Follow

mastodon v4.0+ 以後站點搜索功能對非登錄用戶開放(除非站點打開了 DISALLOW_UNAUTHENTICATED_API_ACCESS=ture,但這會導致本站 public profile 和 status 對非本站用戶全部不可見,具體請看喬喬這條 post)。昨天在 bgme.me 搜索 bgme 的時候發現,因為 mastodon 的搜索功能對非登錄用戶開放了,為了避免這個功能被濫用 mastodon 上游加上了「必須要有至少 5 個字符 match 才會顯示 profile 的搜索結果」的限制(具體請看這條 PR),於是 id 小於 5 個字符的帳號(譬如 bgme 自己)不會被非登錄用戶搜到。拿賭站用戶來說,我可以在 bgme/cmx/o3o 搜到我自己(blackjack)和喬喬(kiokio)的號,但是搜不到可樂(cola)和吉吉(kira)。雖然對站點本身就不禁止非登錄用戶訪問 public profile/status 的站的用戶倒是相對無所謂,但在裏瓣/wxw.moe 之類不對登錄用戶顯示 profile 的站點就可以用小於 5 個字符的 id 來規避帳號被非登錄用戶隨意搜索的風險。

而且更重要的是⋯⋯好像突然破解了 mastodon v4.0+ 「允許非登錄用戶使用站點搜索功能」和「允許非登錄用戶查看 public status/profile」 必須公開同關(到現在都沒被解決)的 bug,只要改代碼把 MIN_QUERY_LENGTH 設成一個沒有可能滿足的超大數(比如 10000),非登錄用戶就誰也搜不到了 :ablobglarezoombutfast:

@blackjack 天才小口 :ablobaww: 幫大忙了!不過似乎 mastodon v.4.0+ 會讓 local-only post 的權限變成只是不 federate 但並不需要登錄就能看(像 misskey 那樣)
github.com/hometown-fork/homet

還是要開 DISALLOW_UNAUTHENTICATED_API_ACCESS=ture 才行 :csndino073: 好無奈,感覺 Eugen 也沒有要解決這些問題的意思,只能放著不升級了(雖然我本來也不想用那麼醜的 v4.0+ :blobthumbsup:

@kiokio 對喔,mastodon 改了 public status/profile 的寫法以後就不是之前那樣單獨的(不需要JavaScript 的)網頁了所以連 local-only 都被影響了 :ablobnervous: 好糟糕的隱私權限設計,pleroma 不僅能把 public status/profile 和 search 分開設置還能設置成非登錄用戶打開 public status 只顯示本站人的內容任何外站人的回覆都是 anonymous 的 :ablobnervous: 等 Eugen 再瘋一點就整站搬到 pleroma(讓極光借你抄一下代碼 :ablobaww:

Sign in to participate in the conversation
Casino

澳洲首家線上賭場上線啦!