this post was submitted on 10 Jul 2023
20 points (100.0% liked)

Feddit.dk

947 readers
30 users here now

Et meta-forum for nyheder, meddelelser og debatter omkring Feddit.dk i sig selv.

Man er også velkommen til at poste her hvis der ikke er nogen andre fællesskaber der passer.

founded 2 years ago
MODERATORS
 

Jeg har på nuværende tidspunkt ingen grund til at tro at Feddit.dk er påvirket, men det er muligt at indhold fra andre instanser er påvirket. Det havde blandt andet noget at gøre med custom emojier, hvilket Feddit.dk endnu ikke bruger.

Jeg har pga. generel forsigtighed roteret den hemmelige nøgle Feddit.dk bruger. Det betyder at i bliver logget ud og skal logge ind igen. Muligvis skal i også slette alle cookies fra Feddit.dk i jeres browser. I Firefox (både desktop og Android) skal i klikke på hængelås-ikonet og så trykke "Clear cookies and site data".

Se evt. mere information her.

Vær ikke overrasket hvis Feddit.dk går ned i noget tid i løbet af dagen, hvis jeg skal opdatere til en nyere version der forhindrer denne sikkerhedsfejl.

Tak til @leds for at gøre mig opmærksom på situationen.

you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 2 points 1 year ago (2 children)

Så vidt jeg forstår har det noget med custom emojier at gøre, fordi de bruger en specialiseret markdown-rendering, som desværre har denne sikkerhedsbrist. Normalt markdown rendering skulle være okay.

[–] [email protected] 0 points 1 year ago (1 children)

Nogen der kender til et bug bounty program på Lemmy?

[–] [email protected] 3 points 1 year ago* (last edited 1 year ago) (1 children)

Ikke noget jeg kender til. Spørgsmålet er vel også om den skulle betales af udviklerne eller enkelte instanser. Men måske udviklerne giver bedst mening. Men altså. Det er jo ikke for-profit. Hvis man finder en fejl synes jeg da bare man bør rette den.

[–] [email protected] 1 points 1 year ago

helt enig, men de har et budget, hvor det kunne give mening. Desværre er det jo sådan at ikke alle er lige godhjertede, og talentet nogle gange findes hos det modsatte team. Ville helt klart mene det ville lægge hos udviklerne, med mindre sikkerhedsfejlen er instans-specifik