Salta al contenuto principale

Agli utenti di sociale.network: abbiate pazienza che la versione 4.0 di Mastodon adesso arriva anche da noi. :mastodon_oops:

The Privacy Post reshared this.

in reply to Carlo Gubitosa :nonviolenza:

Poliverso - notizie dal fediverso
Poliverso - notizie dal fediverso
@Carlo Gubitosa :nonviolenza: A parte che a questo punto conviene installare direttamente l'ultima delle tre versioni pubblicate nel giro di poche ore, ma fai attenzione perché con l'aggiornamento spesso saltano il banner, la favicon e le descrizioni dell'istanza in markup...🙄
@Carlo Gubitosa :nonviolenza:
in reply to Poliverso - notizie dal fediverso

Carlo Gubitosa :nonviolenza:
Carlo Gubitosa :nonviolenza:
@notizie mi accorgo adesso che abbiamo lasciato la favicon standard... cosa ci consigli di salare oltre a questo? In ogni caso abbiamo dei backup da cui potremmo recuperare tutto, ma se lo sappiamo prima salviamo il salvabile...
@Poliverso - notizie dal fediverso
in reply to Carlo Gubitosa :nonviolenza:

Poliverso - notizie dal fediverso
Poliverso - notizie dal fediverso

@Carlo Gubitosa :nonviolenza: l'unica cosa bloccante può essere quello che viene discusso in questa pagina github https://github.com/mastodon/mastodon/issues/20727


Per il resto, controlla solo che nella home page il testo di presentazione dell'istanza non veda saltare il testo in markup (vedi immagine)


Infine, per una semplice questione di consapevolzza del priblema (se mai ti fosse sfuggito), ti consiglio di dare una letta al post di @Gareth Heyes :verified: e @James Kettle a questo link https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp

@Carlo Gubitosa :nonviolenza: @Gareth Heyes :verified: @James Kettle
in reply to Poliverso - notizie dal fediverso

Carlo Gubitosa :nonviolenza:
Carlo Gubitosa :nonviolenza:
@notizie@gaz@albinowax ho letto quel post, ma da quel che ho capito quell'exploit di sicurezza si applica solo a quella specifica versione forkata di Mastodon... dice "After discussing this with the Glitch developer, core Mastodon was not vulnerable to this particular attack since they do not allow title attributes. It was still patched to fix replacement of placeholders such as :verified":.
@Poliverso - notizie dal fediverso @Gareth Heyes :verified: @James Kettle