#Mastodon #Pixelfed #FAIL #security #ActivityPubВместо эпиграфа
— У вас дыра в безопасности!
— Ну, хоть что-то у нас в безопасности...
«Вылетит слово — не поймаешь, а у нас догонят, поймают и посадят»Коротко:
Вы решили вручную одобрять подписчиков и думаете, что кроме одобренных никто не увидит ваши постыдные постики? #ActivityPub отправляет сообщения не просто «подписчикам», а на их сервер. После этого сервер должен проявить порядочность и показывать только тем, кто на вас подписан.
Pixelfed, однако, игнорирует вопросы одобрения подписки для внешних серверов. В результате, если вы одобрили кого-то из пикселфеда, ваши «подзамочные» посты будут доступны всем юзерам с того сервера.
Тада-а-а-м! Собсно, не только пикселфеда это касается, баг (или злонамеренное действие) доступности сообщений с якобы ограниченной видимостью возможен примерно везде, где не используется E2EE шифрование, #НоЭтоНеТочно. «Что знают трое — знает и свинья».
https://fokus.cool/2025/03/25/pixelfed-vulnerability.html
𝙹𝚘𝚑𝚊𝚗 /
npub1v7…0a9hk
2025-03-26 11:08:35
Author Public Key
npub1v7m0zwkd4e655aqjpl3jg8tva40ldchc5vs974q4hy4zccpl9quqe0a9hkPublished at
2025-03-26 11:08:35Event JSON
{
"id": "41934757b11a81c0177f3d8b96ba75d80af92b66e7347d1b1d58b562437bba78",
"pubkey": "67b6f13acdae754a74120fe3241d6ced5ff6e2f8a3205f5415b92a2c603f2838",
"created_at": 1742987315,
"kind": 1,
"tags": [
[
"t",
"mastodon"
],
[
"t",
"pixelfed"
],
[
"t",
"fail"
],
[
"t",
"security"
],
[
"t",
"activitypub"
],
[
"t",
"ноэтонеточно"
],
[
"proxy",
"https://cr8r.gg/users/johan/statuses/114228416680401390",
"activitypub"
]
],
"content": "#Mastodon #Pixelfed #FAIL #security #ActivityPubВместо эпиграфа\n\n— У вас дыра в безопасности!\n— Ну, хоть что-то у нас в безопасности...\n\n«Вылетит слово — не поймаешь, а у нас догонят, поймают и посадят»Коротко:\n\nВы решили вручную одобрять подписчиков и думаете, что кроме одобренных никто не увидит ваши постыдные постики? #ActivityPub отправляет сообщения не просто «подписчикам», а на их сервер. После этого сервер должен проявить порядочность и показывать только тем, кто на вас подписан.\n\nPixelfed, однако, игнорирует вопросы одобрения подписки для внешних серверов. В результате, если вы одобрили кого-то из пикселфеда, ваши «подзамочные» посты будут доступны всем юзерам с того сервера.\n\nТада-а-а-м! Собсно, не только пикселфеда это касается, баг (или злонамеренное действие) доступности сообщений с якобы ограниченной видимостью возможен примерно везде, где не используется E2EE шифрование, #НоЭтоНеТочно. «Что знают трое — знает и свинья». \n\nhttps://fokus.cool/2025/03/25/pixelfed-vulnerability.html",
"sig": "18de0d5fd892c797bb77cd8becccea16ec3adcaec4fdaa287e49674fbc563910600d5d413b043f29ef993fd0abbcea810e76d25ff7177e19eed7e0b9721f6eb7"
}