mastodon v4.0+ 以後站點搜索功能對非登錄用戶開放(除非站點打開了 DISALLOW_UNAUTHENTICATED_API_ACCESS=ture
,但這會導致本站 public profile 和 status 對非本站用戶全部不可見,具體請看喬喬這條 post)。昨天在 bgme.me 搜索 bgme 的時候發現,因為 mastodon 的搜索功能對非登錄用戶開放了,為了避免這個功能被濫用 mastodon 上游加上了「必須要有至少 5 個字符 match 才會顯示 profile 的搜索結果」的限制(具體請看這條 PR),於是 id 小於 5 個字符的帳號(譬如 bgme 自己)不會被非登錄用戶搜到。拿賭站用戶來說,我可以在 bgme/cmx/o3o 搜到我自己(blackjack)和喬喬(kiokio)的號,但是搜不到可樂(cola)和吉吉(kira)。雖然對站點本身就不禁止非登錄用戶訪問 public profile/status 的站的用戶倒是相對無所謂,但在裏瓣/wxw.moe 之類不對登錄用戶顯示 profile 的站點就可以用小於 5 個字符的 id 來規避帳號被非登錄用戶隨意搜索的風險。
而且更重要的是⋯⋯好像突然破解了 mastodon v4.0+ 「允許非登錄用戶使用站點搜索功能」和「允許非登錄用戶查看 public status/profile」 必須公開同關(到現在都沒被解決)的 bug,只要改代碼把 MIN_QUERY_LENGTH
設成一個沒有可能滿足的超大數(比如 10000),非登錄用戶就誰也搜不到了
@kiokio 對喔,mastodon 改了 public status/profile 的寫法以後就不是之前那樣單獨的(不需要JavaScript 的)網頁了所以連 local-only 都被影響了 好糟糕的隱私權限設計,pleroma 不僅能把 public status/profile 和 search 分開設置還能設置成非登錄用戶打開 public status 只顯示本站人的內容任何外站人的回覆都是 anonymous 的 等 Eugen 再瘋一點就整站搬到 pleroma(讓極光借你抄一下代碼