Local-only post sending "null" into other servers' inboxes

[tribela]

https://github.com/misskey-dev/misskey/blame/9fc3e19582a8ff6f60e6a0bc9d58b5ef11c1c7cd/packages/backend/src/core/NoteCreateService.ts#L621

This code returns null if local-only. But null-checking is missing and sent to many inboxes

As the message is signed with author's key, This could be a privacy leak

[ltlapy]

💡 Summary

null値のAP Activityを配送する場合がある

特定のユーザーからInboxにnull値だけのActivityが届くが、そのユーザーの投稿一覧を確認すると大体は連合に送らない（ローカルのみ）設定になっている投稿が多いらしいです

🥰 Expected Behavior

Null のみのActivityを配送しない

🤬 Actual Behavior

Null のみのActivityが配送される場合がある

📝 Steps to Reproduce

1. 連合に送らない（ローカルのみ）ノートを作成する
2. nullのみのAP Deliverが発生し、リモートのソフトウェアによってはエラーが発生するらしい（現時点のMastodonを含む）

📌 Environment

💻 Frontend

• Model and OS of the device(s): Windows 11 22H2 (Build 22621.1325)
• Browser:
  Microsoft Edge 114.0.1823.82 (Official Build) (64-bits)
• Server URL:
  k.lapy.link and more
• Misskey:
  13.14.0

🛰 Backend (for server admin)

他のサーバー管理者によるとこのサーバーに限らず送られてくるらしいです

• Installation Method or Hosting Service: docker compose
• Misskey: 13.14.0-beta.4-92d9946+klapy.1
• Node: 20.3.1
• PostgreSQL: 15.2
• Redis: 7.0.12
• OS and Architecture: Oracle Linux Server 8.6 aarch64 - Oracle Cloud

[tribela]

Related: mastodon/mastodon#26021

[tirr-c]

It's actually null-checked just before being delivered, patched quite recently: b318789

misskey/packages/backend/src/core/QueueService.ts

Line 100 in 9fc3e19

if (content == null) return null;