UserScriptからprojectを削除できることがわかってしまった
UserScriptからprojectを削除できることがわかってしまった……
具体的な方法は伏せておく
ここpublic projectだし
これ即報告したほうがいいのか?
報告した
2021-01-04 18:37:24 返信が来てたtakker.icon
とても丁寧に書いてくださっている
/icons/感謝.icon
ただそれ以外の攻撃は防ぎようがない。というか不正でもいたちごっこになる
user側で自衛策を取るしかない
再読込ボタンを無闇矢鱈に押さない
不特定多数が参加するprojectからUserScriptを読み込まない
後で書いておくか
不特定多数が参加するprojectだと、自分のページを勝手に書き換えられる可能性もあるのか、怖いyosider.icon なるほど、ひぇsta.icon
サポートメールに報告したほうが良かったか?
具体的な方法を伏せたとしても、「UserScriptからprojectを削除した」という情報があるだけで、みなこぞって探し出すだろうし
その過程で誰かがTwitterか何かで方法を拡散したらアウト
報告方法ミスったかも……
そうなのかyosider.icon
projectを削除したらどの画面からbackupをダウンロードできるんだろう?
でもowner権限の情報はprojectとともに葬り去られていそうだし、無理かな
適当なprojectを作って実験してみればわかりそうだけど、すぐにはできないな
サポートセンターにお願いすると復元してもらえるとか?
/icons/なるほど.icon
何事もそうだけど消える前にバックアップを取っておいたほうがいいと思うkuuote.icon 消えてからだと遅いというケースは割とある
cloud storageとlocalの両方にback upをとっておくのが安全takker.icon
前者は災害時や普段遣い用のback up
後者は垢BANやサービス終了、ネットワーク切断への対策
自動で定期的にバックアップをダウンロードするUserScript書くかなあyosider.icon
UserScriptだけだとキツイtakker.icon
定期的にAPIをたたけない
/icons/なるほど.icon
よくわからんけどcronみたいなものでローカルのスクリプトを定期的に実行するのもあり?yosider.icon 解決されるとしたらどういう手段があるんだろうyosider.icon
DELETEをPOSTするのを禁止しちゃったら、自分も消せなくなる?
GyazoのログインみたいにCAPTCHAを経由させる?
削除するときは常にサポートセンターにメールを送るのは……めんどくさすぎるかtakker.icon
GitHub IssuesにD&Dでアップした画像はこれ(原則削除できない&サポートに言えば消してもらえる)ですねsta.icon でもたしかにめんどくさすぎる
この手段に必要なある情報をUserが取得できないようにするとか?takker.icon
それも難しいか
正常なリクエストにも必要なら、Userに渡さないわけにはいかない?(必要なのかわからないけど)yosider.icon
必要だと難しいですねtakker.icon
/icons/なるほど.icon
こういう系の攻撃を全部防ごうとおもったら、結局UserScriptのimportをできないようにするしかない?yosider.icon そうなりますが、そうなったらScrapboxの魅力が半減してしまう……takker.icon
致命的なやつだけ対策して、基本的には性善説という感じかなyosider.icon それしかない
しまった、邪悪な方向に考え始めたらいろんなcracking手法が浮かんできてしまったtakker.icon
他人のprojectから直接importしなければ防げる方法ばかりだけど
大丈夫takker.iconはそんなことしないbsahd.icon
報奨金GET案件か!?dnin.icon
その発想はなかったtakker.icon
こういうところでお金稼ぐ方法もあるんだなあ
尤もNotaはそういうことやってなさそうだけど
何処かで見た気がしたけど、今見つけられなかった
検索しましたが見つかりませんでしたtakker.icon
どこでやってるのかは書いてないけど
ちがった。一体どこでやっているんだろう?
発見&報告をしたのはtakker.iconですがきっかけとなる要望を出したのは別の人なんで……