misskey-dev
ユーザー検索/ハッシュタグ検索もロールで無効化したい
Summary
#10318 にてノート検索をロールで制御できる様になりましたが、これをユーザー検索/ハッシュタグ検索にも適用したいです。
Related #14477 当方としては全ての検索機能を一律で塞ぎたい所存ですが、上記の希望も鑑みて別けた方が良さそうです。
Purpose
今朝、弊サーバーにて以下パスへのDDoSと思しき(IPアドレスが分散されたTor主体の)瞬間的大量アクセスがございました。
- /search/notes/…
- /search/users/…
- /tags/…
現在、Misskey本体にユーザー検索とハッシュタグ検索を塞ぐ手段が無い認識です。 今回はWAFのログから気付けたのですが(WAFを貫通した際でも)#10318 同様にMisskey側で検索の実行を塞げると助かります。
Do you want to implement this feature yourself?
- [ ] Yes, I will implement this by myself and send a pull request
そもそも、ログインしなくても検索系のエンドポイントが叩けてしまうようなので、まずはそこを塞いだ方がor塞げるようにした方が良さそうですね…
(ところで、アクセスがあったのはAPIの方でしょうか? search/notes, search/usersのパスはMisskeyには無いように見えますが…)
search/notes,search/usersのパスはMisskeyには無いように見えますが…
確かに、今はURLクエリ越しに自動検索される仕様でしたね。うっかりしておりました。
叩かれたのは間違いなくこのパス系統ですが、これらは空振っていたようです(/tags系統は反応する認識で相違ございません)。
なお、普段でいえば/tags/…をTwitterbotが、/inboxをfacebookexternalua(恐らくThreads、連合していないのに)が異様な頻度で叩きに来たり、ユーザーエージェントすら無いものから/api/metaなり/streamingなり過度に叩かれる等、不審なアクセスは挙げだしたらきりがございません(問題だと感じたものは時間が有れば別途起票いたしますが、兎も角誰が叩いても動いてしまうものは全面的に警戒した方が良いかと存じます)。