ダイレクト投稿で、リモートユーザーを宛先に含まずにメンションには含めると、当該リモートユーザーから内容が見えてしまう

[Sayamame-beans]

💡 Summary

ダイレクト投稿において、リモートユーザーをメンションで含んで、宛先には含まなかった場合において、当該リモートユーザーからダイレクト投稿の内容が全て見えてしまいます。
ローカル側では入っていませんが、リモート側ではvisibleUserIdsに当該ユーザーが含まれているようです。

宛先に他の(ローカル or/and リモート)ユーザーを含めていた場合も同様です。

そもそもメンションにしか含まれていないユーザーのサーバーに投稿が配送されていることが不可解…?

ローカル(送信元)側

リモート側

Related?

• feat(frontend): visibilityがspecifiedのときでも連合なしを指定できるようにする #13627

• DMを送受信するときの挙動に問題がある #7655 (comment)
  AP的にはaudienceとmentionは別物になってるから、見れるユーザーとメンションユーザーを分けて連合することは出来なくはないかも。 でも、他の実装 (Missskeyもふくめて) がちゃんと区別してるかあやしいかも。

🥰 Expected Behavior

メンションにしか含まれていないユーザーからは投稿が見えない

🤬 Actual Behavior

メンションにしか含まれていないリモートユーザーから投稿が見えている

📝 Steps to Reproduce

1. リモートのユーザーをメンションし、宛先には追加せずにダイレクト投稿する

💻 Frontend Environment

* Model and OS of the device(s): any
* Browser: any
* Server URL: https://misskey.niri.la/ , https://mi.yude.moe/ , https://mi.7mi.site/
* Misskey: 2024.5.0-kinel.3, 2024.2.0, 2024.5.0-20240623.1-b269c4316

🛰 Backend Environment (for server admin)

* Installation Method or Hosting Service:
* Misskey:
* Node:
* PostgreSQL:
* Redis:
* OS and Architecture:

Do you want to address this bug yourself?

• Yes, I will patch the bug myself and send a pull request