@wir schlagen uns weiter mit wildgewordenen Bots rum, die von zehntausenden weltweit verteilen Quellen aus versuchen, Daten von freiburg.social abzugreifen.

@stevE Leider gibt es da ein paar Lücken im Berechtigungskonzept bzw. dessen Steuerung. Wir haben unauthentisierte Zugriffe auf bei uns vorhandene Inhalte von anderen Instanzen schon weitgehend deaktiviert, aber zum Beispiel sowas wie die Trends (und die Artikel, die darüber angezeigt werden) lassen sich nur komplett fürballe an- oder abschalten.

Auf die Mediendaten gibt es gar keine Berechtigungen, die sind nur durch ihre nicht erratbare URL vor direktem Abruf geschützt (aber natürlich ausnahmslos aus Beiträgen verlinkt, die man vorher indiziert haben kann)...

Der Medienproxy ist nochmal ein eigenes Ding und steckt irgendwo dazwischen (auch grundsätzlich unauthentisiert, aber es gibt z.B. unterschiedliche Limits für angemeldete und nicht angemeldete Zugriffe). Mein Vorschlag wäre auch, diesen Proxy nur für angemeldete Sessions verfügbar zu machen, aber im Moment hat Mastodon es dafür keine Optionen.

@cccpresser @orava Schwierig, der oder die Akteure haben Kontrolle über (vermutlich) ein großes Botnetz, das Zugriffe von hunderttausenden Adressen von Internetprovidern und Hostinganbietern aus Asien, Afrika, Südamerika initiieren kann. USA, Europa, Deutschland kommen nur sehr vereinzelt als Quelle vor. Das Interesse scheint sich auf Bilder zu konzentrieren.

Ich kann mir zwar nicht vorstellen, dass ausgerechnet wir die einzigen Betroffenen sind, aber zumindest unter den Leuten, die Mastodon-Instanzen betreiben, hat sich noch niemand mit den selben Erfahrungen gemeldet... Ganz allgemein sind aggressiv datensammelnde Bots aber leider auch einfach normal heutztage.

Im Moment betreiben wir Logging nur zur Fehleranalyse, wenn es im Fall einer Anzeige tatsächlich zu Ermittlungen käme, müssten wir wahrscheinlich detailliertere Daten sammeln und liefern. Das würde zumindest ich persönlich gerne vermeiden.

...abgesehen davon ist jetzt Mastodon v4.5.7 installiert, wieder mit ein paar kleineren Bugfixes: https://github.com/mastodon/mastodon/releases/tag/v4.5.7

@wir schlagen uns weiter mit wildgewordenen Bots rum, die von zehntausenden weltweit verteilen Quellen aus versuchen, Daten von freiburg.social abzugreifen.

Besonders schmerzt dabei, dass der Medienservice von Mastodon verwendet wird, um Bilder von anderen Instanzen über uns abzurufen, was uns durch die dafür erforderliche Zwischenspeicherung regelmäßig Platzprobleme bringt. Da jede dieser Quelladressen nur wenige Zugriffe macht, greifen die in Mastodon dafür eingebauten Limits nicht.

Ich habe temporär die /media_proxy/ - URL, die für diese Abrufe verwendet wird, komplett geblockt. Deshalb können bei Posts von anderen Instanzen, die älter als eine Woche sind, keine Bilder und andere Medienanhänge auf freiburg.social mehr angezeigt werden.

Alleine in den letzten 15 Minuten wurden dadurch über 20.000 Zugriffsversuche abgelehnt.

Ich hoffe, dass die Mastodon-Entwickler bald eine Lösung für dieses Problem finden...

@admin