やはりBlueskyにおいて`!no-unauthenticated`とかいうやつはAppViewレベルで特に配慮されていなくて、純粋にクライアントの判断で隠しているだけという雰囲気があるな。

腹いせ（？）にmitmproxyを挟んでAPIレスポンス中のラベルを書き換えたら普通に非ログイン状態のSocial Appでも見えるようになった。ついでに通常は非ログイン状態だと閲覧させてくれない類のメディアも見える。あと`moderation-jp.bsky.app`も外せるっぽい

まあ`!no-unauthenticated`なんて「真面目に」執行したところで適当にアカウントを用意して容易にパスできる性質のものだし、そんなもののためだけにログインセッションという繊細な情報を要求するくらいならクライアントに任せた方が健全だとは思うけど、実際にそのように実装されているらしいのはちょっと意外

（レスポンスを書き換えて`!no-unauthenticated`を迂回するというといかにも邪悪な印象になるだろうけど、クライアントの実装次第で迂回できるように作られているものを迂回しているだけであって、これが邪悪なら同様の挙動をするサードパーティのクライアントも邪悪ということになってしまうので、実際は見た目ほど邪悪ではないと判断している）