y @irbzqt@fedibird.com

こんな時間をかけてコミット権限を確保して犯行に及んだというのすさまじいな。元のメンテナの精神衛生も利用したというのこれホントに計画的にやったことなんだろうかなあ…… / XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog https://piyolog.hatenadiary.jp/entry/2024/04/01/035321

GitHubからBANされたからGithub pagesも止められてサイトにアクセスできなくなったと。
GitHubからBANしたらリポジトリへのアクセスも議論やその監査もできなくなるから確実にGitHubの悪手に見える。
メインメンテナはとばっちりだしな...GitHubに頼ることのリスクでもある。
https://tukaani.org/xz-backdoor/

attention duelists

akkoma 2024.03 stable has been release

this is an urgent security update, please apply it as soon as you get the time to

https://meta.akkoma.dev/t/akkoma-stable-2024-03-securer-i-barely-know-her/681

attention duelists, actual announcement incoming

we've got a pretty important security patch releasing this saturday (2024-03-30, that's the 30th march) at 12:00 UTC

it will be advisable that when it releases that you update asap

this should be synchronised with a few other projects if all goes smoothly - stay tuned

@gavi it seems that this has actually been in the tos for several years and flew under the radar https://old.reddit.com/r/selfhosted/comments/1bouuv7/warning_vultr_a_major_cloud_provider_is_now/kwua6k8/

Warning! if you are using Vultr, move your stuff off it ASAP! They are sneaking in a new awful clause in their their updated terms of service. Their new terms of service means they will claim full perpetual commercial rights over all hosted content.

There's no telling what this could be for, but most likely for AI.

https://www.reddit.com/r/selfhosted/comments/1bouuv7/warning_vultr_a_major_cloud_provider_is_now/

(Attached is images with alt text to the original post for those who don't wanna go to reddit)

https://www.4gamer.net/games/435/G043587/20240319008/
これ面白いな、原作側は固有名詞もすべて日本語にローカライズしてほしいといふ意向だったが、日本語にするとダサかったり変なイメージになるものは英語のカタカナ表記も許してもらった、最終的に原作側とローカライズ側で拘りをぶつけて落とし所を探った、と

@nanigashi Misskeyも同様です。

ちなみにPleromaも絵文字リアクションできるんですが、Likeの拡張じゃなくてEmojiReactというActivityを使っているので、未対応のサーバでは無視されています。 #fedibird

bad idea: A mouse cursor that's not just a simple floating pointer, it's a cat/dog paw... but it stretches all the way to an edge of the screen like it's a really long leg

@makihara えとね、ざっくり3ステップあるわけ。

最初にWebサーバが外部からの投稿データを受け取って、

1. ActivityPub::ProcessingWorker
2. DistributionWorker
3. FeedInsertWorker

という順序でワーカーが起動。

(1)は投稿データを解析して、投稿データとしてデータベースに記録＋通知＋(2)の起動

(2)はそれを全員共通のタイムラインに配送＋(3)の起動

(3)はひとりひとりのタイムラインに配送

で、処理が詰まっている（順番待ちになっている）と、ひとりひとりのタイムラインに表示されるまでに3回待たないといけないのね。だから2倍も3倍も遅延するっていう。

購読とフォローはどちらも(3)で処理するから同じだよ。

ハッシュタグタイムラインは(2)で処理される。

内部の投稿は(1)の代わりに投稿APIの処理が走って、あと(2)以降は同じ。

htmlもCloudflareのキャッシュで返せていることを確認。ただCache-Controlレスポンスヘッダーがついてないためにブラウザが長期間キャッシュしてしまうおそれがある。htmlに対するオススメはmax-age=60もしくは300あたり。
---
続、Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
https://www.publickey1.jp/blog/24/publickeydos_1.html
#bookmarks

何見てヨシって言ったんですか？～あなたの隣の重過失～｜事件備忘録@中の人
https://note.com/case1112/n/n93c969e3ec18

現在こちらの手違いを発端としたDB上のデータトラブルでminazukey.ukあてに大量のアクセスが発生している状態です。

明確な発生トリガーが詳しく判明していませんが、先日HTTP通信を誤って行った結果DB異常が発生し、異常が発生してしまったPleroma/Akkoma系サーバーから時折幣サーバー宛に短時間に大量のアクセスが発生してしまうという異常挙動が起こっています。

このDBトラブルの解決のためにissueを建てて報告済みで、ソフトウェア側での改善対応を待っているという状態ですがまだ具体的には解決してません。
https://git.pleroma.social/pleroma/pleroma/-/issues/3252

そのためこの大量アクセスが発生していることが確認できたサーバー様からのアクセスを一時的にWAFでブロックしています。
相互で連合済みのサーバーの管理者様にはご迷惑をかけるため、こちらから連絡などしていますが、フォロー関係が無いサーバー様からもこのアクセス異常は発生しており、そういったサーバー様にはこちらから連絡せず一時的にWAFで通信を遮断しているという状態です。
そのためお手数をお掛けしますが利用者の皆様、また通信異常など発生してしまっているPleroma/Akkoma系のサーバー管理者の皆様、本当に申し訳ありません。ご理解のほどよろしくお願いします。

現在通信異常が発生していることを確認しWAFでアクセスを停止しているサーバー様（漏れがありそうなので確認でき次第追記します）
p.tty7.uk
uchu-teien.com
xxx.azyobuzi.net
syo.bar