Embed Notice

HTML Code

<blockquote style="position: relative; padding-left: 55px;"><section><a href="https://ktnfm.com/notes/9hpv8s8jx1">ふぁみ (fami@ktnfm.com)'s status on Friday, 28-Jul-2023 17:13:01 JST</a><a href="https://ktnfm.com/@fami" title="fami@ktnfm.com"><img src="https://gnusocial.jp/theme/gnusocialjp/default-avatar-stream.png" width="48" height="48" alt="ふぁみ" style="position: absolute; left: 0; top: 0;">ふぁみ</a></section><article><p>これは私の脳死で発言してる内容なんだけど、じゃあ秘密鍵の再生成を行ってリモートサーバーへのリクエスト発行って、方法もよくわからない（そもそもAPに秘密鍵再発行リクエストがあるの知らなかった。あるの？）しそれ専用にスクリプトを書くなりしないとならんからめんどくさすぎる<br>なんかもうちょっと現実的に守る方法はないものかね<br><br>（多分今まではパスワードのハッシュだから別に警察に見られてもよかったのかなあとか思ったり思わなかったり）<br><br>RE: <a href="https://fedibird.com/users/noellabo/statuses/110790545962213197">https://fedibird.com/users/noellabo/statuses/110790545962213197</a></p></article><footer><a rel="bookmark" href="https://gnusocial.jp/conversation/1862128#notice-3651988">In conversation</a><time datetime="2023-07-28T17:13:01+09:00" title="Friday, 28-Jul-2023 17:13:01 JST">Friday, 28-Jul-2023 17:13:01 JST</time> <span>from <span><a href="https://ktnfm.com/notes/9hpv8s8jx1" rel="external" title="Sent from ktnfm.com via ActivityPub">ktnfm.com</a></span></span><a href="https://ktnfm.com/notes/9hpv8s8jx1">permalink</a><h4>Attachments</h4><ol><li><article><header><div>Domain not in remote thumbnail source whitelist: s3.fedibird.com</div><h5><a href="https://fedibird.com/users/noellabo/statuses/110790545962213197">のえる (@noellabo@fedibird.com)</a></h5><div> from <span>のえる</span></div></header><div>Mastodonの公開サーバを運営していると、警察の照会や捜査・押収の対象になることはあります。（もちろんMisskeyも同様です）この際、正当な要請であれば捜査に協力します。法的根拠を求めて不当な捜査には抵抗しますが、まぁ強制捜査だとなんともならないことが考えられるので、提供可能な情報は提供されうると考えてください。Mastodonはほとんど個人のデータを保持していないので、通常の捜査協力ではアクセス日時の裏付けや直近のIPアドレスの確認ぐらいしか提供できる情報はないのですが、仮にデータベースを持って行かれた場合は、投稿データまるごとに加え、各アカウントの秘密鍵という重要情報が奪われる危険があります。死守したいところです。VPSはまだしも、自宅サーバが物理で押収しやすいの、ちょっと怖いですね。当局側が技術に明るければ、という条件付きではありますが、この秘密鍵と発信元ドメインをおさえられると、アカウントの乗っ取りが可能になってきます。大げさなようですが、クーデター・テロ対応など、事案によってはあり得るかもしれません。なお、サーバが動いている状態、あるいは返却されれば、秘密鍵の再生成を行ってリモートサーバに差し替えリクエストを発行することで古い秘密鍵を無効にすることはできます。</div><footer></footer></article></li></ol></footer></blockquote>

Corresponding Notice

Embed this notice
ふぁみ (fami@ktnfm.com)'s status on Friday, 28-Jul-2023 17:13:01 JST ふぁみ
これは私の脳死で発言してる内容なんだけど、じゃあ秘密鍵の再生成を行ってリモートサーバーへのリクエスト発行って、方法もよくわからない（そもそもAPに秘密鍵再発行リクエストがあるの知らなかった。あるの？）しそれ専用にスクリプトを書くなりしないとならんからめんどくさすぎる
なんかもうちょっと現実的に守る方法はないものかね

（多分今まではパスワードのハッシュだから別に警察に見られてもよかったのかなあとか思ったり思わなかったり）

RE: https://fedibird.com/users/noellabo/statuses/110790545962213197
In conversationFriday, 28-Jul-2023 17:13:01 JST from ktnfm.compermalink
Attachments
1. Domain not in remote thumbnail source whitelist: s3.fedibird.com
  のえる (@noellabo@fedibird.com)
  from のえる
  Mastodonの公開サーバを運営していると、警察の照会や捜査・押収の対象になることはあります。（もちろんMisskeyも同様です）この際、正当な要請であれば捜査に協力します。法的根拠を求めて不当な捜査には抵抗しますが、まぁ強制捜査だとなんともならないことが考えられるので、提供可能な情報は提供されうると考えてください。 Mastodonはほとんど個人のデータを保持していないので、通常の捜査協力ではアクセス日時の裏付けや直近のIPアドレスの確認ぐらいしか提供できる情報はないのですが、仮にデータベースを持って行かれた場合は、投稿データまるごとに加え、各アカウントの秘密鍵という重要情報が奪われる危険があります。死守したいところです。 VPSはまだしも、自宅サーバが物理で押収しやすいの、ちょっと怖いですね。当局側が技術に明るければ、という条件付きではありますが、この秘密鍵と発信元ドメインをおさえられると、アカウントの乗っ取りが可能になってきます。大げさなようですが、クーデター・テロ対応など、事案によってはあり得るかもしれません。なお、サーバが動いている状態、あるいは返却されれば、秘密鍵の再生成を行ってリモートサーバに差し替えリクエストを発行することで古い秘密鍵を無効にすることはできます。

Public

Embed Notice

HTML Code

Corresponding Notice