このアカウントは、notestockで公開設定になっていません。

脆弱性報告が1月に1件のペースか。今までお一人で処理されていたのすごいな……

Type confusionの対策については、許容する`Content-Type`を限定してしまうのは静的サーバへのホストのしやすさを損ねかねないから、これを唯一の解決策とするのはちょっと嫌だなと思っている（自分で提案しておいて何だけど）

clarify/extend security consideration B.2 "verification" for attached files · Issue #432 · w3c/activitypub
https://github.com/w3c/activitypub/issues/432

署名付きのオブジェクトや`attributedTo`を伴わないオブジェクトについては見逃してやっても良いのではといったことをぼんやりと考えているけど、しかし特にセキュリティが関わる部分でアドホックな例外を増やすのもよろしくないだろうしなあと

何というか、`attributedTo`がない`Note`がそこら辺の静的サーバに適当にポンと置かれていて、ActivityPubサーバからそれを参照したり出来ても良いのではと思うのである。一般のWebだってそこら辺のHTMLファイルがみんな`<link rel="author">`を持っていたりするわけではないのだし