@noellabo verified_at じゃなくて field entity でした
https://docs.joinmastodon.org/entities/Account/#Field
@me このfield entityはREST APIの応答(自鯖向けの情報)で、ActivityPubでやりとりするActorのデータにはverified_atは含んでないですね。含まれてても、使うのはnameとvalueだけです。
attachment: [
{
type: "PropertyValue",
name: " Github",
value: "<a href="https://github.com/noellabo" rel="me nofollow noopener noreferrer" target="_blank"><span class="invisible">https://</span><span class="">github.com/noellabo</span><span class="invisible"></span></a>"
},
(略)
]
具体的にはこれをみてもらえれば。
https://fedibird.com/@noellabo.json
@noellabo なるほど、WebFinger の JSON の方には verified_at は含まれてないんですね。ローカルはローカルで verified_at 持ってるんですね、なるほど
ならば、リモートの方を見ないようにすれば確かに安全そうですね。ありがとうございます!
@noellabo https://github.com/mastodon/mastodon/blob/55785b160320783392ffe3f24c5ca48e6ee7a5f2/app/services/activitypub/process_account_service.rb#L60
ちゃんとローカル側でも verify link 走らせてるんですね。リモートサーバまで見に行かないでローカルサーバで Verified がついてるかを確認するようにすれば安全そうですね
@noellabo ちょっと気になるので今調べてるんですが、Account の verified_at がリモート側の言い分を信じてたら、ユーザにはその URL の持ち主が verified したアカウントのように見えてしまうので、信ぴょう性が上がると思ったという感じです
つまり、https://ruby-ill.social にインスタンス立ててそこに verified_at: https://github.com/ruby を送ってくるアカウントを作ってリレーとかにばら撒くと、Ruby 公式垢に見えてしまったりしないかなと