tesaguri/activitypub-type-confusion-poc: Proof of Concept for the type confusion vulnerability of ActivityPub implementations
https://github.com/tesaguri/activitypub-type-confusion-poc
というわけで、2024-02-17頃にMastodonやMisskeyなどで修正された脆弱性のPoCを今になってこっそりと公開するなどしていた
面白い脆弱性だと良いな(すみません)
Hello everyone, the Sharkey project has been quiet due to our ongoing efforts to patch major security vulnerabilities in coordination with Firefish, Iceshrimp.js, and upstream Misskey. On Wednesday, November 20th, 2024, our efforts will be finalized with a security release for all affected projects. It is of upmost importance to update your instance(s) to the latest version if you utilize any of the aforementioned software once the patches are released.
Fedibirdで`misskey-hub.net/ns/#_misskey_quote`と書こうとするとフラグメント部分が消える現象があるのだよな。<https://example.com/#foo>のように単にフラグメントがあるだけのURLでは再現しないので、条件としてはリダイレクトがあるURLとかだろうか
こんな感じで……
```html
<a href="https://example.com/actors/1" rel="as:cc" type="application/activity+json">@alice@example.com</a>
<img property="as:tag" resource="https://example.com/emojis/1" typeof="http://joinmastodon.org/ns#Emoji" alt=":blobcat_foo:" />
<a href="https://example.com/notes/42" rel="https://misskey-hub.net/ns/" type="application/activity+json">RE: https://example.com/@Alice/42</a>
```
Activity Streamsにおける`tag`の`name`をmicrosyntaxとして扱う慣習が非常にアドホックに思えてならない。こういうのはもっとまともなマークアップ言語に任せるべき仕事でしょ。例えばRDFaとか……(真顔)
つまり、Blueskyは分散的ではなくて、ATProto Browser(<https://atproto-browser.vercel.app/>)こそが分散的ということなのですよね(?)
この方はただの例です