Worldon: セキュリティアップデート

Worldonを更新しました。 利用されている方はアップデートを推奨します。また、以下の操作を推奨します。

• mikutter上でWorldonを使用して登録されたアカウントをすべて削除
• Mastodonの設定→認証済みアプリからWorldonのものをすべて削除
• mikutter上で改めてアカウント認証

特に、Worldonを入れた状態でmikutterがクラッシュし、次の起動時に表示されるログを送信したり、mastodonやredmine等に貼り付けたことがある人は、上記の操作を行っておいたほうがよいです。

危険性

アカウントとトークンの組み合わせがわかると、以下のことができます。

• 勝手にトゥートする
• 既存フォロー先の非公開トゥートを読める
• あなた宛のダイレクトトゥートを読める
• 勝手にフォローする

トークンは漏れないように注意しましょう。

問題点

worldのuriにaccess_tokenが含まれていたため、バグ報告などのためにログを取ったりして公開すると、意図せずトークンが漏れる可能性がありました。

このため、uriにaccess_tokenを含まないようにする改修を行いました。

この問題は @rinsuki@mstdn.maud.ioさんに指摘していただきました。ありがとうございます。