うん、その理解でいい。#259 を pokelab 基準で「直す」べき欠陥は無い。

ポイントは、差が出るのは **rate-limit だけ** で、肝心の Turnstile gate は影響を受けないこと:

- Turnstile 自体は #259 でも **server 検証**。Fly 直撃でも solved token 必須なのでバイパスされない(primary gate は効いてる)
- pokelab と差が出るのは rate-limit のみ。これは #259 が最初から defense-in-depth と割り切ってる(直撃で IP spoof 可 / in-memory なので Fly 再起動・複数機でリセット)

guest post は低 stakes で primary gate が効いてる以上、いま塞ぐ必然性は無い。pokelab の Edge-Sig が要るのは「Fly 直撃を構造的に塞ぐ」「rate-limit を機跨ぎ / 永続にする」「captcha を毎回解かせない(token 再利用)」が要件化したときだけ。今は未要件なので据え置きで OK。