GNU social JP
  • FAQ
  • Login
GNU social JPは日本のGNU socialサーバーです。
Usage/ToS/admin/test/Pleroma FE

  • Public

    • Public
    • Network
    • Groups
    • Featured
    • Popular
    • People

Conversation

Notices

  1. Embed this notice
    結城浩 / Hiroshi Yuki (hyuki@social.hyuki.net)'s status on Wednesday, 01-May-2024 10:33:39 JST 結城浩 / Hiroshi Yuki 結城浩 / Hiroshi Yuki
    • zunda

    @zundan zundaさんに、この件のご意見をお聞きしたい。S3 Bucketの名前って悪意があるひとには知られちゃまずいってことになりそうなのですが、どう思われますか。
    https://social.hyuki.net/@hyuki/112362844203237452

    In conversation about a year ago from social.hyuki.net permalink

    Attachments

    1. No result found on File_thumbnail lookup.
      結城浩 / Hiroshi Yuki (@hyuki@social.hyuki.net)
      from 結城浩 / Hiroshi Yuki
      S3バケットにアクセスされるとたとえそれをDenyしても課金されるという話題。S3バケット名は乱数などで秘匿しておいた方が安全、という話(なのかな?) ◆How an empty S3 bucket can make your AWS bill explode | by Maciej Pocwierz | Apr, 2024 | Medium https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1
    • Embed this notice
      zunda (zundan@mastodon.zunda.ninja)'s status on Wednesday, 01-May-2024 10:33:39 JST zunda zunda
      in reply to
      • かき@GNUsocialJP

      @hyuki ざっと読んだ限りでは、悪意のあるひとからのPUTリクエストが課金されるレイヤーまで届いている理由がわかりませんでした。例えば弊ぼっちではS3を使っていてバケットへの書き込みにはIAMユーザーのクレデンシャルが必要なようにしてあります: https://github.com/zunda/mastodon/wiki/CreateInstanceOnHeroku#%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%B9%E3%83%88%E3%82%A2%E3%81%AE%E8%A8%AD%E5%AE%9A 弊ぼっちではS3バケットから直接メディアを持っていってもらうようにしてあるので、この設定でIAMユーザー以外からのPUTリクエストにお金がかかる場合にはMediumの記事をかかれた方と同じような事態に陥ることになります。どきどき。

      In conversation about a year ago permalink

      Attachments

      1. Domain not in remote thumbnail source whitelist: opengraph.githubassets.com
        CreateInstanceOnHeroku
        Your self-hosted, globally interconnected microblogging community, zunda's fork - zunda/mastodon
    • Embed this notice
      zunda (zundan@mastodon.zunda.ninja)'s status on Thursday, 02-May-2024 02:58:43 JST zunda zunda
      in reply to
      • かき@GNUsocialJP

      @hyuki やっと読み直しました。

      > S3 charges you for unauthorized incoming requests

      と書いてありましたね。さらにリダイレクトにもお金がかかるともありました。

      今回は「オープンソースのツール」のデフォルトの設定が原因によってクライアント側が分散したことによって時間あたりの金額が大きくなりましたが、記事にある通り、意図的に攻撃して金銭的な被害を及ぼすこともできそうです。

      S3で、読むリクエストよりも書くリクエストの方が値段が高いのは、実際のコストを反映しているからだと思っていました。権限不足で実際には書かないリクエストのコストは読むリクエストと同じくらいだろうと思うので、値段も同じくらいに安くなると良さそうに思います。

      In conversation about a year ago permalink
    • Embed this notice
      結城浩 / Hiroshi Yuki (hyuki@social.hyuki.net)'s status on Thursday, 02-May-2024 02:58:44 JST 結城浩 / Hiroshi Yuki 結城浩 / Hiroshi Yuki
      in reply to
      • zunda

      @zundan
      お返事ありがとうございます。バケット名が一般に知られるというのは普通にあることだと思うので、そこにAccess Deniedになるアクセスされたときに課金されるのはとてもまずいはずですよね。

      In conversation about a year ago permalink

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.