Create accountLogin

Recent searches

No recent searches

Search options

Only available when logged in.
bolha.us is one of the many independent Mastodon servers you can use to participate in the fediverse.
We're a Brazilian IT Community. We love IT/DevOps/Cloud, but we also love to talk about life, the universe, and more. | Nós somos uma comunidade de TI Brasileira, gostamos de Dev/DevOps/Cloud e mais!

Administered by:

Server stats:

251
active users

bolha.us: AboutProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.7

Quiet public *
Cadu Silva :verified:

@fediadminbr e demais interessados, vocês viram a última do Pixelfed?

Depois da história do cache-zumbi (você apaga um post com imagem na sua instância, mas a foto segue viva no cache do Pixelfed alheio), essa é a nova:

Você tem um perfil trancado e posta só para seguidores. Alguém no Pixelfed seguiu você e foi aprovado. Agora todos os usuários naquela instância Pixelfed podem ler seus posts somente-seguidores.

:pixelfed: chaos.social/@scy/114225428160

O problema já foi corrigido, mas pelo que diz no link acima, os trâmites não foram seguidos adequadamente.

chaos.socialscy (@scy@chaos.social)Oh, great. #Pixelfed had a broken implementation of "follower-only" posts, _and_ fucked up the disclosure / bugfix release process. https://fokus.cool/2025/03/25/pixelfed-vulnerability.html Summary of the bug: If you have a protected account (on Pixelfed, Mastodon, GTS, whatever) and a Pixelfed user followed you and got approved by you, _all_ users on that instance were now able to see your followers-only posts, not just the one you approved. #Fediverse #ActivityPub #security #fail
Quiet public
Cadu Silva :verified:

@jedi só pra garantir, isso aqui confere?

Thiago, Cavalheiro Jedi

@cadusilva confere. Tudo que o cidadão ali relatou faz sentido.

O servidor recebe todas as postagens de todos os usuários seguidos de outras instâncias. Cabe a cada servidor gerir/replicar as permissões internamente.

Não concordo com o que ele disse que ele não tratou a correção com a seriedade que precisa. Era uma falha grande? era. Era uma falha gravíssima de segurança? Não acho.

Dito isso, concordo que o danado superior lá poderia ter lidado melhor com toda essa coisa.

Mar 25, 2025, 11:55 PM·Quiet public·Moshidon
1boost·3favorites
ExploreLive feeds
About