問題は見つかったら直せばいいのよ
雪猫
_@snowcait.github.io
npub1s02j...fxtw
nostter というクライアントを作っています。CSS 何も分からない。
https://nostter.app/
Serverless relay
https://snowflare.cc/
JSON ベースのクライアント
https://snowcait.github.io/nostr-playground/
GitHub Actions
https://github.com/snow-actions/nostr
nostr.json ジェネレーター
https://snowcait.github.io/nostr-json-generator
活動時間を可視化
https://snowcait.github.io/nostr-hours/
Nostrobohash
https://snowcait.github.io/nostrobohash/
Nostr library benchmarks
https://github.com/SnowCait/nostr-library-benchmarks
Nostr REST API proxy
https://github.com/SnowCait/restr
作った BOT
nostr:npub1pp79ruvjd7xned8lgh6n4rhz4pg3els3x5n6kr58l8zcyysp5c0qrkan2p
nostr:npub1n2uhxrph9fgyp3u2xxqxhuz0vykt8dw8ehvw5uaesl0z4mvatpas0ngm26
nostr:npub1x22zy06nn8h44cycdv4trxp8v0dv8qq3ayahpkrcn3rh90gp552sqs8hmv
nostr:npub1k85xlsgh2f29htk45pwjw7zqtdr233up7zta59wcxy9vaxq3cgsqfauhu5
nostr:npub1fqaxs7cce5e4qzu9pewaklf5tjtvyslnx0p9s6jhkmaruw2q3cjs9cs5m6
ちなみに自分は NIP-17 の DM は受け取りたくないので NIP-17 用リレーリストは作っていません
NIP-EE はよくわかってないけど問題のいくつかは解決してくれそうではある
Nostr の DM は安全性に欠けると思っているので実装してない
秘密鍵だって現代の技術では推測不可能だから十分と見做されているだけで将来どうなるかは分からないよね
推測が困難な文字列をプライベートな URL として扱うサービスは割とある
Gist とか
完全に防げるわけではないけど推測はほぼ不可能なので十分と見做されている
いうて自分もそこまで詳しいわけではないので自分が運営してるサービスでなんか見つけたら教えてください
ちゃんと勉強するならたぶんこれ
他はやや条件が必要だったりするし
XSS は基本中の基本だからとりあえず押さえておけばだいぶリスクを軽減できると思う
Nostr は認証情報がクライアント管理なので HttpOnly クッキーはそもそも使えなくて localStorage に保存するしかない(クッキーに保存してもいいけどサーバーに送信されて管理者に漏洩する)
一般的な Web サイトだとサーバーからトークンを発行するので HttpOnly クッキーに保存しておけば認証情報は安全だけどフィッシングサイトへのリダイレクトとかはできるので全体として安全なわけではない
kind: 5, 62 で削除されたコンテンツ、裏で一定期間バックアップしておきたさはある
他人のコンテンツ表示しなければそうそう問題になることはないと思う
フレームワークを使ってても XSS あるサイトいっぱいあるよ
正しく使えてない開発者が多すぎる
なので nostter は気を付けて作っている
秘密鍵を直接入力できるクライアントだと localStorage に保存するしかないので XSS があると流出してしまう
NIP-07 は鍵そのものが流出しないだけマシではある
これは今でも有効なので見つけてみてね
View quoted note →
メモリに全部保持するから流石に年単位で遡れるかは PC スペックに依存しそうだけど