2018年06月12日に初出の投稿

Last modified: 2018-06-12

Webサイトの閲覧者は、見に行こうとしているWebサイトがどんな挙動をするのか事前に全て把握してなどいないから、ほとんど全てのサイトが「意図に反する動作をさせる」サイトであると言うこともできよう。 [...] しかし、何をもって「不正な」とするべきなのかは、はっきりしない。

懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」

確かに、この「不正」かどうかは一律かつ無条件に断定できるものではないため、社会的なコンセンサスとして明白に大多数の人々が不正であると認めると言える根拠がなければいけないのだろう。もし、サイトにビジターが予想していないコードを仕込んだだけで起訴されるなら、俺は相当な数のウェブサイトを「クソ JavaScript, API, Ajax, Google Analytics, ビーコン, Ad network コード埋め込み罪」で検挙したいくらいだ。でも、当サイトだって GDPR 対応のプライバシーポリシーを掲載していようと、一部のあほうどもにとっては「意図せざる」コードとしての日本語文字列が埋め込まれていると言えないこともない。上記のような「『クソ JavaScript, API, Ajax, Google Analytics, ビーコン, Ad network コード埋め込み罪』で検挙したいくらいだ」という一節だって、そういうコードの一部になりえる。だからといって、「無能を無能と断定する罪」とか「凡人に対する身も蓋もない事実指摘罪」などなかろう。

では、サイトのビジターがマイニングを意図せず手伝わされるという(もちろん僕も含めて多くの人にとっては不愉快な)実状を放置していよいのか。恐らく、法的には「放置してよい」というのが妥当なのだろう。嫌なら、そういうコードを見つけて実行を阻止するようなブラウザを開発してもらうか、そういうプラグインを見つけるか、自分で開発すればよいというわけだ。いや、そもそもこのようなクソはたいてい JavaScript で動くのだろうから、NoScript 一つでだいたいはブロックできる(ActionScript? Adobe Acrobat JavaScript? なんですかそれ。おいしいの?)。したがって、われわれは更に JavaScript はウェブサイトの必須のコンポーネントなどではなく、オンラインサービスや SPA を動かしたり UI として提供するにあたっての必須技術であるという壮大なデタラメを打ち砕く努力を続けなくてはならない。そして、これは僕が情報セキュリティマネジメントの実務家だから言っているわけではなく、寧ろプロのウェブデザイナーや開発者として言っていることなのだ。つまり、これはセキュリティの問題ではなく、そういうコードをこっそり仕込んでいるというサイト運営方針をブランディングとしてどう評価するかという問題なのだろう。同じ意味において、ソーシャルメディアの API コードを仕込んでいるサイトも同じ視点から論じうる(もちろん、そのコードは不正でもなんでもないが、ブランディングの問題にはなる)。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook