Mastodon fork して、なんでもかんでもリンクに verified つけるようにすれば、本人詐称できることに気づいた。ちゃんとリンク先から見れるようにするのがいいのか (さっきのは普通に公式垢っぽい)

フォロー

@me そのサーバのユーザーには詐称できるけど、リモートサーバには何も影響しないから、

大きなユーザー数を抱えるサーバがやれば少しは意味はあると思うけど、ほとんど影響ないんじゃない?

ちょっと気になるので今調べてるんですが、Account の verified_at がリモート側の言い分を信じてたら、ユーザにはその URL の持ち主が verified したアカウントのように見えてしまうので、信ぴょう性が上がると思ったという感じです

つまり、ruby-ill.social にインスタンス立ててそこに verified_at: github.com/ruby を送ってくるアカウントを作ってリレーとかにばら撒くと、Ruby 公式垢に見えてしまったりしないかなと

@me このfield entityはREST APIの応答(自鯖向けの情報)で、ActivityPubでやりとりするActorのデータにはverified_atは含んでないですね。含まれてても、使うのはnameとvalueだけです。

attachment: [
{
type: "PropertyValue",
name: ":github: Github",
value: "<a href="github.com/noellabo" rel="me nofollow noopener noreferrer" target="_blank"><span class="invisible">https://</span><span class="">github.com/noellabo</span><span class="invisible"></span></a>"
},
(略)
]

具体的にはこれをみてもらえれば。

なるほど、WebFinger の JSON の方には verified_at は含まれてないんですね。ローカルはローカルで verified_at 持ってるんですね、なるほど

ならば、リモートの方を見ないようにすれば確かに安全そうですね。ありがとうございます!

github.com/mastodon/mastodon/b
ちゃんとローカル側でも verify link 走らせてるんですね。リモートサーバまで見に行かないでローカルサーバで Verified がついてるかを確認するようにすれば安全そうですね

ログインして会話に参加
Fedibird

様々な目的に使える、日本の汎用マストドンサーバーです。安定した利用環境と、多数の独自機能を提供しています。