Timeline for adgnusocial list by senooken, page 44

senooken adgnusocial Thursday, 21-Jul-2022 21:20:21 JST

Listed 12 Subscribers 0

GNU social JP (gnusocialjp@gnusocial.jp)'s status on Monday, 19-Sep-2022 09:57:58 JST GNU social JP

管理人は、昨日の夕方くらいまではpawoo.netに接続できたのですが、今日は完全に接続できていません。

一時的なものかと思いましたが、明日以降休み明けでも解決しないならば、恒久的になる可能性ありそうです。

関連する情報の投稿を収集し、動向を注視しておきます。

In conversation Monday, 19-Sep-2022 09:57:58 JST from gnusocial.jp permalink
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Monday, 19-Sep-2022 09:52:22 JST GNU social JP
in reply to
- ikeji
- 寮
- Udon
@ikeji コメントありがとうございました。 @ryo @udon

>私は、ここで何をスパイウエアと呼ぶべきか、呼ばないべきかは、個人の立ち位置の問題であって、証拠は十分示されていると考えます。

Firefoxの件はこれに尽きると思います。https://spyware.neocities.org/articles/firefox.html も軽くみました。

管理人は、プライバシーや個人情報流出などの実害がなければ、開発者やユーザーのための通信は、公益につながるので問題ないと思っています。

無害・有益なこれらも許容しないのであれば、避けるか各自で無効にすれば、それでよいと思いました。

In conversation Monday, 19-Sep-2022 09:52:22 JST from gnusocial.jp permalink
ikeji (ikeji@ostatus.ikeji.ma)'s status on Monday, 19-Sep-2022 09:22:06 JST ikeji
in reply to
- みさと
- GNU social JP
- 寮
- Udon
@gnusocialjp @ryo @udon @Misato

https://linux.srad.jp/story/19/07/17/1633219/
systemdは比較的安全だと信じられている/dev/urandomを使わずに、ソースコード(実装)が公開されておらずバックドアがあるかもしれないと言われているRDRANDを使っている事を、実際に問題がでるまで広く気がつかれなかったというニュースを思い出しました。

(自分はsystemdを避けるのはあきらめて、systemdを使っています。)
In conversation Monday, 19-Sep-2022 09:22:06 JST from ostatus.ikeji.ma permalink Repeated by gnusocialjp
Attachments
1. Domain not in remote thumbnail source whitelist: srad.jp
  
  AMDのCPUにおけるRDRAND命令に不具合、Systemdが影響を受ける | スラド Linux
  
  Linux向けのサービス・システム管理ソフトウェアSystemdは、いくつかのAMD製プロセッサを搭載するマシン上で適切に動作しないという。その結果、いくつかのLinuxディストリビューションでブートに失敗するなどの不具合が報告されている（Ubuntu systemd packageでのバグ報告、Phoronix、本の虫）。2018年12月にリリースされ...
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Monday, 19-Sep-2022 09:02:05 JST GNU social JP

肩こりで悪い目覚めでした。休みでよかったです。

今日はKiwiFarmsとGSのDocker、Qvitterに取り組みます。

In conversation Monday, 19-Sep-2022 09:02:05 JST from gnusocial.jp permalink
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Monday, 19-Sep-2022 08:02:06 JST GNU social JP

速報: MisskeyフォークのGroundpolisの開発中止 https://web.gnusocial.jp/post/2022/09/19/
In conversation Monday, 19-Sep-2022 08:02:06 JST from gnusocial.jp permalink
Attachments
1. Domain not in remote thumbnail source whitelist: web.gnusocial.jp
  
  速報: MisskeyフォークのGroundpolisの開発中止
  
  Misskeyからフォークした分散SNSのGroundpolisが開発中止になったと告知があったので取り上げます。2022-09-12 Monの以下の投稿・記事で告知されていました。Groundpolis (dev@groundpolis.
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Monday, 19-Sep-2022 00:31:00 JST GNU social JP
in reply to
- みさと
- 寮
- Udon
@udon

>> 調べたところ、このフォールバックは設定ファイル (FallbackDNS, FallbackNTP) でも変更できるようです。ありがとうございます。でもその機能の存在意味は分からないです。

設定されたDNSやNTPのサーバーにアクセスして、うまくいかなかったときの、失敗した時の動作の設定だと思います。

たぶん、FallbackDNS, FallbackNTPの設定もない場合に、systemd標準のGoogleやCloudflareのサーバーを見るのだと思います。

systemdにそんなに大きな問題があるように思いません。わたしもそう思います（なるべく避けたい程度）。

元々systemdの話は、 @Misato さんがきっかけでした。自信満々にsystemdの問題について断定口調で話し出したので、素直に気になりました。非常に多くのユーザーのいる有名なFOSSに、はたしてそんなはっきりしたバックドアがあるのかと。

話をきくと、根拠についてそんなに詳しくないように感じました。問題も、意図が理解できて回避できる内容で、そんなに致命的なものに思えず、少ない情報を盲信した陰謀論やいいがかりのようにも感じてしまいました。

@ryo さんのFirefoxの件もです。

少しでもリスクがあるなら避けたいというのは理解できます。しかし、根拠や証拠が弱く、一方的な決めつけにみえて、危なっかしく見えました…

以上です。

In conversation Monday, 19-Sep-2022 00:31:00 JST from gnusocial.jp permalink
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Monday, 19-Sep-2022 00:05:03 JST GNU social JP

この憶測が正しいのであれば、月初のKiwiFarmsのブロックと似たような事案で、タイムリーですね。明日はKiwiFarm優先で取り組みます。

https://fedibird.com/@noellabo/109019893841555585
In conversation Monday, 19-Sep-2022 00:05:03 JST from gnusocial.jp permalink
Attachments
1. Domain not in remote thumbnail source whitelist: s3.fedibird.com
  
  のえる (@noellabo@fedibird.com)
  
  from のえる
  
  全部推測だから、可能性の話として聞いて欲しいんだけど、 Pawooね、怒られが発生してドメイン管理してるところに止められてると思うのね。一番可能性あるのは実写ロリとかだと思う。テロ関係とかもあるけどPawooの場合はあたらないかな。たぶん警告は行ってたんじゃないかと思うけど、必要なタイミングで返答できずに、強制措置されたとかかな。概ね、このコンテンツマズイので消してくださいとか指示来てると思う。なので、休み明けにそのへんを適切に対処して、処置を解除してもらうってのはあると思う。許されたらネームサーバは本来のものに戻るけど、それが反映されるには時間がかかる。つながったりつながらなかったりした人がバラバラだったのはその時間差なんだけど、同じ事が復帰するときにも起きるよ。 MastodonやメディアのサーバはたぶんIDCフロンティアの関係で制限かかってないから、こっちは大丈夫。とりあえずね。ちなみにFedibirdはそういう事態になったことはないけど、mstdn.jpは度々VPS事業者から対応を求められて、対応遅れで回線停止措置っていうのは実際に起きてるよ。
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Sunday, 18-Sep-2022 23:33:40 JST GNU social JP

XMPP。psi+がいいかと思って試しています。

XMPPはほぼ使ったことがなく、用語だとか使い勝手がわからずかなりのストレスです。

Slack/Skype/Google Meetなどと同じチャット分類のはずですが、ルームやコンタクトの登録など、使い勝手が違い慣れません…

In conversation Sunday, 18-Sep-2022 23:33:40 JST from gnusocial.jp permalink
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Sunday, 18-Sep-2022 23:11:53 JST GNU social JP
in reply to
- 寮
- Udon
@udon @ryo

提示いただいたURLではビルドオプションで変更できるという話でした。

調べたところ、このフォールバックは設定ファイル (FallbackDNS, FallbackNTP) でも変更できるようです。
だとしたら、気に入らなければユーザーが変更すればいいだけなので、やはり何も問題ないように思います。

systemdを採用していないGNU/Linuxのほうが少なく見え、systemdにそんなに大きな問題があるように思いません。
In conversation Sunday, 18-Sep-2022 23:11:53 JST from gnusocial.jp permalink
Attachments
1. No result found on File_thumbnail lookup.
  
  resolved.conf(5) — Arch manual pages
2. No result found on File_thumbnail lookup.
  
  systemd-resolved - ArchWiki
3. No result found on File_thumbnail lookup.
  
  timesyncd.conf
4. No result found on File_thumbnail lookup.
  
  systemd-timesyncd - ArchWiki
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Sunday, 18-Sep-2022 21:38:41 JST GNU social JP
in reply to
- 寮
@ryo

時間がかかりましたが確認終わりました。

MacOS v12.6のFirefox 104.0.2を--safe-modeで起動して確認しました。

WireSharkでHTTPのパケットを確認しました。

>・毎回firefoxを起動したら、「http://detectportal.firefox.com/success.txt」とリクエストを送信しています。

確認できました。現在のネットワークがIPv6/IPv4をサポートするかの確認に使っているようで、特に害はありませんし、無効にもできます。

https://support.mozilla.org/ja/kb/how-stop-firefox-making-automatic-connections

GETなので、IPアドレスとUAくらいしか情報は伝達できず、これらは個人情報ではありません。

>・新しいタブページにあるウエブページを自動で受け取ります。（スパイウェアを持っているJS、CSS、クッキー等も）

確認できませんでした。新しいタブを開いても、サムネイル画像のGETのみで、JS/CSS/クッキーのGETなし。

>・mozilla社はgoogle ANALytics使って各ユーザーを差別せずトラッキングされています。

確認できませんでした。

>・「安全ブラウジング」機能性は30分ごとにGoogleにリクエストを送信されています。

該当機能が見当たらないため、[プライベートタブ] のことだと解釈しました。

確認したところ CONNECT proxy-safebrowsing.googleapis.com:443 HTTP/1.1\r\n のリクエストを確認しました。

リクエストボディーはなく個人情報はありません。フィッシングサイトやマルウェアサイトのリストの更新をするために取得しているそうです。ダウンロードファイルの保護をする場合、ファイルの情報を送信するそうです。

https://support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work#w_what-information-is-sent-to-mozilla-or-its-partners-when-phishing-and-malware-protection-is-enabled

>・Pocketと機能性は大変スパイウェア。

Pocketの機能はありますが、使わなければ問題ありません。

>・自動アップデート機能性があります。

無効にできます。

確認できたパケットは念の為保存しています。

いくつか起動時やプライベートタブで気づかないところで通信はありましたが、個人情報の送信はなく、無害だと思いました。そのため、スパイウェアには該当しないと思いました。

個人情報を送信しない無害なもの、場合によっては有益なものもあります。私は、無害ならば、問題ないと思います。

気づかないところで通信するもの全てを、無害でもスパイウェアと呼んで使うべきでない、というのであればしかたありません。
In conversation Sunday, 18-Sep-2022 21:38:41 JST from gnusocial.jp permalink
Attachments
1. Domain not in remote thumbnail source whitelist: user-media-prod-cdn.itsre-sumo.mozilla.net
  
  How does built-in Phishing and Malware Protection work? | Firefox Help
  
  Firefox contains built-in Phishing and Malware Protection to help keep you safe online. This article explains how they work.
2. Domain not in remote thumbnail source whitelist: user-media-prod-cdn.itsre-sumo.mozilla.net
  
  Firefox が勝手にインターネットに接続するのを防ぐには | Firefox ヘルプ
  
  Firefox がインターネットに接続する様々な理由と、お望みでなければその接続を中止する方法について学んでください。
3. Untitled attachment
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Sunday, 18-Sep-2022 19:33:14 JST GNU social JP

リポジトリー用の組織アカウント。ひとまず作りました。まだ空です。

これからですね…火曜日告知します。

GNU social JP - NotABug.org: Free code hosting https://notabug.org/gnusocialjp
In conversation Sunday, 18-Sep-2022 19:33:14 JST from gnusocial.jp permalink
Attachments
1. NotABug.org: Free code hosting
  
  from Gogs
  
  Gogs is a painless self-hosted Git service.
2. Domain not in remote thumbnail source whitelist: notabug.org
  
  NotABug.org: Free code hosting
  
  from Gogs
  
  Gogs is a painless self-hosted Git service.
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Sunday, 18-Sep-2022 19:03:20 JST GNU social JP
in reply to
- 寮
- Udon
@udon さん。

@ryo さんの代わりに、systemdのバックドアの証拠を回答したと判断してコメントします。

>https://www.infoworld.com/article/3159124/linux-why-do-people-hate-systemd.html

3個目のこちらのURLには、バックドアの証拠はありませんのでコメントしません。

>https://www.unixsheikh.com/articles/the-real-motivation-behind-systemd.html

>https://github.com/systemd/systemd/issues/12499

最初の2個のURLはsystemdのNTPとDNSのフォールバックのデフォルトがcloudflareとgoogleになっている点が、バックドアという指摘だと思います。

しかし、2個目のURLにある通り、ビルドオプションで変更できますので、ディストリビューション側の問題です。

そして、フォールバックなので、失敗しない限り見ることありません。失敗したときに見るサーバーなので、安定性の高いサーバーをデフォルトに指定するということで、別におかしいと思いません。

これを根拠にsystemd搭載の全てのGNU/Linuxを使うべきでないというのはおかしいと思います。

批判するならば、systemdではなく、デフォルトを変更していないディストリビューションだと思いました。

firefoxはこの後確認します。
In conversation Sunday, 18-Sep-2022 19:03:20 JST from gnusocial.jp permalink
Attachments
1. No result found on File_thumbnail lookup.
  
  The real motivation behind systemd
2. Domain not in remote thumbnail source whitelist: opengraph.githubassets.com
  
  Don't fallback to Google NTP and DNS. · Issue #12499 · systemd/systemd
  
  For obvious privacy reasons, Google servers shouldn't be used as fallback DNS and NTP servers. In case of FallbackNTP, having two different vendors as fallback will also aid in stability if Goo...
3. Domain not in remote thumbnail source whitelist: images.techhive.com
  
  Linux: Why do people hate systemd?
  
  from Jim Lynch
  
  Also in today’s open source roundup: Why you should switch to private, encrypted messaging, and what is your favorite Linux distribution?
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Sunday, 18-Sep-2022 17:56:15 JST GNU social JP
in reply to
- 寮
@ryo ご回答ありがとうございました。

systemdのバックドアの証拠はどれですか？

Firefoxの件は後で、リクエスト関係の指摘はHTTPのパケットを取得して確認します。

In conversation Sunday, 18-Sep-2022 17:56:15 JST from gnusocial.jp permalink
GNU social JP (gnusocialjp@gnusocial.jp)'s status on Sunday, 18-Sep-2022 17:51:57 JST GNU social JP
- GNU social JP
デバッグ・修正を行うのに、やはりローカルで行いたく、その場合Dockerがクリーンな環境を用意できるので、この環境を用意するところからやっています。

時間がかかるので、夕食後KiwiFarmsの件に取り組み、時間が余ればですかね…

In conversation Sunday, 18-Sep-2022 17:51:57 JST from gnusocial.jp permalink

After
Before

Public

Timeline for adgnusocial list by senooken, page 44

User actions

Listed

Internal Server Error