UserScriptからprojectを削除できることがわかってしまった
UserScriptからprojectを削除できることがわかってしまった……
具体的な方法は伏せておく
ここpublic projectだし
これ即報告したほうがいいのか?
報告した
2021-01-04 18:37:24 返信が来てた
とても丁寧に書いてくださっている
ただそれ以外の攻撃は防ぎようがない。というか不正でもいたちごっこになる
user側で自衛策を取るしかない
再読込ボタンを無闇矢鱈に押さない
不特定多数が参加するprojectからUserScriptを読み込まない
後で書いておくか
不特定多数が参加するprojectだと、
自分のページを勝手に書き換えられる可能性もあるのか、怖い
なるほど、ひぇ
サポートメールに報告したほうが良かったか?
具体的な方法を伏せたとしても、「UserScriptからprojectを削除した」という情報があるだけで、みなこぞって探し出すだろうし
その過程で誰かがTwitterか何かで方法を拡散したらアウト
報告方法ミスったかも……
そうなのか
projectを削除したらどの画面からbackupをダウンロードできるんだろう?
でもowner権限の情報はprojectとともに葬り去られていそうだし、無理かな
適当なprojectを作って実験してみればわかりそうだけど、すぐにはできないな
サポートセンターにお願いすると復元してもらえるとか?
何事もそうだけど消える前に
バックアップを取っておいたほうがいいと思う
消えてからだと遅いというケースは割とある
cloud storageとlocalの両方にback upをとっておくのが安全
前者は災害時や普段遣い用のback up
後者は垢BANやサービス終了、ネットワーク切断への対策
自動で定期的にバックアップをダウンロードするUserScript書くかなあ
UserScriptだけだとキツイ
定期的にAPIをたたけない
よくわからんけど
cronみたいなものでローカルのスクリプトを定期的に実行するのもあり?
解決されるとしたらどういう手段があるんだろう
DELETEをPOSTするのを禁止しちゃったら、自分も消せなくなる?
GyazoのログインみたいにCAPTCHAを経由させる?
削除するときは常にサポートセンターにメールを送るのは……めんどくさすぎるか
でもたしかにめんどくさすぎる
この手段に必要なある情報をUserが取得できないようにするとか?
それも難しいか
正常なリクエストにも必要なら、Userに渡さないわけにはいかない?(必要なのかわからないけど)
必要だと難しいですね
こういう系の攻撃を全部防ごうとおもったら、結局UserScriptの
importをできないようにするしかない?
そうなりますが、そうなったらScrapboxの魅力が半減してしまう……
致命的なやつだけ対策して、基本的には
性善説という感じかな
それしかない
しまった、邪悪な方向に考え始めたらいろんなcracking手法が浮かんできてしまった
他人のprojectから直接importしなければ防げる方法ばかりだけど
大丈夫
はそんなことしない
報奨金GET案件か!?
その発想はなかった
こういうところでお金稼ぐ方法もあるんだなあ
尤もNotaはそういうことやってなさそうだけど
何処かで見た気がしたけど、今見つけられなかった
検索しましたが見つかりませんでした
どこでやってるのかは書いてないけど
ちがった。一体どこでやっているんだろう?
発見&報告をしたのは
ですがきっかけとなる要望を出したのは別の人なんで……