雪あすか on Nostr: これMastodonにずっと昔からある当たり前の仕様なんだけど、 ...
これMastodonにずっと昔からある当たり前の仕様なんだけど、
他サーバーの投稿の詳細画面で投稿のURLを開くメニューあるでしょ、あれで本物の投稿URL開くことができるんだけど、じゃあそのURLをどこから持ってきてるかというとActivityPubからもらってきたものだよね。
で、MastodonはそのURLに、もしあっても「Accept: application/activitiy+json」ヘッダをつけてしかリクエストしないので、つまりHTMLとしてのリクエストや検証は行ってない。
ということは、Content-Typeがtext/htmlかapplication/activity+jsonかで出力内容を分けることも技術的には可能で(すでにMastodon、Misskey、WordPressなどがそれやってる)、
それ利用してユーザーにウィルスやフィッシング詐欺のサイトへ飛ばすことができるんじゃないかと思うんだけど
ずっと前からこれ仕様としてあったんだよね、どっかに回避手段でも書いてあるのかなあ
他サーバーの投稿の詳細画面で投稿のURLを開くメニューあるでしょ、あれで本物の投稿URL開くことができるんだけど、じゃあそのURLをどこから持ってきてるかというとActivityPubからもらってきたものだよね。
で、MastodonはそのURLに、もしあっても「Accept: application/activitiy+json」ヘッダをつけてしかリクエストしないので、つまりHTMLとしてのリクエストや検証は行ってない。
ということは、Content-Typeがtext/htmlかapplication/activity+jsonかで出力内容を分けることも技術的には可能で(すでにMastodon、Misskey、WordPressなどがそれやってる)、
それ利用してユーザーにウィルスやフィッシング詐欺のサイトへ飛ばすことができるんじゃないかと思うんだけど
ずっと前からこれ仕様としてあったんだよね、どっかに回避手段でも書いてあるのかなあ