5.4 LTS・7.0よりカスタム絵文字のActivityPub仕様に`domain`プロパティが追加されたが、これを悪用することで、他のサーバーのカスタム絵文字を自分の思い通りの画像で上書きできる サーバーA、B、Cがあり、AがCに自分のカスタム絵文字を送信した。 サーバーBは、自分のサーバーのカスタム絵文字にAの`domain`を指定して送信する。するとCは、...
    • めいめい (mei23@misskey.m544.net)'s status on Sunday, 08-Sep-2024 23:36:20 JST めいめい めいめい
      in reply to
      • tesaguri 🦀🦝

      @tesaguri@fedibird.com
      Fedibirdの相乗りLikeのActivityの形は知らないけど、Like本体にidが記載されてないのなら紐づけられないんじゃないかしら
      Like: content: ':name@host:' tag: [ Emoji: id: 'https://example.com/emojis/xxx' name: ':name@host:' ]

      In conversation about 3 months ago permalink

      Attachments


    • めいめい (mei23@misskey.m544.net)'s status on Sunday, 08-Sep-2024 23:36:20 JST めいめい めいめい
      in reply to

      あー type: Emoji だわね

      In conversation about 3 months ago permalink
    • tesaguri 🦀🦝 (tesaguri@fedibird.com)'s status on Sunday, 08-Sep-2024 23:36:21 JST tesaguri 🦀🦝 tesaguri 🦀🦝
      in reply to

      というか少なくともFedibirdはローカルのアクターによるリモートの絵文字リアクションへの「相乗り」の`Like`アクティビティの`tag`にリモートの`Emoji`オブジェクトを全て埋め込んでいるようだけど、これは(C2Sでなく連合の場合は)本来なら単にURIで良いはずだよね。
      仮に埋め込みでないと上手く相互運用できないというなら、それは相手のサーバが(`id`をfetchし直さず埋め込まれた内容をそのまま信用するなどの)怪しい処理をしているということに他ならないわけだし

      In conversation about 3 months ago permalink
    • tesaguri 🦀🦝 (tesaguri@fedibird.com)'s status on Sunday, 08-Sep-2024 23:36:22 JST tesaguri 🦀🦝 tesaguri 🦀🦝

      `Emoji`が標準化されていないとはいっても、オブジェクトの帰属を`id`のauthorityで判断するのは普通に普遍的な解釈だと思うけどなあ。
      アクターのホストと`Emoji`オブジェクトのホストが食い違うときに無効なものと判定するならまだ分かるけど、当該の`Emoji`オブジェクトをアクターのホストのものとして処理する(というのが現行のMisskeyの仕様という認識で合っている?)のはかなりアクロバティックなように思える

      In conversation about 3 months ago permalink

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

076萌SNS is a social network, courtesy of 076. It runs on GNU social, version 2.0.2-beta0, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All 076萌SNS content and data are available under the Creative Commons Attribution 3.0 license.