Worldon: セキュリティアップデート
Worldonを更新しました。 利用されている方はアップデートを推奨します。また、以下の操作を推奨します。
- mikutter上でWorldonを使用して登録されたアカウントをすべて削除
- Mastodonの設定→認証済みアプリからWorldonのものをすべて削除
- mikutter上で改めてアカウント認証
特に、Worldonを入れた状態でmikutterがクラッシュし、次の起動時に表示されるログを送信したり、mastodonやredmine等に貼り付けたことがある人は、上記の操作を行っておいたほうがよいです。
危険性
アカウントとトークンの組み合わせがわかると、以下のことができます。
- 勝手にトゥートする
- 既存フォロー先の非公開トゥートを読める
- あなた宛のダイレクトトゥートを読める
- 勝手にフォローする
トークンは漏れないように注意しましょう。
問題点
world
のuri
にaccess_token
が含まれていたため、バグ報告などのためにログを取ったりして公開すると、意図せずトークンが漏れる可能性がありました。
このため、uri
にaccess_token
を含まないようにする改修を行いました。
この問題は @rinsuki@mstdn.maud.ioさんに指摘していただきました。ありがとうございます。