Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Misskey 2024.11.0の「コンテンツの表示にログインを必須にする」に対応 #911

Open
vyv03354 opened this issue Nov 23, 2024 · 1 comment
Labels
enhancement New feature or request priority-low

Comments

@vyv03354
Copy link

欲しい機能

Misskey 2024.11.0で、コンテンツの表示にログインを必須にするオプションが追加されました。kmyblueには以前から「ログインユーザーのみ」という公開範囲があったようですが、Misskeyのオプションはアカウント単位の設定です。

必要性

このオプションを有効にしても、連合はされます。kmyblueと異なり、公開範囲を「フォロワーのみ」に狭めたりもしないようです。これは開発者が意図的に選択した仕様です。つまり実際にログアウト時にコンテンツを非表示にするのは受け取った側のノードなので、できるだけサポート対象を広げるのが望ましいと考えています。

@vyv03354 vyv03354 added the enhancement New feature or request label Nov 23, 2024
@kmycode
Copy link
Owner

kmycode commented Nov 25, 2024

確かに当実装でも対応できる機能はありますけど、今すぐやるには複数の問題があります。

  • kmyblueでは公開範囲とログインユーザー限定設定を混合しています(今後改善は考えている)。ログインユーザー限定の設定は公開範囲の一つとして数えられるため、非収載(ホーム)投稿、かつログインユーザー限定、という投稿を作成することができません
  • Misskeyではログインユーザー限定の設定はアカウントに対して行います。つまり現在のkmyblueの実装では、アカウント設定を変更したときに、過去投稿にさかのぼって投稿の設定を変える必要が生じます。新たにアカウント単位の設定にも対応できるよう仕様を変更するのも大変です。下記の理由でコストを負担できません
  • 現在kmyblueではログインユーザー限定機能の動作に懐疑的です。Misskeyにあるローカル限定機能と組み合わせない限り、AI学習対策としては弱いです。何のための機能なのか自分でもうまく説明できません。もしkmyblueでも対応可能な仕様であれば対応したいところですが、現状で仕様の改変が要求されるのなら対応する理由はないと考えます
  • これは今回の問題におけるMisskeyとMastodonの最も大きな仕様の差異ですが、そもそもMastodonは非ログイン状態でリモートアカウントの投稿を開くと転送されます。よってkmyblue経由でリモート投稿が検索エンジンに載ることはありません
    • もちろん連合タイムラインや他のアカウントのブーストを通して投稿を閲覧することは可能ですが、そこに至るまでにはGoogleに頼ることはできず、Mastodon APIを用いて検索する必要が発生します。また投稿の抽出に関しても偶然に依存する面が強く、悲運はあっても攻撃者の期待通りの結果にはなりにくいと考えます
    • 非ログイン状態でも、そのアカウントの投稿がサーバーにキャッシュされている限りacctを用いて検索することはできます。こちらに関してはAPIで自動化できるため、今回の問題を手っ取り早く改善するならこちらではないかと思います(※もちろんこのページもGoogleが拾うことはできません)

確かに対応の必要はありますが、さしあたって強い必要性は感じません。ご提示くださったスレッドでも、ログインユーザー限定の設定を追加する動機としてAIやクローラーの回避を挙げてらっしゃってますので、もし攻撃者がMastodon APIを使わないという前提にたてば、上記にも挙げた通りkmyblueというかMastodonのデフォルトの挙動だけで対応としては十分です。
ただ、公開範囲とログインユーザー限定設定を混合している件に関しては今後改善する機会がもしあれば、今回の件についても対応できる可能性はあります

追記:上記で「Mastodon APIを使わないという前提」に基づいて説明していますが、仮に攻撃者がMastodon APIを使う場合、少なくともそれより前にMisskey APIの利用を試みているはずです。その時点ですでにAI・クローラー対策としては破綻しており、Mastodon APIを使う前提で考察することはそもそも不要ではないかと思います

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
enhancement New feature or request priority-low
Projects
None yet
Development

No branches or pull requests

2 participants