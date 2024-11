ソフトウェアエンジニアのダニエル・マンガム氏が、Blueskyのサーバー&ドメインを使用してウェブサイトをホストする方法を開発し、ブログ記事にまとめました。This Website is Hosted on Blueskyhttps://porcini.us-east.host.bsky.network/xrpc/com.atproto.sync.getBlob?did=did:plc:j22nebhg6aek3kt2mex5ng7e&cid=bafkreic5fmelmhqoqxfjz2siw5ey43ixwlzg5gvv2pkkz7o25ikepv4zeq

This Website is Hosted on Bluesky · Daniel Mangumhttps://danielmangum.com/posts/this-website-is-hosted-on-bluesky/マンガム氏の手法はBlueskyでは既知の動作であり、そのためマンガム氏の記事は脆弱性を開示するものではないとのこと。とはいえ、マンガム氏は記事を公開する前にBlueskyの運営チームに連絡したそうです。マンガム氏の手法はBlueskyが用いる分散型SNSのプロトコル「AT Protocol」が深く関わってきます。AT Protocolの仕組みについては下記の記事を読むとよく分かります。注目SNS「Bluesky」が用いる分散型SNSプロトコル「AT Protocol」とは? - GIGAZINEAT Protocolでは、Personal Data Server(PDS)を使用して独自のデータをホストすることが可能です。PDSは独自のIDを持ち、ネットワーク内で完全に独立してサービスを提供できます。BlueskyもPDSの1つ。個人が独自にPDSを用意することもでき、PDS同士が連携できるため「個人のPDSに保存してあるデータをBlueskyなど他のPDSから参照する」など分散型SNSの動作が実現できるというわけ。PDSにはアカウントの認証を行う機能もあるため、AT ProtocolでつながるSNSにログインしようとする場合、自分のデータがあるPDSのアドレスを指定する必要があります。自身のアカウントがどのPDSにあるのかをいちいち指定するのが面倒と言うことで、Blueskyは「PDS entryway」という機能を用意しています。PDS entrywayを使用するとBlueskyを経由して任意のPDSに接続することが可能です。またAT Protocolでは、画像付きのポストを行う際に先に画像データがバイナリ・ラージ・オブジェクト(Blob)としてサーバーに保存され、続いて画像への参照が埋め込まれたポストが作成されます。ユーザーからは1回の処理で投稿できるように見えますが、実際には「画像のアップロード」「ポスト」という2回の処理が必要とのこと。マンガム氏はまず、Blueskyに設置されているAT ProtocolのAPIを使用してHTMLファイルをBlobとしてアップロードしました。Blob単体をアップロードしただけではまだサーバーの一時保管用の場所に保存されるだけで、外部からアクセスできず、一定期間経過後に削除されてしまうそう。Blobへの参照付きのポストを行う事でBlobを永続化できます。ただし、Blueskyへの投稿では画像形式のBlobへの参照しかできないという制限があり、HTMLファイルへの参照を埋め込もうとするとエラーになります。そこでマンガム氏は新たな「com.danielmangum.hack.website」というコレクションおよび型を作成し、HTMLファイルのBlobへの参照を埋め込んだポストを行いました。独自のコレクション&型ということで、投稿がBlueskyに表示されることはありませんが、「HTMLファイルへの参照付きのポスト」を行う事には成功し、HTMLファイルが永続化されて外部からアクセス可能になりました。サイトにアクセスするとBlueskyのBlobのURLが表示されていることが分かります。マンガム氏は「これは実質的に無料のホスティングで、大量のストレージと送信データ料金が積み重なる上にセキュリティ的にも不都合」と仕様の問題点を指摘しました。なお、マンガム氏はその後の調査でBlueskyの正当な型である「app.bsky.feed.post」ではポストへ埋め込む参照として複数の型をまとめる「union」型を使用でき、そのunion型にはユーザーが自由に型を追加できることを発見。勝手に「sites」という型を追加する事で、HTMLファイルへの参照を含みながらBlueskyに表示できる投稿を行えるとのこと。実際にHTMLファイルへの参照を埋め込んだポストは以下の通り。Blueskyでの表示ではHTMLファイルの参照は無視されるようです。