新しいものを表示

しかしLemmer-Webber氏もFediverseにアカウントを持っていらしたんだな。
当たり前だろ、どなただと心得ている。すみません(?)

あとこれは純粋にPDSとそのホストするユーザのハンドルの関係を勘違いしていそうな雰囲気がある
> Most users are mapped to domains controlled as `*.bsky.app` [sic] subdomains, so Bluesky can remap those to different users, and this will be true with any "Personal Data Store" [sic] provider one might use too

スレッドを表示

あとハンドルシステムが無意味かのような評価も過剰かなと。以前に解決したことのあるハンドルについてはその"DID"との対応の変遷はクライアントが記録を付けておけば良い話だし(新規の解決はまた別問題だけど)、現実的にそのような運用を可能とするだけの枠組みは提供されているように見える。
Petnameシステムについてはこの記事で初めて名前を目にしたくらいなので、それとの比較でどうなのかについては何も言えないけど

まあこれについてもMatrixのようにもっとユーザフレンドリーながらサーバを信用しない鍵管理とかも考えられるのかも知れないけど。いや、Matrixが実際に何をしているのかは正直一切把握していないですけど……(?)。
あと詳しくはないけど、これも実際恐らく真なのだよな:
> And *even if* Bluesky delegates authority to that user to control their identity information in the future, there is still a problem in that Bluesky will *always* have control over that user's key, and thus their identity future.
"72hr window"とかもPLCサーバ自体が敵対的なら恐らくどうとでもできる程度のものだろうし(<web.plc.directory/spec/v0.1/di>の"PLC Server Trust Model"節を参照)

スレッドを表示

まあもちろん細かい点で共感できない部分もあるけど。例えば自分で鍵を管理していないユーザを保護できていないことについての批判は流石に酷なように思う。
個人的にはまずはやる気があるユーザが現実的なコストで自分のデータを確保できることが重要かなと

これはBlueskyが"decentralized"という形容をPDSレイヤーに限定せずに用いているのが悪いのだけど、FediverseにおけるBluesky批判の多くがBluesky側のビジョンについてそれに同意するしない以前に議論ために最低限必要な理解もそこそこに「分散していない」の一点の批判に終始しがちだし、擁護者も「Blueskyは分散している」という雑な主張で返してグダグダになりがちという感想

スレッドを表示

分散システムのサービスとしてのBlueskyに対する評価としてはこんなところだよね(スレッドの方は未読)。というか"decentralized"という自称が無用な幻想と失望を招きすぎている

tesaguri 🦀🦝 さんがブースト

How Decentralized Is Bluesky Really? dustycloud.org/blog/how-decent

A technical deep-dive, since people have been asking me for my thoughts. I'll expand a bit on some of the key points here in a thread. 🧵

「(何が?)」じゃあないんだよ、AppViewが落ちたらどうするのだ(?)

スレッドを表示

`bsky.app`とかは今のところそれ単体のみから`at:` URIを再構築できる形式のURLだから良いけど、`whtwnd.com`はrkeyでなく`title`しか含んでいないこともあるので困る(何が?)

`bsky.app`のURLを踏まずにPDSを直接読む縛りをしているのだけど(?)、`app.bsky.feed.post`のレコードは自己に対するリプライへの参照を持たないので、スレッドすらろくに読めない。`app.bsky.feed.getPostThread`を実装してください(?)

AT Protocolのドメイン、名付けてatprotocom!w、じゃあないんだよな

元々スクリプトも文章も脆弱性報告に使える程度には形になっていたのに、仕上げが面倒だからといって公開を先延ばしにしていたら一瞬で9ヶ月も経っていた……(?)

いや、そのハックも含めてMisskey側のGHSAで既に言及されているからやはり見所はないかも

スレッドを表示

原理としては単純な脆弱性なので具体的なPoC自体は大して重要でもないと思うけど、MisskeyのPoCはちょっとしたindirectionを要しているので、そこは見所といえるかも

スレッドを表示

tesaguri/activitypub-type-confusion-poc: Proof of Concept for the type confusion vulnerability of ActivityPub implementations
github.com/tesaguri/activitypu
というわけで、2024-02-17頃にMastodonやMisskeyなどで修正された脆弱性のPoCを今になってこっそりと公開するなどしていた

やべえ秘密鍵をpushしてしまった、もうおしまいだ……(いいえ)

複数の独立した(フォークを含まない)実装に影響するようなクラスの脆弱性でないならあまり私の関心分野ではないかも知れないけど(?)

スレッドを表示

面白い脆弱性だと良いな(すみません)

tesaguri 🦀🦝 さんがブースト

Hello everyone, the Sharkey project has been quiet due to our ongoing efforts to patch major security vulnerabilities in coordination with Firefish, Iceshrimp.js, and upstream Misskey. On Wednesday, November 20th, 2024, our efforts will be finalized with a security release for all affected projects. It is of upmost importance to update your instance(s) to the latest version if you utilize any of the aforementioned software once the patches are released.

古いものを表示
Fedibird

様々な目的に使える、日本の汎用マストドンサーバーです。安定した利用環境と、多数の独自機能を提供しています。