見つける
PYU224 @PYU224 · 4ヶ月前
@yp3klknl への返信
多分公式コミュニティで聞いた方が良いです。
あの辺はドキュメントが乏しいので。
https://framacolibri.org/c/peertube/38
PeerTube
Here, we talk about PeerTube, both the decentralized video hosting network, and the on free/libre software it’s based on.
Framacolibri
0 0 0
Avatar
PeerTubeのフックのハンドラに渡す引数が分かりません、どうしたら分かるんですかね…
フックの種類によって引数が違うのかすらわからないんですが…
リファレンスに書いてないので他の人に質問したりソース見たりしなきゃいけないのかな…
もしかしたらリファレンスに書いてるかもしれないですが探しても出て来ないので書いて無い…のか?

俺の言い方が悪くて伝わらないかもしれないので例を示します
フックのハンドラに渡す引数というのは以下の「({ req, res })」の部分です
https://docs.joinpeertube.org/contribute/plugins#hooks
registerHook({
target: 'action:api.video.updated',
handler: ({ req, res }) => logger.debug('original request parameters', { params: req.params })
})


PeertubeのhCaptcha認証プラグインを作ってます。
サインアップ時にhCaptcha認証をする部分で、サーバー側がhCaptchaトークンを確認する方法でサインアップ時のHTTPリクエストのパラメータにhCaptchaトークンを追加するというのをしようとしています。
Plugins & Themes | PeerTube documentation
Documentation of PeerTube, a free software to take back control of your videos!
docs.joinpeertube.org
1 0 1
Avatar
@morokan への返信
bcryptなんてあるのか…
掲示板スクリプト作ってるので今度使ってみます
ハッシュ衝突を説明している+810点
ファイルの存在・破損確認なら結構使えそうですね、脆弱性あってもあまり関係ないので
0 0 0
PYU224 @PYU224 · 4ヶ月前
パスワードといった部分を除けば基本的にデフォルトの設定のまま運用しているので、そこから逸脱した設定や操作が原因である可能性は高いかと。
0 0 0
PYU224 @PYU224 · 4ヶ月前
@morokan への返信
ログインの際にデフォルトのパスワードやメアドを変えたので侵入者はそこから入れなかったとなると原因の特定は難しいですね・・・
0 0 0
Avatar
そのCVEはアカウントに入れないと通らないど
PYU224 @PYU224 · 4ヶ月前

nginxに代わる良いツールがあるとDockerでインストールしたnginx proxyは2.11.3で最新版だと確認しなかったのが致命的なミスの1つですね・・・
https://nvd.nist.gov/vuln/detail/CVE-2024-46256
1 0 1
Avatar
@yp3klknl への返信
ファイルの存在確認や破損の確認には速くて便利ナリ
その分改竄前後のハッシュ値を一致させるテク♂が型落ちのPCでさえできてしまうのが問題ナリね

改竄の確認にはSHA-256か512、パスワードの保存にはbcryptかargon2があなたの側にいるハッシュ値がいます
2 0 1
Avatar
思ったんですけどハッシュ関数のMD5とSHA0とSHA1って脆弱?なんですかね
https://ja.wikipedia.org/wiki/Secure_Hash_Algorithm#%E6%AF%94%E8%BC%83
SHA2かSHA3使ったほうがいいんでしかね
Secure Hash Algorithm - Wikipedia
ja.wikipedia.org
1 0 1
Avatar
@takuya_gakusha18 への返信
こ↑こ↓ですを
https://810ch.yajuvideo.in/free/1758111766/11
810ちゃんねる
810ch.yajuvideo.in
1 0 0
Avatar
掲示板管理人とかのスタンスって個人的にカレーケーの料理長師スタイルが一番だと勝手に思ってる
・定期的に生存報告して管理放棄してない事を明言してる
・業務報告以外でコテ付けて書かない
・ツイッタハァ垢も基本的に業務関連かカラケーの障害関係以外書かない
みたいなスタンスでやってるだけでも全然信頼感は違うと思ってる
だからカレーケーって有事の際に割と対応早い掲示板って認識になってるんだと思う
3 0 0
Avatar
砂場拓也シリーズ
作ってみようかしら
2 0 0
PYU224 @PYU224 · 4ヶ月前
情報漏洩の発端はお知らせにも書きましたが、ブログとMisskeyと分けてる鯖を高性能なもので統合したら鯖代が年に2万円浮くし負荷を分散できるぞと思った事でした
42000円→22000円に鯖代が抑えられるのは大きいと感じたからです。
0 0 0
PYU224 @PYU224 · 4ヶ月前
@yp3klknl への返信
VPSのコンパネにあったDockerだからかなり古いタイプだったようでした。
このプロキシは無印のnginxと異なり、しかも前々から不具合が多く更新頻度が低いそうです。
GUIで設定できるからときちんと調べずに使ったのが間違いでした。
0 0 0
Avatar
2.11.3って2年近く前のバージョンですね
思ったのだが1年くらいだと結構脆弱性見つかるのだろうか
あまり知識がないので分からないが…
オープンソースのセキュリティの強みは脆弱性を「すぐ見つけてすぐ直す」だから見つかるのは多そう
https://github.com/NginxProxyManager/nginx-proxy-manager/releases/tag/v2.11.3
Release v2.11.3 · NginxProxyManager/nginx-proxy-manager
Important: Back up your entire instance before using this new version! As with any new version, there may be breaking changes. Bring your docker instance down Zip or copy your data and letsencrypt...
GitHub
PYU224 @PYU224 · 4ヶ月前

ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
1 0 1
Avatar
大坊 @symmetryDB · 4ヶ月前
ホモ(意味深)して挨拶に行こうと思います
3 0 0
PYU224 @PYU224 · 4ヶ月前
nginxに代わる良いツールがあるとDockerでインストールしたnginx proxyは2.11.3で最新版だと確認しなかったのが致命的なミスの1つですね・・・
https://nvd.nist.gov/vuln/detail/CVE-2024-46256
NVD - CVE-2024-46256
nvd.nist.gov
0 1 0
Avatar
@Princest への返信
板管理人です
多分だが人気と新着の両方でランキング圏外なってトップページに表示されないだけだと思われ
https://810ch.yajuvideo.in/bbsmenu.html
他板だと「逆引きできないIPを禁止する板」が圏外になってる
810ch BBS menu
810ch.yajuvideo.in
1 0 0
PYU224 @PYU224 · 4ヶ月前
あとは私がNPMの設定を間違えた可能性が高いです。
misskeyの問題なら普通にnginxを導入している他のサーバーはとっくに被害を受けているはずだからです。
PYU224 @PYU224 · 4ヶ月前

ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
0 0 0
Avatar
test @test · 4ヶ月前
テスト
0 0 0
PYU224 @PYU224 · 4ヶ月前
ぬくもりすきーでのユーザーの書き込みを確認できる範囲で確認しましたが不審な書き込みはなく、またAIの手を借りつつログを見ましたがSSHへの侵入はありませんでした。
そこから原因としてブログとWebサービスおよびMisskeyを鯖内に共存させる為にnginx proxy managerをDockerでnginxの代わりに導入して脆弱性を突かれたからだと考えています。
調べてみるとバージョンが古いもの(2.11.3)だったので可能性としてはこれが一番高いと思います。
https://nginxproxymanager.com/
Nginx Proxy Manager
Docker container and built in Web Application for managing Nginx proxy hosts with a simple, powerful interface, providing free SSL support via Let's Encrypt
nginxproxymanager.com
CuteBarn @CuteBarn · 4ヶ月前

追記ですが、オープンポートからでもDBには接続できませんでした。確かにdefault.ymlには触れましたが。
0 2 0
話題のユーザー
検便☆
@kennbenn
Avatar
タニオカートワールド
@SUPERTNOKART
Avatar
プジャーラ・タヴィチ
@PujaraTavichi
croskrswcros
@croskrswcros
Avatar
き↑き↓
@rinricrisis