Conversation

Notices

1. Embed this notice
   zunda (zundan@mastodon.zunda.ninja)'s status on Wednesday, 30-Nov-2022 14:56:34 JST zunda

   • かき@GNUsocialJP

   アカウントの公開鍵が変わったらしれっとフォローし直すふいんきに見えるしMastodonさんはあんまり信頼の網の維持に興味は無いように見えるので私有鍵変わってもあんまり影響はないのかもしんまい #Mastodonなんもわからん

   https://github.com/mastodon/mastodon/blob/e988337/app/services/activitypub/process_account_service.rb#L140-L142

   • Embed this notice
     zunda (zundan@mastodon.zunda.ninja)'s status on Wednesday, 30-Nov-2022 15:00:50 JST zunda

     in reply to

     • かき@GNUsocialJP

     呼び出し側は

     after_key_change! if key_changed? && !@options[:signed_with_known_key]
     clear_tombstones! if key_changed?

     となっていて墓は暴かれるけどsigned_with_known_keyオプションが有効な場合にはフォローしなおさない？

   • Embed this notice
     Suji Yan (sujiyan@mstdn.jp)'s status on Wednesday, 30-Nov-2022 15:09:13 JST Suji Yan

     in reply to

     @zundan interesting

   • Embed this notice
     zunda (zundan@mastodon.zunda.ninja)'s status on Wednesday, 30-Nov-2022 15:09:13 JST zunda

     in reply to

     • Suji Yan
     • かき@GNUsocialJP

     @Sujiyan Yep. My experience tells me that I could re-follow an account with the same @username@FQDN recovered on a totally independent installation of Mastodon.

   • Embed this notice
     zunda (zundan@mastodon.zunda.ninja)'s status on Wednesday, 30-Nov-2022 15:19:03 JST zunda

     in reply to

     • かき@GNUsocialJP

     このオプションは呼び出し側でいつもtrueになってるっぽい。ので、after_key_change!は呼ばれない？かな？
     https://github.com/mastodon/mastodon/blob/c9b3cf8/app/lib/activitypub/activity/update.rb#L21

   • Embed this notice
     zunda (zundan@mastodon.zunda.ninja)'s status on Wednesday, 30-Nov-2022 15:54:47 JST zunda

     in reply to

     • かき@GNUsocialJP

     joinmastodonのドキュメントをざっと読むと基本的には現在の公開鍵を投稿元のサーバからもらってきて署名の検証に利用し、投稿元のアカウントが既に存在しないDeleteアクティビティを受け取った時だけローカルにキャッシュしている公開鍵を検証に利用するようにも見える。ふむふむ。
     https://docs.joinmastodon.org/spec/security/

   • Embed this notice
     Suji Yan (sujiyan@mstdn.jp)'s status on Wednesday, 30-Nov-2022 19:26:43 JST Suji Yan

     in reply to

     @zundan So you mean a cryptographic UUID is needed?

   • Embed this notice
     zunda (zundan@mastodon.zunda.ninja)'s status on Wednesday, 30-Nov-2022 19:26:43 JST zunda

     in reply to

     • Suji Yan
     • かき@GNUsocialJP

     @Sujiyan No. I guess this just means Mastodon is designed to identify accounts with just their URI (username@FQDN). Key pairs are only for verifying the authors when posts are transferred between servers.

     To verify a Mastodon account from something else, one can add a hyperlink from there back to the profile page on Mastodon with rel="me" attribute.