This project forked from misskey-dev/misskey
めいすきー
License: GNU Affero General Public License v3.0
Meisskey is a decentralized microblogging platform.
The fork of Misskey
簡単なセットアップ方法はこの辺
https://github.com/mei23/memo/blob/master/misskey/Setup-Meisskey-Quick.md
脆弱性を見つけたらこちら
If you find any vulnerabilities, please report them here.
https://github.com/mei23/misskey/security/advisories/new
![dependabot-preview[bot] avatar](https://avatars.githubusercontent.com/in/2141?v=4 "dependabot-preview[bot]")
![dependabot[bot] avatar](https://avatars.githubusercontent.com/in/29110?v=4 "dependabot[bot]")
![greenkeeper[bot] avatar](https://avatars.githubusercontent.com/in/505?v=4 "greenkeeper[bot]")
![imgbot[bot] avatar](https://avatars.githubusercontent.com/in/4706?v=4 "imgbot[bot]")
![renovate[bot] avatar](https://avatars.githubusercontent.com/in/2740?v=4 "renovate[bot]")
preventCacheRemoteFiles: true の時に、Mastodonで A=>B=>A のようにアイコンを変更するとアイコンが(そのうち)表示できなくなる。
表示できる
できない
以下の条件を満たしていると事象がわかりやすい
なお、preventCacheRemoteFiles: false に後で変更しても、
同ハッシュのurlは更新されないのでなおらない。
特定のダミーユーザー(ここではvipPublicとする)をフォローされると、
vipPublicをフォローしている人がいる他インスタンスのグローバルTL向けに、
このインスタンスの全てのPublic投稿を配信してあげる機能。
連合拡張したい→このインスタンスのPublic投稿全部欲しい という要望に対応。
今までは、全フォローbot回したり、大量のフォローリストインポートするしかありませんでした。
全フォローbot回すのは、リソースを消費します。
また、性質上本来連合に乗らない フォロワー限定/ホーム限定(未収載)投稿も取得してしまうため
フォローされた被取得ユーザーは警戒してしまいますし、フォロワー限定投稿が常に取得されることに不快感を抱く可能性があります。
送受信を行うインスタンスから見ても、連合に乗らないPublic以外の投稿を無駄に送受信することになります。
フォローリストインポートは、準備する必要がありますし、これがかなりのリソースを消費します。
pub-relayなどもありますが、被フォローされるインスタンスの管理者が何もしないと意味がありません。(これそもそも連合拡張を目的とした機能?)
そこで、Public投稿のみを配信する機能を設けます。
既存のフォローとSharedInbox配信の仕組みを使用しますので、配信される側のインスタンスでは特に変更をする必要はありません。
Pleromaに影響している可能性が30%ほど
ActivityPubリクエスト時にHTTP Signatureを付加しているけど
署名対象ヘッダがdateだけなので他の部分は改竄して再利用できちゃいそう。
他の実装は、特に Request body の Digest を取って
Digest: SHA-256=WlctSMTBmlBaS38jiiLh2iE2WpPYBebwLa+6WG2AKOI= みたいなの
それを検証対象ヘッダに含めてそうだわ。
| 実装 | 署名対象ヘッダ |
|---|---|
| Mastodon | (request-target) user-agent host date accept-encoding digest |
| Pleroma | content-length digest host |
Misskeyで投稿する度にMastodonから以下のURLへリクエストが飛んでくる
"GET /users/xxxxxxxxxxxxxxxxxxxxxxxx/publickey HTTP/1.1" 200 708 "-" "http.rb/3.2.0 (Mastodon/2.5.0; +https://mastodon.example.com/)"
"GET /users/xxxxxxxxxxxxxxxxxxxxxxxx/publickey HTTP/1.1" 200 708 "-" "http.rb/3.2.0 (Mastodon/2.5.0; +https://mastodon.example.com/)"
"GET /users/xxxxxxxxxxxxxxxxxxxxxxxx HTTP/1.1" 200 726 "-" "http.rb/3.2.0 (Mastodon/2.5.0; +https://mastodon.example.com/)"
Mastodon 1インスタンスの1フォロワーにつき
上の(publickey x 2 + user x1 = 3)個のリクエストが投稿する度に毎回飛んでくる
Mastodonインスタンス内のフォロワーが増えるに従ってリクエスト数も増える
以下のパターンで起きる
以下のパターンでは起きない
相手のMastodonは、2.5.0 でも 1.6.1 でも確認
署名照合とかそのへん?
Linked Data Signatures が付いてないとくるとか?
publickeyのURLの振り方の違いが影響?
person: https://mastodon.example.com/users/xxxxx
publickey: https://mastodon.example.com/users/xxxxx#main-key
person: https://misskey.example.com/users/xxxxx
publickey: https://misskey.example.com/users/xxxxx/publickey
MastodonはpersonとかにCache-Control: max-age=180, publicついてる
Mastodon 2.4 ライク?
Followers/Following/Outbox
https://www.w3.org/TR/activitypub/#followers
https://www.w3.org/TR/activitypub/#following
https://www.w3.org/TR/activitypub/#outbox
メディアを常に閲覧注意としてマークする
閲覧注意としてマークされたメディアも常に表示する
主にWebSocketとかの接続数を取得したい
Nodeにはあるみたいだけど、1 Worker Process分だろうし、Keep-Aliveもあるのでダメな気がする。
https://nodejs.org/api/net.html#net_server_getconnections_callback
Nginx stub_status の Writing がほぼWebSocketの接続数になってそう。
http://nginx.org/en/docs/http/ngx_http_stub_status_module.html
Active connections: 210
server accepts handled requests
110164 110164 200029
Reading: 0 Writing: 38 Waiting: 172
ActivityPubで
Mastodon の CreateNote/Announce Activity 内の
/activityを含むURLを参照すると、該当Activityと同じ内容が参照できるようです。
(Noteの内容が参照できるURLとは違い、Activityでwrapされている)
@context:
id: "https://example.com/users/USER/statuses/ID/activity" ←このURLで同じ内容が参照できる
type: "Create"
object: {
id: "https://example.com/users/USER/statuses/ID"
type: "Note"
}
@context:
id: "https://example.com/users/USER/statuses/ID/activity" ←このURLで同じ内容が参照できる
type: "Announce"
object: "https://example.com/users/USER/statuses/ID2"
特に必須というわけではないが、Outboxの副産物でできるのと、
デバッグに便利だったりするので実装したい。
参照を許可するNoteは、PublicとHomeを対象にする。
(Mastodonは認証(セッションCookie使用?)次第では、フォロワー限定やプライベート投稿も参照できるようだが、対応しない)
リモートフォローする際、(鍵アカウントと認識していない限り)
常に成功する前提でステータスを変更しているため、おかしくなることがある
1. 相手をローカルでは非鍵と認識しているが、実際は鍵アカウントの場合
(ローカルキャッシュ情報が古い場合など)
Expected: ローカル=承認待ち , リモート=承認待ち
Actual: ローカル=フォロー済み, リモート=承認待ち
2. 相手にブロックされている場合
Expected: ローカル=未フォローに戻される
Actual: ローカル=フォロー済みになる
3. インスタンスが存在しない/通信エラー等
Expected: ローカル=承認待ちになる
Actual: ローカル=フォロー済みになる
Summaryの1: 非鍵のリモートアカウントを参照した後に、リモート側で鍵に変更する、そのリモートアカウントをフォロー
Summaryの2: ブロックされているリモートアカウントをフォロー
タイムラインで日付が変わった際に日付区切りのバーが挿入されるが、
ローカル, ローカルユーザー以外TLの(連合が絡むTL)では表示しないようにする。
ローカル, ローカルユーザー以外のTLでは、
連合から過去の投稿が到着(Renote/Replyなどにより)することがあり
その度に日付切り換えが表示されてしまうため。
ActivityPub Outbox において
現状OrderedCollectionPage/orderedItemsがObject(Note)のリストになっていますが
@context:
type: "OrderedCollectionPage"
orderedItems: [
{ type: "Note" }
{ type: "Note" }
]
↓
正しくはActivity(Create/Announce など)のリストのようです。
@context:
type: "OrderedCollectionPage"
[
{ type: "Create", object: { type: "Note" } }
{ type: "Create", object: { type: "Note" } }
{ type: "Announce", object: "https://example.com/..." }
]
なお、ActivityなのでAnnounce(Renote)も含むのではと思われる。
https://www.w3.org/TR/activitypub/#outbox や Mastodonの実装を参照しました。
Activityのactorのように、PersonのURIが指定されてくる場所では
PersonのObject自体が添付されることも許容しているが
この場合、内容が正当なホストのものか検証する手段がない。
HTTP Signature があるが、検証前に公開鍵を設定出来てしまうので意味なさそう。
Activity受信時に、activity.actor にURIでなくてオブジェクトを指定されると
相手の名乗った情報(公開鍵を含む)を、そのまま登録できてしまう。
https://github.com/syuilo/misskey/blob/09f97bf7a7e0652fe7438e13164586ef4431cba6/src/queue/processors/http/process-inbox.ts#L37-L40
https://github.com/syuilo/misskey/blob/09f97bf7a7e0652fe7438e13164586ef4431cba6/src/queue/processors/http/process-inbox.ts#L47-L50
その後署名検証がその登録された鍵で行われる可能性がある
https://github.com/syuilo/misskey/blob/09f97bf7a7e0652fe7438e13164586ef4431cba6/src/queue/processors/http/process-inbox.ts#L58-L62
引用 && 本文なし && メディア添付 がただのRenoteになる
引用 && 本文なし && アンケート がただのRenoteになる
公開範囲関係なく添付してそう
他人の投稿を 添付する/が添付されている 場合、署名がされてないので信用ができない。
(偽装できそう)
リモートから@foo形式のテキスト(メンションではない)が流れてきた時にローカル向けのメンションになってしまう
Misskey発の Public/Home/Follower/Directが 他インスタンス(Mastodon/Misskey問わず)にはPublicで届く
→未実装だったはず…
Follower宛て投稿が届かない(メンションありなし問わず)
Error: invalid person: object is not a person or service 'OrderedCollection'
at validatePerson (/home/xxx/misskey/built/remote/activitypub/models/person.ts:23:10)
at createPerson (/home/xxx/misskey/built/remote/activitypub/models/person.ts:78:14)
at process._tickCallback (internal/process/next_tick.js:68:7)
HTTP / Content-Type: application/activity+json
HTTP / User-Agent:
Activity / id
Activity / actor (allways)
APでPersonを取得した際、取得内容のホスト名部分が取得対象URIのホストだったか検証してない。
このため、別のインスタンスを騙ってリモートユーザーを登録できてしまいそう。
https://github.com/syuilo/misskey/blob/09f97bf7a7e0652fe7438e13164586ef4431cba6/src/remote/activitypub/models/person.ts#L74
最大5個並列取得しているところで・・・
同じハッシュタグが各投稿に存在するなどの理由で同じハッシュタグの登録が発生することがある
リプライ先も取得するので同じ投稿の登録が発生することがある
:
findOne => なかったらInsertとしているが、特に排他をしているわけではないので
findOne と Insertが並列に実行されるとたまにコケる。
ユーザー取得時に、ピン留め全取得までawaitしているが
バックグラウンドでゆっくり取得でもいいかも
ユーザー情報更新をinboxをからではなく、WebFingerからやり直す機能。
同ホスト+Nameだけど、DBが飛んだとか種類が変わったとかそういう時のため。
Mastodonは1日1回等WebFingerからやり直すっぽい
そのInbox等も更新してるかは不明
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
An Open Source Machine Learning Framework for Everyone
Django
The Web framework for perfectionists with deadlines.
Laravel
A PHP framework for web artisans
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
Some thing interesting about web. New door for the world.
A server is a program made to process requests and deliver data to clients.
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
Some thing interesting about visualization, use data art
Some thing interesting about game, make everyone happy.
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
Microsoft
Open source projects and samples from Microsoft.
Google
Google ❤️ Open Source for everyone.
Alibaba
Alibaba Open Source for everyone
D3
Data-Driven Documents codes.
Tencent
China tencent open source team.