自分のNIP-05認証識別子「h12o@blessedgeeks.com」はうちのウェブサーバーに置かれていて、このドメインはそもそも自分ひとりのドメインなので、`/.well-known/nostr.json`自体<s>刺身にタンポポを置く</s>ウェブサーバーにファイルを置くだけの簡単なお仕事で済む。
一方、公開されているNIP-05認証サービスの場合は、JSONインジェクションの耐性があるかが気掛かり。仮にJSONインジェクションに脆弱なら、NIP-05認証が成立しなくなることが起こりうる。
ただ、実際に試してみた場合に不正アクセス禁止法違反になるかどうかは即答できないものの、やらない方がいいのは確かだし、かといってソースコードが公開されているものはほぼないだろうから、そこからはかるわけにもいかない。だから、自分のドメインと自分のウェブサーバーがあるなら悪いことは言わないからそちらに置いた方がいいよ、ということは言える。
もっとも、誰かのドメインでNIP-05認証が通ったとしても、それは、誰かのMastodonサーバーにアカウントを作ったことと大して意味の違いはない。ちょっとミスリード的な話の進め方になってしまうが、公開鍵のすり替え自体はそこまで怖くはなくて、それより怖いのは、nostr.json処理に脆弱性があるnostrクライアントを攻撃できてしまうということだと思う。昨年、ActivityPubの処理を無限ループさせる脆弱性が発見され、それを突く意図を持ったサーバーが出現したが、それに似たことはできるだろう。nostr.json処理の脆弱性の内容によっては、リモートコード実行なども起こりうる。
h12o / Hidetomo Hosono
npub1gk…hzr94
2023-02-10 11:12:18
Author Public Key
npub1gk6ry6lmdrc3lqsfcxnpxc8gv65qwr3snsyd78uc0fmuntqwpkfsjhzr94Seen on
wss://relay.noswhere.comPublished at
2023-02-10 11:12:18Event JSON
{
"id": "f1c6da57034e33c341b280a97df2aa696d791cd9953b2b42704989d301f7701e",
"pubkey": "45b4326bfb68f11f8209c1a61360e866a8070e309c08df1f987a77c9ac0e0d93",
"created_at": 1676027538,
"kind": 1,
"tags": [],
"content": "自分のNIP-05認証識別子「h12o@blessedgeeks.com」はうちのウェブサーバーに置かれていて、このドメインはそもそも自分ひとりのドメインなので、`/.well-known/nostr.json`自体\u003cs\u003e刺身にタンポポを置く\u003c/s\u003eウェブサーバーにファイルを置くだけの簡単なお仕事で済む。\n\n一方、公開されているNIP-05認証サービスの場合は、JSONインジェクションの耐性があるかが気掛かり。仮にJSONインジェクションに脆弱なら、NIP-05認証が成立しなくなることが起こりうる。\n\nただ、実際に試してみた場合に不正アクセス禁止法違反になるかどうかは即答できないものの、やらない方がいいのは確かだし、かといってソースコードが公開されているものはほぼないだろうから、そこからはかるわけにもいかない。だから、自分のドメインと自分のウェブサーバーがあるなら悪いことは言わないからそちらに置いた方がいいよ、ということは言える。\n\nもっとも、誰かのドメインでNIP-05認証が通ったとしても、それは、誰かのMastodonサーバーにアカウントを作ったことと大して意味の違いはない。ちょっとミスリード的な話の進め方になってしまうが、公開鍵のすり替え自体はそこまで怖くはなくて、それより怖いのは、nostr.json処理に脆弱性があるnostrクライアントを攻撃できてしまうということだと思う。昨年、ActivityPubの処理を無限ループさせる脆弱性が発見され、それを突く意図を持ったサーバーが出現したが、それに似たことはできるだろう。nostr.json処理の脆弱性の内容によっては、リモートコード実行なども起こりうる。",
"sig": "d142b0f6c96c32eb15ff5f17b3bb031afbabeab94b545073cae94ad9fdd05fa7916c55443712fc4ce0048bd517c58929c9cc149508785044e3455927aa1a9415"
}