Mk:apiExternalの対象を連合中のインスタンスだけにする #12040
Labels
✨Feature
This adds/improves/enhances a feature
Comments
This comment was marked as resolved.
This comment was marked as resolved.
|
@kakkokari-gtyih 連合先のプログラムが自動で実行できるわけではないので、連合先のユーザーが悪意あるプログラムを組む心配はないような? |
|
それはそうか |
|
mk:apiExternalってトークンとか送信できるようになってたっけ |
|
|
それってユーザーが自分で設定する必要があるはずだから意図せず送信されることはなくないかしら? |
|
Xのサーバーに送ると称して影でYのサーバーにも送るようなケースを想定しています |
|
ほむん |
|
たまたま見たのでコメント入れます。Mk:apiExternal を経由して匿名のノートができる Play が作成された事例があり、その経緯が note に投稿されました、これに影響してこの issues が建った、という経緯のようです。 |
|
Mk:apiExternal 自体が使えなくなった |
メモ: fcf0f5f |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Summary
悪意のあるPlay・プラグイン作者によりトークン等が外部に送信されるリスクを低減させるため、Mk:apiExternalでリクエストを送ることのできる相手を
federation/instances{blocked: false}で取得可能なサーバーに限定することを提案します。The text was updated successfully, but these errors were encountered: