これMastodonにずっと昔からある当たり前の仕様なんだけど、
他サーバーの投稿の詳細画面で投稿のURLを開くメニューあるでしょ、あれで本物の投稿URL開くことができるんだけど、じゃあそのURLをどこから持ってきてるかというとActivityPubからもらってきたものだよね。
で、MastodonはそのURLに、もしあっても「Accept: application/activitiy+json」ヘッダをつけてしかリクエストしないので、つまりHTMLとしてのリクエストや検証は行ってない。
ということは、Content-Typeがtext/htmlかapplication/activity+jsonかで出力内容を分けることも技術的には可能で(すでにMastodon、Misskey、WordPressなどがそれやってる)、
それ利用してユーザーにウィルスやフィッシング詐欺のサイトへ飛ばすことができるんじゃないかと思うんだけど
ずっと前からこれ仕様としてあったんだよね、どっかに回避手段でも書いてあるのかなあ
雪あすか /
npub17c…zmyqw
2023-11-01 02:15:19
Author Public Key
npub17cy082vcju6u95rnpm8hpqh8c887l0m0zzdzaq3zx8l8aavctrmsszmyqwPublished at
2023-11-01 02:15:19Event JSON
{
"id": "5535acc1fc5a17eb41cd3f6ceefe1043d675a6e3248a4743ca4df9a66d62804a",
"pubkey": "f608f3a9989735c2d0730ecf7082e7c1cfefbf6f109a2e822231fe7ef59858f7",
"created_at": 1698804919,
"kind": 1,
"tags": [
[
"proxy",
"https://kmy.blue/users/askyq/statuses/111332879202651438",
"activitypub"
]
],
"content": "これMastodonにずっと昔からある当たり前の仕様なんだけど、\n他サーバーの投稿の詳細画面で投稿のURLを開くメニューあるでしょ、あれで本物の投稿URL開くことができるんだけど、じゃあそのURLをどこから持ってきてるかというとActivityPubからもらってきたものだよね。\n\nで、MastodonはそのURLに、もしあっても「Accept: application/activitiy+json」ヘッダをつけてしかリクエストしないので、つまりHTMLとしてのリクエストや検証は行ってない。\nということは、Content-Typeがtext/htmlかapplication/activity+jsonかで出力内容を分けることも技術的には可能で(すでにMastodon、Misskey、WordPressなどがそれやってる)、\nそれ利用してユーザーにウィルスやフィッシング詐欺のサイトへ飛ばすことができるんじゃないかと思うんだけど\n\nずっと前からこれ仕様としてあったんだよね、どっかに回避手段でも書いてあるのかなあ",
"sig": "dfc633e92adeb82e8c5f7ea73a96de7ee515efda1e8fb9cd5eacefb24dd192e2a1e3917f2ccab35a0862327b28006867b88257b8f1262a7dcc85f71894093f7f"
}