|
本頁作成日: 2008年11月21日
スクリプトの功罪
通常、インターネットで Webブラウザが開こうとする“ページ”の正体は、1個の単純な HTMLファイルです(※1)。
“静的ページ”とも呼ばれますが、その挙動は、(見た目)紙に書いてある文書を訪問者に読んでもらう程度の
とてもありふれたものから、(見た目)ページを開いた途端に動画や音声が走り出すとか、モノによっては、
(見た目)ユーザのコンピュータ内部を突然検索し出す。…そんなものまで色々あります。
これらの(見た目の)挙動を実現しているのが、同ファイル内に書かれた、アクティブ スクリプト とか、
ActiveX コントロール(※2) とか呼ばれる類の“スクリプト”です。
“見た目”と書きましたが、これは、インターネットは相手コンピュータがあって双方向通信で成り立っています。
ローカル(自分・訪問者)対リモート(サイト制作者)、「どちらのことを主と考えてそのページが作られているか」
ということなのですが、これが、訪問者は“見た目”にごまかされてしまう場合が多々あるので注意しましょう。
= コンピュータは“マルチタスク”。サイト制作者側は、訪問者のコンピュータ上で影で何かをすることも可能。
= 訪問者はページの真意を掴むよう心がけ、場合によっては早めの退散(セッションの終了)を。
の意です。
訪問者にとっては薬にもなれば毒にもなる。Webにはそんなスクリプトがたくさん撒かれています。
マウスポインタをページ上のあるメニューに持っていったら、背景色が変わったり、何かのマスコットが飛んできたり。
そんな楽しいことばかりではないですよ。レジストリを読まれてパスワードが盗まれるといった危険も皆無ではない。
アクティブ スクリプト はローカルコンピュータ上の Webブラウザの挙動を要所で奪うことが可能ですし、
ActiveX コントロール に至っては、ローカルコンピュータを乗っ取るコントロールさえ、Web には多数存在しています。
訪問者側がインターネットとはそういった裏腹な面を孕んだインフラだということを理解した上で利用するのがベター。
でも、サイト制作者側も、アクティブ スクリプトや ActiveX コントロールの許可を訪問者に強要するようなページ作りは
避けましょうよ。使う必要があるんだったら、要所で宣言や説明も必要なんじゃないですか?ということです。
※1:
あるいは、CGI などが吐き出した HTMLソースの場合もあるでしょう。
以前の IE は“view-source:”プロトコルが使えたんですが、なぜ使えなくなったんでしょうか? Microsoft さん??
一度開いてしまったページを後追いで [表示] → [ソース] したのでは手遅れなんですよ、Microsoft さん??
※2:
ActiveX コントロール の場合は、「どこどこの場所(URL)にあるコントロールを使用するよ」というスクリプトであり、
ダイアログを表示させて、コントロールの場所を確認することは、セキュリティ対策の大きな鍵となるかもしれません。
ダイアログを表示しましょう。要らないスクリプトは拒否していこうという意識が重要です。
|