Impact
プロフィール設定で以上の項目をOFFにすることで、投稿数・フォロー数・フォロワー数はWeb Clientから見ると「-」と表示され、APIで取得すると「0」となる。
しかしこの設定に抜け道があり、数字を隠す設定を行ったユーザーAが、同じサーバー上にいるローカルユーザーBをフォローしたときに、ユーザーBに送られるメール通知内で隠されていない数字が掲載される。
ユーザーAが隠したいデータ、かつkmyblueの仕様として本来隠されるべきデータが、ユーザーBに伝わってしまうのは問題である。
この問題の発生条件を満たすためには、ユーザーAとBがいずれも同じサーバーのアカウントである必要がある。ユーザーBがリモートサーバーのアカウントである場合、相手サーバーにはフォロー数・フォロワー数=0としか伝わらず、相手サーバーがユーザーBにメール通知を送信するときにもその情報が使われるためである。
Patches
14.0へアップデート
Mastodon本家が4.3.0の開発にあたって、メール通知時にフォロワーの数字を記載するようになったため発生した。よって4.2ベースの5.x LTSでは発生しない。
Workarounds
メール通知にも、フォロワー数などの数字を隠す設定を反映
References
なし
Impact
プロフィール設定で以上の項目をOFFにすることで、投稿数・フォロー数・フォロワー数はWeb Clientから見ると「-」と表示され、APIで取得すると「0」となる。
しかしこの設定に抜け道があり、数字を隠す設定を行ったユーザーAが、同じサーバー上にいるローカルユーザーBをフォローしたときに、ユーザーBに送られるメール通知内で隠されていない数字が掲載される。
ユーザーAが隠したいデータ、かつkmyblueの仕様として本来隠されるべきデータが、ユーザーBに伝わってしまうのは問題である。
この問題の発生条件を満たすためには、ユーザーAとBがいずれも同じサーバーのアカウントである必要がある。ユーザーBがリモートサーバーのアカウントである場合、相手サーバーにはフォロー数・フォロワー数=0としか伝わらず、相手サーバーがユーザーBにメール通知を送信するときにもその情報が使われるためである。
Patches
14.0へアップデート
Mastodon本家が4.3.0の開発にあたって、メール通知時にフォロワーの数字を記載するようになったため発生した。よって4.2ベースの5.x LTSでは発生しない。
Workarounds
メール通知にも、フォロワー数などの数字を隠す設定を反映
References
なし