NostrP2Pのトライアル環境を試してくれた人を観測。
"Oi" というpostは私ではない。
が、Trialユーザのアカウントではないので、サーバでもクライアントでも署名の検証をしていないところをつかれて、なりすましをされたのかもしれないw
(今の実装だと公開鍵ログインでpostでき・・・たかな)
まあ、想定の範疇ではあるがw
#nostrp2p
なりすましというか、下の記事に貼ってあった秘密鍵が、別途テスト用に作ってあったtsukinoのやつだった、というオチだった。
Trialアカウント用の鍵の管理が雑。
誤って、Nostrの本垢の鍵貼ったりしないように気をつけよw
https://zenn.dev/ryogrid/scraps/ff60eb3a393623
Please Login to reply.
なお、クライアントはイベントを作成する時に署名はする。受信したイベントデータの検証はしない(元々する想定ではない)
サーバは本来、検証はしないとダメ。
