見つける
鯖缶コミュでMisskingwayといかすきーの管理人に関係のない奴は出しゃばるなと言われた上に名前聞かれてBANされた捨垢でもない人です。
Discordの投稿が消されているので思い出しつつこっちに再掲します。
ぬくすきの情報漏洩なんですが、手元で試しても再現性がない上にDBにあるパスワードはハッシュ化されていて現実的には掠取できません。
アクティブユーザーのみの流出であることを考えるとXSSかウェブスニファが一番あり得そうな線なんですがどうなんでしょう。
Discordの投稿が消されているので思い出しつつこっちに再掲します。
ぬくすきの情報漏洩なんですが、手元で試しても再現性がない上にDBにあるパスワードはハッシュ化されていて現実的には掠取できません。
アクティブユーザーのみの流出であることを考えるとXSSかウェブスニファが一番あり得そうな線なんですがどうなんでしょう。
Postgresのデフォルト設定が問題だと思っていましたが、根本的な問題として侵入された際にファイアウォールが有効になっていなかった可能性が出てきました。
思い返してみれば実際は複数の方々から同じようなご指摘を頂いていたのに気づきましたが、私はそれに耳を傾けたつもりでも実際は受け止めていませんでした。
PYU224
@PYU224
·
4ヶ月前
Misskeyサーバー「ぬくもりすきー」での情報漏洩について
https://33-4.me/blog/archives/742
技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側(私)の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。
Misskeyサーバー「ぬくもりすきー」での情報漏洩について
https://33-4.me/blog/archives/742
技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側(私)の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。
https://33-4.me/blog/archives/742
技術の問題は勉強したり人から教わったりしたらついてきますが、それを扱う側(私)の想像力や誠実さのなさといった人間性の問題の方が非常に大きいです。
言われてみてやっと気づきました。
そういえばWAF使ったことないな、ファイアウォールもほぼ標準設定しかやったことないし
WAFに関してはサイト作ったことないので当たり前だが…
ufwの設定見直してみようかしら
WAFに関してはサイト作ったことないので当たり前だが…
ufwの設定見直してみようかしら
LISPモロ感の親爺
@morokan
·
4ヶ月前
PYUさんには説明したのでふが、ミスなく実行する能力より基礎を固める手間を惜しまないこと、ヘイトタンクにならないことの方が重要ナリよ
あとは素早く行動することくらいナリ(声明を一週間も放置しない。それはわかるよね?)
人を比べるのは気が引けるのでふが、
⚫︎データベースの公開範囲の設定ミスは千秋レベルでも通せる攻撃手法=稚拙
⚫︎インド先輩は表に出てこない=ヘイトタンク回避
⚫︎攻撃に気付けないほど保守を放置しているかWAFが無い=やる気がない
サイト運営自体は難しくはないナリ
あまり頭でっかちになっても先に進めないですを
@yp3klknl への返信
PYUさんには説明したのでふが、ミスなく実行する能力より基礎を固める手間を惜しまないこと、ヘイトタンクにならないことの方が重要ナリよ
あとは素早く行動することくらいナリ(声明を一週間も放置しない。それはわかるよね?)
人を比べるのは気が引けるのでふが、
⚫︎データベースの公開範囲の設定ミスは千秋レベルでも通せる攻撃手法=稚拙
⚫︎インド先輩は表に出てこない=ヘイトタンク回避
⚫︎攻撃に気付けないほど保守を放置しているかWAFが無い=やる気がない
サイト運営自体は難しくはないナリ
あまり頭でっかちになっても先に進めないですを
あとは素早く行動することくらいナリ(声明を一週間も放置しない。それはわかるよね?)
人を比べるのは気が引けるのでふが、
⚫︎データベースの公開範囲の設定ミスは千秋レベルでも通せる攻撃手法=稚拙
⚫︎インド先輩は表に出てこない=ヘイトタンク回避
⚫︎攻撃に気付けないほど保守を放置しているかWAFが無い=やる気がない
サイト運営自体は難しくはないナリ
あまり頭でっかちになっても先に進めないですを
https://misskey.nukumori-sky.net/notes/afu0xodvw0
起きたことを羅列しているだけなのは未練がましく感じるナリ
タイムライン遡るとエグめの二次被害も起きてるし、迷惑どころの騒ぎじゃないナリね
承認欲求と自己満足のためにやっているのであればそんなことより人に迷惑かけ過ぎなので、せめて需要>供給状態の野獣動画2ndに注力したほうが身のため財布のためなのではないでふか
起きたことを羅列しているだけなのは未練がましく感じるナリ
タイムライン遡るとエグめの二次被害も起きてるし、迷惑どころの騒ぎじゃないナリね
承認欲求と自己満足のためにやっているのであればそんなことより人に迷惑かけ過ぎなので、せめて需要>供給状態の野獣動画2ndに注力したほうが身のため財布のためなのではないでふか
@PYU224 への返信
アメリカは猥褻法とDMCAを含めなかったらオランダとかより表現規制緩いと思います…
米国の猥褻法は日本の猥褻物頒布と違って基準すら曖昧なので厄介
あとwikipedia見た感じロリ系だと適用範囲多そう
日本はチンコ/マンコの修正という基準がある
米国法の猥褻の基準は※米最高裁が1973年の裁判で制定
・「現代の社会通念を適用した平均的な人」が作品全体で性的関心をそそると感じるかどうか
・作品が州法ごとに具体的に定義された性行為または排泄機能を、明らかに不快な方法で描写または記述しているか
・作品全体として、重大な文学的、芸術的、政治的、または科学的価値が欠けているかどうか。
とのこと
日本でも終戦から70年代か80年代くらいまで猥褻物頒布の基準がこれとほぼ一緒でしたが…
※日本も70年代か80年代くらいまでは性器の修正は関係なくて基準が曖昧だった
出典
基準(ミラーテストという奴) https://en.wikipedia.org/wiki/Miller_test#History_and_details
猥褻法 https://en.wikipedia.org/wiki/United_States_obscenity_law#Definition_of_obscenity
米国の猥褻法は日本の猥褻物頒布と違って基準すら曖昧なので厄介
あとwikipedia見た感じロリ系だと適用範囲多そう
日本はチンコ/マンコの修正という基準がある
米国法の猥褻の基準は※米最高裁が1973年の裁判で制定
・「現代の社会通念を適用した平均的な人」が作品全体で性的関心をそそると感じるかどうか
・作品が州法ごとに具体的に定義された性行為または排泄機能を、明らかに不快な方法で描写または記述しているか
・作品全体として、重大な文学的、芸術的、政治的、または科学的価値が欠けているかどうか。
とのこと
日本でも終戦から70年代か80年代くらいまで猥褻物頒布の基準がこれとほぼ一緒でしたが…
※日本も70年代か80年代くらいまでは性器の修正は関係なくて基準が曖昧だった
出典
基準(ミラーテストという奴) https://en.wikipedia.org/wiki/Miller_test#History_and_details
猥褻法 https://en.wikipedia.org/wiki/United_States_obscenity_law#Definition_of_obscenity
