Conversation

Notices

1. Embed this notice
   Cadu Silva :verifiedcat: (cadusilva@bolha.one)'s status on Wednesday, 26-Mar-2025 07:33:35 JST Cadu Silva :verifiedcat:

   @fediadminbr e demais interessados, vocês viram a última do Pixelfed?

   Depois da história do cache-zumbi (você apaga um post com imagem na sua instância, mas a foto segue viva no cache do Pixelfed alheio), essa é a nova:

   Você tem um perfil trancado e posta só para seguidores. Alguém no Pixelfed seguiu você e foi aprovado. Agora todos os usuários naquela instância Pixelfed podem ler seus posts somente-seguidores.

   :pixelfed: https://chaos.social/@scy/114225428160011112

   • Embed this notice
     Cadu Silva :verifiedcat: (cadusilva@bolha.one)'s status on Wednesday, 26-Mar-2025 07:36:33 JST Cadu Silva :verifiedcat:

     in reply to

     @fediadminbr não era que o Mastodon, GoToSocial ou qualquer outro servidor saía entregando posts privados a esmo.

     Mas a instância de destino é quem decide a quem mostrar o post, segundo o post no blog.

     Aí o Pixelfed fazia merda e mostrava a qualquer um numa determinada instância em vez de apenas pra pessoa que seguia a outra.

   • Embed this notice
     Cadu Silva :verifiedcat: (cadusilva@bolha.one)'s status on Wednesday, 26-Mar-2025 07:51:17 JST Cadu Silva :verifiedcat:

     in reply to

     • Thiago, chamado Jedi

     @jedi só pra garantir, isso aqui confere?

   • Embed this notice
     Cadu Silva :verifiedcat: (cadusilva@bolha.one)'s status on Wednesday, 26-Mar-2025 08:05:16 JST Cadu Silva :verifiedcat:

     in reply to

     • Renne Rocha

     @rennerocha @fediadminbr esse primeiro parágrafo é o ponto. Essa é só mais uma mancha no histórico do Pixelfed.

     Essa treta me lembrou de uma história sobre o app do Pixelfed mas não dos detalhes para poder contar.

     Não parecem tão habilidosos quanto equipes como a do Mastodon, por exemplo. E não sei se só Dansup trabalha no código ou tem uma equipe.

     E pelo toot que linkei, não houve transparência e due diligence no reporte e conserto do bug.

   • Embed this notice
     Renne Rocha (rennerocha@chaos.social)'s status on Wednesday, 26-Mar-2025 08:05:17 JST Renne Rocha

     in reply to

     @cadusilva @fediadminbr mas o Musk-wannabe do Pixelfed também não é uma das melhores pessoas para lidar com comunidade e coisas do tipo. O que ele fez não foi exatamente a melhor forma e geralmente ele nem liga, e ainda se faz de vítima se falam mal dele.

     Acho que tbm as pessoas tem uma expectativa irreal de que algo não-público realmente vai ficar não-público não importa o que seja feito. Limitações técnicas da implementação do protocolo infelizmente.

   • Embed this notice
     Renne Rocha (rennerocha@chaos.social)'s status on Wednesday, 26-Mar-2025 08:05:19 JST Renne Rocha

     in reply to

     @cadusilva @fediadminbr da mesma forma que o Pixelfed implementou errado, outros serviços podem implementar errado tmb. O ActivityPub "permite" que isso possa acontecer. Talvez ter algum tipo de "homologação" que minha instância checa se a outra instância atende certos requisitos de segurança antes de liberar acesso a postagens que não devem ser exibidas para todo mundo seria uma possível maneira de mitigar isso.

   • Embed this notice
     Thiago, chamado Jedi (jedi@bolha.us)'s status on Wednesday, 26-Mar-2025 08:55:41 JST Thiago, chamado Jedi

     in reply to

     @cadusilva confere. Tudo que o cidadão ali relatou faz sentido.

     O servidor recebe todas as postagens de todos os usuários seguidos de outras instâncias. Cabe a cada servidor gerir/replicar as permissões internamente.

     Não concordo com o que ele disse que ele não tratou a correção com a seriedade que precisa. Era uma falha grande? era. Era uma falha gravíssima de segurança? Não acho.

     Dito isso, concordo que o danado superior lá poderia ter lidado melhor com toda essa coisa.

   • Embed this notice
     Cadu Silva :verifiedcat: (cadusilva@bolha.one)'s status on Wednesday, 26-Mar-2025 08:56:42 JST Cadu Silva :verifiedcat:

     in reply to

     • Thiago, chamado Jedi

     @jedi valeu jovem

   • Embed this notice
     daltux (daltux@snac.daltux.net)'s status on Wednesday, 26-Mar-2025 09:13:34 JST daltux

     in reply to

     • Renne Rocha
     @rennerocha@chaos.social @cadusilva@bolha.one @fediadminbr@a.gup.pe @rennerocha@chaos.social Pelo que estão dizendo, então nem é exatamente uma limitação do protocolo e sim da ideia de Web Social: receio ser simplesmente impossível garantir o que a máquina alheia vai fazer com os dados a que ela tiver acesso. Se acharmos que a solução passaria por alguma restrição da comunicação apenas a servidores com sistemas pré-homologados, além de ainda ser impossível saber o que quem administra tal máquina faz com ela, acabaria sendo instalada a privação de liberdade aqui também e adeus :fediverse: ☠️ ⚰️
     
     Para controlar quem tem acesso (ao menos inicial) a determinado conteúdo, a maneira indicada, atualmente, seria com criptografia assimétrica. Isso sim pode vir a ser especificado pelo ActivityPub, na troca de atividades não públicas. Não sei se já há essa previsão, senão poderiam sugeri-la ao grupo de trabalho da Web Social no W3C. Porém, mesmo assim, penso ser algo talvez inviável: garantido mesmo seria apenas se todos dominassem totalmente as próprias máquinas sem poder compartilhá-las, tanto remetente quanto destinatário das mensagens, aí morre a ideia de Web Social também.
     
     Então, pensando bem, o pessoal que bolou o #ActivityPub por anos já deve ter ponderado essas coisas.
     
     O jeito é conscientizar a galera mesmo, como bem apontou Cadu.
     
     Senão, pensam em alguma outra solução? 😅