Closed mei23 closed 3 months ago
Strict AP object id check The id property of the retrieved object must match the final redirect URL actually attempted.
https://akkoma.dev/AkkomaGang/akkoma/commit/8684964c5d03f6c70f73730b3f1ad26784ffb004 https://firefish.dev/firefish/firefish/-/merge_requests/10718/commits
多分、ドライブファイル等にAP Objectっぽいのを上げられた時にfakeオブジェクトが出来てしまう場合とかの受け側の対策。 現状のContent-Typeチェックである程度大丈夫な気はするけど、このチェックによってドライブファイル等アップロード後のURLが予測困難な場合攻撃が困難になるから多層防御として有効?
Summary
Strict AP object id check The id property of the retrieved object must match the final redirect URL actually attempted.
https://akkoma.dev/AkkomaGang/akkoma/commit/8684964c5d03f6c70f73730b3f1ad26784ffb004 https://firefish.dev/firefish/firefish/-/merge_requests/10718/commits
多分、ドライブファイル等にAP Objectっぽいのを上げられた時にfakeオブジェクトが出来てしまう場合とかの受け側の対策。 現状のContent-Typeチェックである程度大丈夫な気はするけど、このチェックによってドライブファイル等アップロード後のURLが予測困難な場合攻撃が困難になるから多層防御として有効?