Conversation

Notices

よぅ :c_anlucea: (kedama@foresdon.jp)'s status on Tuesday, 28-Jul-2020 10:07:37 JST よぅ :c_anlucea:

<AllowedOrigin>*</AllowedOrigin><AllowedMethod>GET</AllowedMethod>
広すぎか？GET なら通して良い気もするけど…… foresdon.jp 以外の Origin から直接 GET 来ることあるんだっけ？ :f_thinking_kyururu:

In conversation Tuesday, 28-Jul-2020 10:07:37 JST from foresdon.jp permalink
- よぅ :c_anlucea: (kedama@foresdon.jp)'s status on Tuesday, 28-Jul-2020 10:11:57 JST よぅ :c_anlucea:
  in reply to
  - のえる
  - zunda
  @zundan なるほどー。カレーのひとの降臨を待ちつつ、ちょっと S3 と CloudFront のログなど眺めてみます！ @noellabo
  
  In conversation Tuesday, 28-Jul-2020 10:11:57 JST permalink
- zunda (zundan@mastodon.zunda.ninja)'s status on Tuesday, 28-Jul-2020 10:11:58 JST zunda
  in reply to
  - のえる
  @kedama 僕は、リモートからトゥートの配達だけ受けてローカルにキャッシュをもらってない時にリモートにあるオリジナルのメディアを見に行きそうだなあと思いつつAllowedOriginを*にしてみました。 @noellabo さんが詳しくご存じかも。
  
  In conversation Tuesday, 28-Jul-2020 10:11:58 JST permalink
- のえる (noellabo@fedibird.com)'s status on Tuesday, 28-Jul-2020 10:46:54 JST のえる
  in reply to
  - zunda
  @kedama @zundan アクセス元は、
  ・自鯖（サーバプロセス）・自鯖（WebUI）・他鯖のWeb・リモートサーバ（連合先）・クライアントアプリ
  かな。
  CORS意識するのはWebUIを表示するブラウザぐらいで、他はみてないと思う（）
  クライアントアプリは、他鯖の画像を自鯖から取得せずにリモートを直接みにいっちゃうものが結構ある（けどCORS……）。PleromaやMisskey、キャッシュしないで直接見に行かせちゃう場合あるんじゃないかな。
  プロキシが間に入る場合は、S3のヘッダを隠して、プロキシがヘッダを付け直す感じ？https://docs.joinmastodon.org/admin/optional/object-storage-proxy/
  proxy_hide_header 'Access-Control-Allow-Origin';proxy_hide_header 'Access-Control-Allow-Methods';proxy_hide_header 'Access-Control-Allow-Headers';
  add_header 'Access-Control-Allow-Origin' '*'
  
  In conversation Tuesday, 28-Jul-2020 10:46:54 JST permalink
- よぅ :c_anlucea: (kedama@foresdon.jp)'s status on Tuesday, 28-Jul-2020 10:51:34 JST よぅ :c_anlucea:
  in reply to
  - のえる
  - zunda
  @noellabo @zundan あー。ぷれろまとかみすきーだと別 origin の WebUI から fetch なり XHR なりで直接叩いてくるパターンが有り得るかもなんですね……あと Mastodon だと、media remove 走らせてサーバー側からリモートメディアを削除しちゃうと、同じことが起こり得る？感じですかね？
  
  In conversation Tuesday, 28-Jul-2020 10:51:34 JST permalink
- のえる (noellabo@fedibird.com)'s status on Tuesday, 28-Jul-2020 10:51:56 JST のえる
  in reply to
  - zunda
  @kedama @zundan 他鯖のWebってのが、PleromaとかMisskey。これはブラウザによる参照なので影響受ける可能性ある。そもそもMastodonの新オーディオプレイヤーとか関係ないから、今回は大丈夫だけど、何かでひっかかることはあるかもしれない。
  むしろ、ブロックした方がいい案件という話もある。
  直接参照だとユーザーがいつアクティブなのかトラッキングできてしまうので、それを防ぐ意味もありまする。
  
  In conversation Tuesday, 28-Jul-2020 10:51:56 JST permalink
- のえる (noellabo@fedibird.com)'s status on Tuesday, 28-Jul-2020 11:03:32 JST のえる
  in reply to
  - zunda
  @kedama @zundan Mastodonは、人知れずMediaProxyのエントリがあって、再取得が必要なメディアのstatusではプロキシのURLを返しています。
  ユーザーがプロキシにアクセスすると、RedownloadMediaWorkerを走らせて再取得を行って、本来のローカルURLにリダイレクトするという処理を行います。
  この仕組みで、media removeで消しちゃったり、壊れている画像をクリックしても、ローカルのURLが返るようになっています。
  クライアントアプリは、このへんを無視して、リモートを直接見に行くものがあります。
  ユーザーとしては画像がちゃんと表示されて嬉しかったりするんですが、どんな画像を読まされるかわからないのと、トラッキング防止になりません。逆に、本体が対応していないメディア形式でも読めたりします。
  
  In conversation Tuesday, 28-Jul-2020 11:03:32 JST permalink
  
  らりお・ザ・何らかの🈗然㊌ソムリエ repeated this.
- よぅ :c_anlucea: (kedama@foresdon.jp)'s status on Tuesday, 28-Jul-2020 11:09:11 JST よぅ :c_anlucea:
  in reply to
  - のえる
  - zunda
  @zundan @noellabo おもしろいハナシをありがとうございますになっています！ｗ
  
  In conversation Tuesday, 28-Jul-2020 11:09:11 JST permalink
- zunda (zundan@mastodon.zunda.ninja)'s status on Tuesday, 28-Jul-2020 11:09:12 JST zunda
  in reply to
  - のえる
  @noellabo @kedama へえぇえ!! 弊ぼっちでは過去24時間で10回くらい稼動してたようです。きっかけになったリクエストまではログだけからは見えないかあ…。
  
  In conversation Tuesday, 28-Jul-2020 11:09:12 JST permalink