Alexander Bochmann (DE)Feb 24

@wir schlagen uns weiter mit wildgewordenen Bots rum, die von zehntausenden weltweit verteilen Quellen aus versuchen, Daten von freiburg.social abzugreifen.

Besonders schmerzt dabei, dass der Medienservice von Mastodon verwendet wird, um Bilder von anderen Instanzen über uns abzurufen, was uns durch die dafür erforderliche Zwischenspeicherung regelmäßig Platzprobleme bringt. Da jede dieser Quelladressen nur wenige Zugriffe macht, greifen die in Mastodon dafür eingebauten Limits nicht.

Ich habe temporär die /media_proxy/ - URL, die für diese Abrufe verwendet wird, komplett geblockt. Deshalb können bei Posts von anderen Instanzen, die älter als eine Woche sind, keine Bilder und andere Medienanhänge auf freiburg.social mehr angezeigt werden.

Alleine in den letzten 15 Minuten wurden dadurch über 20.000 Zugriffsversuche abgelehnt.

Ich hoffe, dass die Mastodon-Entwickler bald eine Lösung für dieses Problem finden...

@admin

Show threadAlexander Bochmann (DE)Feb 24
...abgesehen davon ist jetzt Mastodon v4.5.7 installiert, wieder mit ein paar kleineren Bugfixes: https://github.com/mastodon/mastodon/releases/tag/v4.5.7
Release v4.5.7 · mastodon/mastodon

Upgrade overview This release contains upgrade notes that deviate from the norm: ℹ️ Requires assets recompilation For more information, view the complete release notes and scroll down to the upgrad...

GitHub
Show thread𝐬𝐭𝐞𝐯𝐄 🌼Feb 25
@galaxis vielen Dank für die Mühe! Würde es vielleicht helfen Abrufe von externen Inhalten auf eingeloggte Accounts zu beschränken?
So dass zwar alles auf Freiburg.social selbst Öffentliche nach wie vor über die Website frei für alle abgerufen werden kann, aber ohne Login eben nichts aus dem Fediverse?
Show threadAlexander Bochmann (DE)Feb 25

@stevE Leider gibt es da ein paar Lücken im Berechtigungskonzept bzw. dessen Steuerung. Wir haben unauthentisierte Zugriffe auf bei uns vorhandene Inhalte von anderen Instanzen schon weitgehend deaktiviert, aber zum Beispiel sowas wie die Trends (und die Artikel, die darüber angezeigt werden) lassen sich nur komplett fürballe an- oder abschalten.

Auf die Mediendaten gibt es gar keine Berechtigungen, die sind nur durch ihre nicht erratbare URL vor direktem Abruf geschützt (aber natürlich ausnahmslos aus Beiträgen verlinkt, die man vorher indiziert haben kann)...

Der Medienproxy ist nochmal ein eigenes Ding und steckt irgendwo dazwischen (auch grundsätzlich unauthentisiert, aber es gibt z.B. unterschiedliche Limits für angemeldete und nicht angemeldete Zugriffe). Mein Vorschlag wäre auch, diesen Proxy nur für angemeldete Sessions verfügbar zu machen, aber im Moment hat Mastodon es dafür keine Optionen.

Show thread𝐬𝐭𝐞𝐯𝐄 🌼Feb 25

@galaxis vielen herzlichen Dank für die ausführliche Erklärung! Es tut mir sehr leid, dass Ihr Euch damit rumärgern müsst.

(Ich schau oft ältere Toots nach und finde es immer schade, wenn ich die Bilder dazu erstmal nicht sehen kann. Aber ich geh dann auf den Original server und das klappt dann meistens und ich brauch den Komfortgewinn zum Schaden von Freiburg.social nicht. Einzig bei toots die nur für Folgende freigegeben sind klappt das leider nicht, aber ich gehe davon aus, dass das ja kein Dauerzustand sein wird...)

Show threadAlexander Bochmann (DE)Feb 27

@stevE Ich habe testweise einen kleinen Patch eingebaut, der unterschiedliche Ratelimits für angemeldete und nicht angemeldete Clients einführt: https://github.com/mastodon/mastodon/issues/37987

Das heisst, für angemeldete User sollte der Media Proxy jetzt erstmal wieder funktionieren.

Mal schauen, ob sich das bewährt...

Bot defense: Disable unauthenticated access to media proxy · Issue #37987 · mastodon/mastodon

Pitch Mastodon should have an admin option to disable unauthenticated access to the media proxy. To my understanding, unauthenticated requests that get punted to the media proxy currently only have...

GitHub
Show thread𝐬𝐭𝐞𝐯𝐄 🌼Feb 28
@galaxis vielen Dank.
(Gilt das nur für neue? Ich kann zumindest von diesem
https://freie-re.de/@qbi/115059987548619688
das Video nicht ansehen. Nur als Testrückmeldung, nicht als Forderung.)
Show threadAlexander Bochmann (DE)
@stevE Hm, geht bei mir auch nicht. In dem Thread ist auch ein Artikel mit Bild, das wird geladen. Keine Ahnung, ob's da auch noch eine Einschränkung auf Medientypen gibt...
Feb 28 at 10:19amWeb