Show newer
王小美 boosted

Mastodon v4.0.0+ 對我來說最大的問題甚至都不是醜 UI 而是安全方面的顧慮 :blobcatnotlikethis:

此前 Mastodon 站點的 search 功能是不對非登錄用戶開放的,而 v4.0.0+ 以後即便是非登錄用戶也可以用站點的 search,這就出現了一些對我來說很 concerning 的問題⋯⋯譬如說裏瓣是禁止了未登錄用戶訪問 profile 和 status 的,如果你沒有裏瓣帳號直接打開裏瓣管理員的 profile donotban.com/@admin 是什麼也看不到的,但是因為 v4.0.0+ 的 search 變成不需要登錄的功能了,現在即便你不登錄直接去草莓縣/o3o/bgme 搜裏瓣管理員或者裏瓣任何有和他們站通訊的用戶都能把 profile 和 status 搜出來(完全不是說這些升級了的站點有問題的意思)。雖然這個問題對於本身沒有禁止非登錄用戶訪問 public profile 和 status 的站點來說確實不是大問題,但我會非常非常非常不希望我的站為他人搜索本來對他來說可能不 accessible 的東西提供便利 :ablobdundundun:

本身 Mastodon 官方是提供了禁止未登錄用戶搜索的方法的(即在 .env.production 中添加 DISALLOW_UNAUTHENTICATED_API_ACCESS=ture),但是因為這次更新完全改變了 public profile 和 status 的寫法,如果禁止了未登錄用戶使用 search 會導致站點的 public profile 和 status 同樣對非登錄用戶無法訪問(就是非登錄用戶直接開我的 profile 和我的 po 什麼也看不見),且會一直跳 '401 This method requires an authenticated user',甚至連站點的 /about 頁面這個理論上本來就不該需要登錄才能看的地方都在跳這個 error。這個問題我已經在 mastodon 的 github 反映了 [1],也被上游確認確實有這個 bug。但他們暫時還沒有修復 :csndino036:

所以雖然我已經 merge 完了 v4.0.0+ 的代碼,並把非常大一部分東西都改回去了(比如那個醜到爆的 sidebar 被我重新移回了頂上),但是到上游修復這個問題我都不會更新 :csndino111:

[1] github.com/mastodon/mastodon/p

@jsailo edit postgresql.conf, change max_connections

@jsailo look P1, nornally there should be 0 in "Enqueued", if your sidekiq threads are not enough, than it will quickly reach a large amount. To increase the thread, you should also increase the postgress db pool number, and also, take care of the memory usage (p2)

RT 端傳媒 Initium Media
【上海悼念烏魯木齊變抗議多人被捕,中國多校大學生自發行動】
新疆烏魯木齊因封控導致來不及撲熄的大火,點燃起社交媒體洶湧輿情,同時,中國多地線下爆發民眾悼念及抗議活動。上海烏魯木齊中路之夜、南京傳媒學院的燭光與白紙、全中國各地大學生也紛發起行動⋯
bit.ly/3F6Rlqv

:sys_twitter: twitter.com/initiumnews/status

王小美 boosted

@xiamx 会开的,不过得等我写好以后了,我挺慢的 😂

或许应该排除typeorm,因为ts的装饰器将来可能和js的装饰器不兼容

Show thread

@Candinya 我第一眼看到也是想着不是随便破解嘛 :ac_classic01:

Show older
小森林

每个人都有属于自己的一片森林,也许我们从来不曾走过,但它一直在那里,总会在那里。迷失的人迷失了,相逢的人会再相逢。愿这里,成为属于你的小森林。