概要
2023-02-12 Sun頃から、web.gnusocial.jpをChromium系Webブラウザーで表示すると、以下の画面が表示される現象が発生するようになりました。
Misskey.ioの画像を*.gnusocial.jpから参照していて、Chromium系ブラウザーで発生するようです。
これがMisskey.ioからの*.gnusocial.jpへの嫌がらせであり、対応済みですのでお知らせします。
なお、この現象は <https://socialciter.gnusocial.jp/misskey.io.html> をChromium系ブラウザー表示すると確認できます。
現象
2023-02-12 Sun頃からSocial CiterでGoogle ChromeでMisskey.ioの記事を引用すると上記画面が表示されることを認識していました。ただ、Firefoxでは発生しなかったため、当初はブラウザー側の問題かと思って、見過ごしていました。
ただ、その後Twitter上などで、同様の複数の報告がありました。
GNU social JPさんのまとめ(?)みたいなページにアクセスすると画像のような警告が表示されるんだけど…
— しゃけ⅌すごくねむいひと/????????? (@namajake29) February 20, 2023
有料記事とかあったりしてそれの影響で出てきたりするのかな…? pic.twitter.com/Om0ovmdBvw
ここの記事見るとこれが出てよめないけど、なんでですか? うわあ NTR記事だ・・ gihyo.jpのMisskey連載第1回: 分散型SNS「Misskey」、それを支える技術スタック | GNU social JP
なんぞ?Brave だと、こんなんでました。 Chromium で実装されてから噂には見たことあるけど、GNU Social で拝見するとは。 うわあ NTR記事だ・・ gihyo.jpのMisskey連載第1回: 分散型SNS「Misskey」、それを支える技術スタック | GNU social JP
複数人から同様の報告があったため、2023-02-20 Monに調査しました。
原因
調査したところ、以下の投稿群でこの現象についての情報がありました。
なにこれ
@theoria@wug.fun 下記の画像で検知してますね
@theoria@wug.fun 恐らく、画像を要求されたサイトのリファラがあのサイトだった場合に testsafebrowsing.appspot.com/s/trick_to_bill.html を返すようになっていて、 それを Chrome や他の Chromium 系ブラウザが検知してアレを出すと (個人的に気になったので、今度検証してみようと思います)
@theoria@wug.fun Chrome のリファラ操作できる拡張機能を入れて試してみました。 やはり、リファラを見ているようです。 (画像を動的生成しているからこそなせる技ですね) で、自分でも試してみました。
どうやら、Misskeyのアバター画像は動的に生成 (https://nos3.arkjp.net/avatar.webp?url=https%3A%2F%2Fs3.arkjp.net%2Fmisskey%2Fwebpublic-bdc44fbd-70a2-4ad5-b0fc-a23c72ecbd3b.png&avatar=1) しているようです。
これを利用して、Misskey.ioの画像をimg要素で参照時に*.gnusocial.jpのリファラーを判定して、302リダイレクトで「https://testsafebrowsing.appspot.com/s/trick_to_bill.html」を応答するようになっていました。なお、該当HTMLは以下の内容でした。
<html><head></head><body cz-shortcut-listen="true">
Billing Interstitial Page Example.
</body></html>Chromium系ブラウザーが上記の応答から警告画面を表示していたようです。念のため、harファイルもローカルで保存しました。
その他、この投稿など、通常の添付ファイルは <//s3.arkjp.net/misskey/webpublic-8f6c15f3-c33e-4bb7-8e8f-21d7eaf08a23.jpg> のような画像ファイルへの直接参照になっていましたが、この画像参照でも302リダイレクトで上記応答となっていました。
対策
有志の調査により、原因が分かったため、以下の投稿群で対策しました。
@h3zjp ますみすサーチのエゴサでこの会話を見つけました。 現象を認知してましたがブラウザー側問題かと思っていました。 リファラーで判断ということで、img要素にrel=noreferrerで対策、多いですが既存も直します。 露骨な私への嫌がらせですね…情報ありがとうございました!
!issue うーん…no=”referrer”で回避できた思ったら気のせいでした。面倒くさいですね…何かうまい方法ないか。misskey.ioだけ画像なしにするか。
referrerpolicy=”no-referrer” で解決しました。 本当に私が嫌なのでしょうね… 私より頭が良くない相手とのタイマンは怖くありません。賢さは見ればわかります。 ただ、数の暴力で袋叩き、人格否定とか。 天邪鬼はこういう汚れ役ばっかでしんどいですね…
img要素での参照時にreferrerpolicy="no-referrer"属性を指定してリファラーを送信しないようにしました。「Avoid referrer specific block for misskey.io · 566b7c5534 – NotABug.org: Free code hosting」のコミットで対応しました。
当初はrel=”noreferrer”を指定しましたが、効果がなかったため上記にしました。
web.gnusocial.jpの既存ページに対しても上記の修正を施して、警告が表示されないようにしました。
結論
Misskey.ioからの*.gnusocial.jpからの画像参照時の警告表示による嫌がらせでした。
おそらく、ドメインブロックへの対抗措置 (告知: Misskey.ioからのドメインブロックへの対抗措置 | GNU social JP) への報復なのでしょう。ただ、該当記事でも記載した通り、元々io管理人が先に私に対して引用の削除要請と、金銭要求、訴訟の検討予告を先にしてきました。私は全く同じことをやり返しただけです。自分は良くて相手 (私) は駄目というのはおかしくありませんか?
上記記事の末尾に追記した通り、io管理人はドメインブロックの理由は通信失敗を理由にしています。解除の条件がわかったので、こちらは水面下で対応を進めています。
まず、通信失敗はサーバーの負荷が原因ではありません。CPUもメモリーも通信帯域にもかなりの余裕があり問題ありませんでした。
ソフトウェア実装で想定外のリクエストへの対応失敗による500エラーが原因です。例えば、GNU socialには存在しない、ローカル限定投稿に対するアクション (いいね、返信、再投稿) のリクエストが、GSにきていて、対象投稿の情報を取得しようとしても、ローカル限定投稿のため取得に失敗して、後続処理でnullアクセスで500エラーがでていました。
暫定対策をいれてみました。これで解決するならコミットしますかね。お昼ごはんにして、その間に溜まったログを確認して判断します。 ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jpreplying to ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp
公開範囲がローカルの投稿だったようで、応答がないのが正解だったようです。 なぜかこちらに流れてきていたようです。では、こちらでガードしておしまいですね。 ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jpreplying to ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp
この件に関しては2023-02-18の「Guard to avoid 500 error for missing notice · 06c8e915ee – NotABug.org: Free code hosting」のコミットで対応しました。これにより通信エラーが大幅に減りました。
02/18 11:00 JST頃に対策を入れました。今後はリクエスト失敗は減ると思います。 Misskey側のローカル投稿へのアクションを参照できず失敗していたので、ガードしました。なお、GSで500エラーが出ただけで、特に再送もなく、Misskey側の負荷にはなってないはずです。
2/18に対応してからあきらかに500の数が減っています。まだ出ているのが気になります。 これも連休で対応したいですね。サーバーには余裕があるのに、ソフト不具合であらぬ批判を受けるのは嫌ですので。
上記は現在連合中の「gnusocial.jp | シッキム(正式名称:えとねるん3号館 通称:えとねるん)」のチャートです。だいたい2023年1月から2月17日までで平均して1日400件ほどリクエストが失敗していましたが、2/18の対応後は50未満に激減しています。
また、この500はGS側で問題なだけで、これに対してMisskeyから再送処理はきておらず、Misskey側の負荷にはなっていないと思います。上記コミットによる対応を行っても、404応答に変わっただけです。元々ローカル限定投稿へのアクションが来ても、こちらでは無視するしか対応のしようがありません。残り50件ほどの失敗も調べて対応しますのでお待ちください。通信エラーがほぼでなくなったところで、再度ブロック解除要請の連絡をします。それでも駄目なら、打つ手がなくてどうしようもないので元々の要請のことを進めるだけです。
話が脱線しました。ただ、上記のドメインブロック解除要請とは別で、今回の件は私のドメインに対してだけ行うという、露骨な私への嫌がらせで迷惑です。今回はこちらの対応で回避できたので大目に見ます。しかし、今後も嫌がらせが続くなら、今回の証拠を保存しましたので、業務妨害による刑事告訴も検討します。
私はio管理人と喧嘩をしたいわけでも、嫌がらせをしたいわけでもありません。露骨な嫌がらせやドメインブロック=差別の違法行為をやめてほしい、ただそれだけです。やっていることは学校などのいじめと同じです。子供染みた陰湿で卑劣な行為はやめてください。分散SNSは学校ではありません。理不尽には相応の対応をとります。いじめのように大勢で少数を袋叩きにしようが、法廷という客観的な場で争えば無関係です。
詳細プロフィール。SNS: Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。
コメント
ioに煽り散らかした上でのbanなら問題はないはず
それでもなんか解除しろとか言って反省する気なくて草
それだからしゅいろさんも許してくれないんじゃ
[…] 「告知: Misskey.ioの画像参照時の警告表示の嫌がらせへの対応 | GNU social JP」や「告知: Misskey.ioからのドメインブロックへの対抗措置 | GNU social JP」で触れた通り、Misskey.ioからのドメインブ […]
This Article was mentioned on web.gnusocial.jp
This Article was mentioned on web.gnusocial.jp
This Article was mentioned on web.gnusocial.jp