Mastodon v4.0.0+ 對我來說最大的問題甚至都不是醜 UI 而是安全方面的顧慮
此前 Mastodon 站點的 search 功能是不對非登錄用戶開放的,而 v4.0.0+ 以後即便是非登錄用戶也可以用站點的 search,這就出現了一些對我來說很 concerning 的問題⋯⋯譬如說裏瓣是禁止了未登錄用戶訪問 profile 和 status 的,如果你沒有裏瓣帳號直接打開裏瓣管理員的 profile https://donotban.com/@admin 是什麼也看不到的,但是因為 v4.0.0+ 的 search 變成不需要登錄的功能了,現在即便你不登錄直接去草莓縣/o3o/bgme 搜裏瓣管理員或者裏瓣任何有和他們站通訊的用戶都能把 profile 和 status 搜出來(完全不是說這些升級了的站點有問題的意思)。雖然這個問題對於本身沒有禁止非登錄用戶訪問 public profile 和 status 的站點來說確實不是大問題,但我會非常非常非常不希望我的站為他人搜索本來對他來說可能不 accessible 的東西提供便利
本身 Mastodon 官方是提供了禁止未登錄用戶搜索的方法的(即在 .env.production 中添加 DISALLOW_UNAUTHENTICATED_API_ACCESS=ture
),但是因為這次更新完全改變了 public profile 和 status 的寫法,如果禁止了未登錄用戶使用 search 會導致站點的 public profile 和 status 同樣對非登錄用戶無法訪問(就是非登錄用戶直接開我的 profile 和我的 po 什麼也看不見),且會一直跳 '401 This method requires an authenticated user',甚至連站點的 /about 頁面這個理論上本來就不該需要登錄才能看的地方都在跳這個 error。這個問題我已經在 mastodon 的 github 反映了 [1],也被上游確認確實有這個 bug。但他們暫時還沒有修復
所以雖然我已經 merge 完了 v4.0.0+ 的代碼,並把非常大一部分東西都改回去了(比如那個醜到爆的 sidebar 被我重新移回了頂上),但是到上游修復這個問題我都不會更新
@L 其實就是現在 mastodon v4.0.0+ 不需要登錄也能用站點搜索功能所以有一些安全隱患啦 謝謝小 L 的摸摸 喬喬沒事
@kiokio 未解决这些顾虑之前我也会把实例永久停留在 v3
@master 好耶 希望早點修好(不過我已經說了一個多星期了也不知道有沒有人真的要 fix,好像還蠻麻煩的
@kiokio 歐先生代碼寫成這樣都能出 RC 真令人不敢相信呢
@Renn 我大震撼這麼大的問題他自己測試都不測試一下就 release 了 真的很心急火燎要發推難財 (而且還不修,sidebar 也不修
@kiokio ( ´・・)ノ(._.`)不太懂程序上的东西不过摸摸乔乔