Annictというアニメ視聴記録サービスやMewstというマイクロブログサービスを個人で作っています。
Annict: https://annict.com/@shimbaco
ホームページ: https://shimba.co
好き: Rails, Ruby, Hotwire, Tailwind CSS
リンクカードに表示されてるドメインの部分をmetaタグから取得するのではなくリクエストしたURLから取得するようにすればフィッシング対策になるかな
今はcanonicalタグから取得してしまってるから別ドメインへのリダイレクトを許容するときに修正が必要そう
ん〜でも短縮URLをMewstに貼って、短縮URLの先にある攻撃者のサーバではmetaタグだけ正規の情報を設定しておくとフィッシングできるかな?とりあえずmetaタグはあんまり信用しないほうが良さそう
これを意識してリダイレクト後にドメインが違ったらリンクカードを生成しないようにしてたんだけど、Mewstの場合入力されたURLをそのまま表示してるから気にしなくて良かった説ある
https://qiita.com/YusukeSuzuki@github/items/e6f2b65d9310e8fc6e7a
あ〜なるほど。リンクカードを生成するとき、入力されたURLからリダイレクトしたときはドメインが同じじゃない場合はセキュリティの観点から生成しないようにしてるんだけど、それの影響でリンクカードが生成できないことがあるのか
youtu.be とかはドメインが変わっても生成するようにしても良いかもしれない
あとはこんな感じでポストのURLを貼って反応するみたいなのは想定してました。エアリプよりはこっちのほうが話題の出どころがわかりやすくて良いかも
https://mewst.com/@eimi/posts/018f2a0d-6776-c2a4-3474-b928b5f7bfae
招待制は自分の力だけではどうしようもないユーザー間の上下関係みたいなのが生まれる感じが苦手。自分が作るサービスでやることはないと思う
stateは招待されないから利用できてないんだけど、たぶんpplogと同じようなサービスかなと思っていて、そうだとすると機能的にはそんなに変わらないかも?過去のポストが見れるかどうかくらいの違いかな?
https://note.bassdrum.org/n/n2533769ea953
GitHubのアクティビティ、starしたリポジトリの状況も表示されるようになって困ってたんだけど、オフにするオプションが追加されてるのに気付いた。ありがたい🙏
https://imgur.com/a/JRKClal
現状Mewstで自分のフォローとフォロワーを一覧で見る術はないです。フォロワーを表示することはたぶんこれからもないと思うけど、フォローしてる人を一覧で表示するのはやるかも?