特定の手順を踏むと、クライアントを重くすることができる

[nennneko5787]

💡 Summary

PCのmisskeyクライアントで、

リノートメニュー(↑)が表示されているときにQキーを押すと、なぜかリノートメニュー自体が増えます。
押し続けていると、無限に増え続け、最終的にフリーズします。

🥰 Expected Behavior

Qキーを押してもリノートメニューが増えない

🤬 Actual Behavior

Qキーを押すとリノートメニューが増え、Qキーを押し続けるとリノートメニューが増え続ける

📝 Steps to Reproduce

1. 適当なノートを用意
2. リノートボタンを押し、↓のようなメニューを表示させる。
   
3. Qキーを長押しする。
4. 問題が発生する

💻 Frontend Environment

* Model and OS of the device(s): Windows 11 Pro バージョン 23H2 OSビルド 22631.3593 (dynabook K50/FV)
* Browser: Google Chrome 125.0.6422.113（Official Build） （64 ビット）
* Server URL: misskey.nukumori-sky.net
* Misskey: 2024.3.1

🛰 Backend Environment (for server admin)

* Installation Method or Hosting Service:
* Misskey: 2024.3.1
* Node:
* PostgreSQL:
* Redis:
* OS and Architecture:

Do you want to address this bug yourself?

• Yes, I will patch the bug myself and send a pull request

[nennneko5787]

misskeyのDiscordサーバーにてこのエクスプロイトが公開されたため、Githubにissueを建てました。
https://discord.com/channels/874926746745569280/874980354845466684/1246271357780758688

[t1nyb0x]

ブラウザ上で試してみたのですが、たくさんメニューが表示されることでブラウザまたはPWAが重くなってしまうみたいですね。
サーバー側に影響は起きなさそう。

IMO
DiscordのチャンネルURLだけだと、サーバに所属してない人に見えない可能性があるのであまり良くないかも

[tai-cha]

該当リンク先ではたくさんRNできると言われているものの、もともとAPIを使って連投は可能だしレートリミットをかけることでモデレーションの対応可能なのでexploitかと言われるとどうなんだろうとは思います（自身の操作によるものが大きいですし）

qを押した際に複数RNのポップアップが出る挙動は確かに不都合がありそうですが、緊急性の高いものではないと思っています

ただ不便なのはそうなので出てる間は追加で出さない、あるいはトグルする挙動にするなど別の挙動に変更されても良いかもしれません

[nennneko5787]

IMO DiscordのチャンネルURLだけだと、サーバに所属してない人に見えない可能性があるのであまり良くないかも

これが該当メッセージですね

GUIエクスプロイトが発見された。 デスクトップ上で、マウスカーソルをboostボタンに合わせ、キーボードのQを押し、最後にboostをクリックする。 この操作により、投稿が急速にブーストされ、再起動され、タイムラインが洪水になります。 申し訳ありませんが、私はGitHubを含むマイクロソフトの製品やサービスを利用していません。

[zyoshoka]

Related to #6597

[kakkokari-gtyih]

再現可能