#45 - Integrity protection for `Announce` activities - fediverse-ideas - Codeberg.org
https://codeberg.org/fediverse/fediverse-ideas/issues/45
立てた
#45 - Integrity protection for `Announce` activities - fediverse-ideas - Codeberg.org
https://codeberg.org/fediverse/fediverse-ideas/issues/45
立てた
Mastodonは基本的にアカウントが行なったお気に入りの一覧を公開しないけど投稿に付いたお気に入りの一覧は割と公開されているからクロールによってある程度前者を再現できるのではといったことを思ったりしていたけど、後者は投稿の発信元サーバが勝手にアカウントを紐付けているだけであって、その気になれば実際には投稿をお気に入りに入れていないアカウントを含むことも出来るのだよな。例えば任意のアカウントがヘイトスピーチ投稿をお気に入りに入れたかのように偽装して信用の毀損を図るといった悪用が考えられる
まあ一般にはお気に入りは必ずしも賛意を示すものでないとはいえ、そのように解釈されることも多い以上は攻撃としては一定の有効性を持ってしまう。そもそも相手に通知が送られるお気に入り(`Like`アクティビティ)に対して自分だけが参照できるブックマーク機能も一般的に提供されているという状況で"fav != endorsement"がどれほど通用するものなのかと思わないでもないけど
投稿の`likes`コレクションの`Like`アクティビティのURIから検証できれば良いのだろうけど、`likes`コレクションを実用しているサーバ実装はどれくらいあるものなのだろうか
