Closed github-actions[bot] closed 4 days ago
まあログイン通知はセキュリティを保つ上で重要だから停止できる設定を設ける予定はないわね(サーバーを建てる以上、他のサーバーの迷惑にならないためにもユーザーのセキュリティを良好な状態にしておく義務があると思われる) クォータいくらあっても足りなくなる可能性あるのは現在も同じだし 今までのセキュリティ意識が甘すぎた
ioとかそこそこ規模のあるところは大変なことになりそう(分からないですけど)
クォータいくらあっても足りなくなる可能性あるのは現在も同じ
(足りなくなる確率がめちゃくちゃ上がるという話では…)
ログインでめちゃくちゃ上がるとは思えない
足りなくなるのであれば増やして貰えば良さそう
(今までが甘すぎた)
厳しいことを言うかもしれないけど、ログイン通知のメールが送れないクォータで運用している(クォータを引き上げることもできない)サーバーは、サーバーを運用するべきでないと思っている インターネット上にサーバーを公開する者の責任として、連合する他のサーバーにスパムとして加害してしまわないためにも、最低限ログインの通知をユーザーに提供できる状態にしておく必要があるように思う 実際に被害も今までに発生していて、繰り返すけど今までの実装が甘すぎた 異論は認めます
セキュリティに影響のない範囲で、IPなどを判断してログイン通知を減らす実装は良さそうだけど、そもそも一人のユーザーがログインする頻度がそこまで多くないように思うからそのような実装は後回しで良さそう
自分の経験を言うと1年に数回しかログインすることないわね
私も頻度自体はあまり高くはないだろうなという気はします (ただし規模ば多いとでもレートがきつくなりそうという懸念もわかる)
雑にアンケしてみてます https://misskey.niri.la/notes/9z40qeyay8
リリースします
するぞ
リリースいたします
ぽちっとな
おん?
ぽちっとな
Note
setupPassword
をコメントアウトし、初期パスワードを設定することをおすすめします。(すでに初期設定を完了しているサーバーについては、この変更に伴い対応する必要はありません)setupPassword
をランダムな値に設定し、ユーザーに通知するようにシステムを更新することをおすすめします。twoFactorEnabled
,usePasswordLessLogin
,securityKeys
: 自分とモデレーター以外のユーザーからは取得できなくなりましたGeneral
Client
(Cherry-picked from https://activitypub.software/TransFem-org/Sharkey/-/merge_requests/657)
Server
admin/abuse-user-reports
エンドポイントのスキーマが間違っていた問題を修正