Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

AiScript: Mk:apiで外部サーバーのAPIを叩く時はトークンを付与すべきではない #11881

Closed
FineArchs opened this issue Sep 24, 2023 · 1 comment
Labels
✨Feature This adds/improves/enhances a feature

Comments

@FineArchs
Copy link
Contributor

Summary

(そもそもMk:apiで外部サーバーを叩けるのが正しい仕様なのかは分かりませんが、)

現状ではMk:apiを使用すると(宛先が外部・内部の区別なく)リクエストに権限の小さいトークンが付与されるようになっています。

これは外部サーバーへのリクエストが不正なトークンにより弾かれる弊害を生むだけでなく、将来的にPlayなどに権限が設定されるようになった時、その権限を持つトークンを外部サーバーに流出させることができるというセキュリティ上の懸念にも繋がります。

よってMk:apiの宛先が外部である場合には、第三引数で明示的に設定された場合以外トークンを付与すべきでないと考えられます。

@FineArchs FineArchs added the ✨Feature This adds/improves/enhances a feature label Sep 24, 2023
@syuilo
Copy link
Member

syuilo commented Sep 24, 2023

Mk:apiは自サーバーのAPIを叩く目的なのでバグですね

@FineArchs FineArchs closed this as not planned Won't fix, can't repro, duplicate, stale Sep 24, 2023
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
✨Feature This adds/improves/enhances a feature
Projects
None yet
Development

No branches or pull requests

2 participants