大家好!
情况特殊,未经投票已屏蔽此条提到的恶意实例。之后除非遇上与本条相似的原因 (安全漏洞),都会开投票决定是否屏蔽。
solitude.bar/objects/a72ac2a7-

🍻 祝您愉快 🍻

#漏洞 #播报

Mastodon 中的一个安全漏洞被利用来攻击 Mastodon 实例。据悉,该安全漏洞是由实例的站内用户搜索恶意实例的用户引起的,每次都会返回2个随机用户名,由于 Mastodon 缺乏对递归的限制,导致服务器陷入无限抓取的循环。

最大的中文 Mastodon 实例草莓县已经受到影响,具体表现为公共时间线在很长一段时间内持续充斥着垃圾帖子和用户,极大占用了服务器资源。

此外,Pleroma 实例似乎可以通过设置递归次数来规避这个问题。

- https://fedibird.com/users/yustier/statuses/109448938246497764
-https://m.cmx.im/@strawberry/109452307277494843

:2070: 长毛象安全小tips

1. 与互联网上的大多数其他网站一样,任何长毛象实例的管理员都可以看到用户的注册电子邮件地址,在某些情况下甚至可以看到用户的私信内容(私信不是端到端加密的)、设备信息、家庭IP地址等等。选择一个值得信赖的实例和运营商是很重要的。

2. Fediverse是一个开放的网络,长毛象的设计初衷也并不是为了私密交流或抵抗审查,发布任何贴文时都应做好被全世界看到并且永远无法从互联网上被删除的准备。诸如锁嘟、“不得转出毛象”、调整可见度等措施并不能真正提高安全性。用户应该做好自己的身份隔离,如果有必要,可以启用自动删除历史嘟文功能。

3. 要求管理员封禁“疑似网警”的账号并不能降低任何风险。即使真的是网络警察,它们也可以在任何实例注册其他账户,继续它们的监视行为。管理员在没有可靠依据的情况下封禁一个账户是有争议的。与其举报对方,不如好好利用屏蔽功能。

4. 不要使用中国境内的邮件服务商(qq、新浪、163等)注册,以免这些服务商扫描邮件内容,识别长毛象的系统通知邮件,将用户名与真实身份联系起来。建议使用海外的电子邮件服务商,包括 tuta.io, proton.me, skiff.com 这些加密的电子邮件服务。请确保你能够定期登录检查你的电子邮件,这样你就不会错过重要的电子邮件通知。

5. 尽管大多数网站管理员尽力保证他们的用户安全,但大多数Fediverse实例是由个人或小团体经营的,他们没有能力抵御国家级的网络攻击。即使是像谷歌和Meta这样的技术巨头,也不能100%抵御国家级的攻击。

#长毛象中文使用指南 #安全 #网络安全

本站原则上不允许透露能关联到个人身份的信息,比如微博微信账号、随处学校或公司。如果出于抗议需要公开联络,请平衡一下隐私需求,不要同时公开透露个人特征和所在位置!这无论在哪个站点都是危险的。

Show thread

大家好!
街垒在多地建起,不知缪尚的客人们是否去往街垒。无论您真的到达街垒一线参与反抗,还是在缪尚刷着前方的消息,都请您务必保护好自己。老板知道相聚于此的人们都不是胆小鬼,但要先活着,才有改变的希望。

无论何时,缪尚都会尽可能继续营业。至少在这里,您的酒杯永远可以是满的。让我们一起举杯敬所有反抗,敬反抗带来的众多回响。

🍻 Until the earth is free! 🍻

Show older
Café Musain

这里是赛博缪尚咖啡馆!只要您相信自由与平等,本店非常欢迎您的光临!