Andreas

Exactly, if an instance loves to censor others so much they should deal with the consequences of less interaction and visibility. lemmy.ml is also dropping off my feed because their devs have beef with Kbin's dev and they blocked interactions from all Kbin instances.

Why don't you start an account there and help them out, or start an account on an instance that is federated with both if you prefer the community there? I personally disagree with their moderation and don't like the kind of users they approve of, so I'm happy seeing less of them around.

I was a kid when all of the big social media websites except TikTok took off so I never got to have it anywhere else. I wanted the sense of pride and accomplishment of being the first person ~~on my instance~~ to get my name as their username.

This design is so cute, it reminds me of the art style of HyperBeard Games. I hope something inspired by this gets chosen and not another boring "iOS flat design" icon.

Renast är väl isländska? Jag är också intresserad av norska, alltså de mindre dansksmittade dialekter på västkusten och i norra Norge (jag älskar danska också men no offence).

Svenska dialekter skiljer sig stort mellan norr och söder så det är svårt att hitta en analogi som täcker hela landet. De sydsvenska dialekterna är enligt nån forskningsrapport jag läste konserverad danska från 1600-talet. De kanske tillhör kategorin "Skånska med omnejd: Unmaintained fork av danska, 365 commits behind main"?

Vetefan vad EU har med NATO att göra men kommer Erdogans nästa krav om vi går med på detta vara att ordna ett möte med julemanden?

If you're comparing stock Android against stock iOS, Apple has more privacy protections against tracking because of App Tracking Transparency.

Någon testade det och du har rätt, exploiten nyttjar custom emojis för att köra skriptet men det är oklart om emojin måste vara instansens egen för att skriptet ska fungera.

Det som får mig att tro att federerade instanser också är sårbara är att lemmy.blahaj.zone också blev attackerad trots att hackarens mål är lemmy.world. Det kan vara att en lemmy.blahaj.zone admin läste en tråd på lemmy.world och fick sitt konto stulet.

Utvecklaren själv tvivlar på att det ska vara endast emojis. Skärmavbilden nedan visar att det inte är en emoji utan en inbäddad bild.

Och finns det något hemligt nätverk av Lemmy-admins? På Matrix?

Ingen fara, jag postade bilden eftersom skriptet är dolt (det visas bara de första få tecken men jag kan förstå hur andra skulle kunna klura ut tricket här då det finns andra bilder med hela skriptet inuti). Det är samma Markdown-renderen med stöd för custom emojier som används i alla textfält på Lemmy. Alla fält som visar text på 0.18-instanser och senare är sårbara för attacken om det inte införs en Content Security Policy som blockerar körbara skript.

Lite mer detaljerad förklaring: Det här har inte med custom emojier att göra. När du skriver en kommentar kan du ~~göra~~ formatteringstricks med Markdown, men Markdown-parseren som Lemmy använder konverterar inte innehållet till plaintext när den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.

Hackaren länkade bilder i kommentarerna vars alternativtext innehåller skriptet som stjäl autentiseringsnyckeln av användare som laddar kommentaren. Med den metoden fick hackaren tillgång till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, så alla inloggade användare skulle få sin nyckel stulen (eftersom sidebaren laddas på varje sida).

Admin kan lägga till script-src 'self' 'nonce-$RANDOM' till instansens Content Security Policy på proxyservern för att blockera körbara skript på sidan.