« ECC他、新ライブラリ大量リリース | main | なんでもRSS »
2005年05月10日
ajaxの弱点メモ
ajaxを考える上でこういうのが最大の不安要因たりえる・・・ と思うのだけど、あんまみんな気にしないのかな? JS脆弱性対策と新ブラウザの出現関係の話題は、比較的スルーされてるように見える。
mew曰く、"Secunia のアドバイザリによれば、現時点で最新リリース版のMozilla Firefox 1.0.3に二つの脆弱性が存在し、既に Exploit code も公開されている。二つの脆弱性を合わせた重大度は、滅多に出ない最高レベル「Extremely critical」。現時点でパッチは存在せず、対策は「JavaScriptを無効とすること」。
JavaScriptを無効にされるだけで基本的にajaxは終わるので、こういうのは結構重要なんじゃないかと思うんだけど。
で製作者側の正しい対策は、JavaScriptをoffにしても動作する代替サイトを用意することなんだろうけど、それ労力大変だよなぁと思う。
だからajaxアプリのアプローチとしては、HTML単体で動作するサイトを設計した上で、ajaxによって付加価値の機能をつけるというのが安全な方法なんだと思う。OOPでいうところの ajaxサイト extends html サイトという感じ。あくまでHTML上で快適に動くものをさらにエンフォースするのがいいのだろう。
逆にgoogle mapsみたいにAjaxを完全に前提とした設計を行う場合、JSオフの人をユーザー層から徹底的に除外するか、1からHTMLの代替サイト(しかも操作性悪い)を作る必要がある。
フィッシィングやらファーミングやら、脆弱性やらがポコポコでてくる世の中、いつ「JSはOFF」が標準になってもおかしくないと思う。Ajaxが完全に前提となったサイトデザインというのは、それに対して圧倒的に無力だと思う。たとえJavaScriptが枯れた技術だろうと、「Ajaxそれ自体はまだ枯れてない」。これは見落としやすいけど、注意したほうがいいみたい。
ajaxは主役よりも縁の下の力持ちに特化するほうがいいんじゃないのかな。
なんとなく思ってみた。
投稿者 Taka : 2005年05月10日 16:56
book
bookmark
trackbacks
this entry's trackback URL:
http://www.fladdict.net/cgi-bin/mt3/mt-tb.cgi/150
このリストは、次のエントリーを参照しています: ajaxの弱点メモ:
» VOIP from VOIP
VOIP [read more]
トラックバック時刻: 2006年03月09日 22:57
» Refinance from Refinance
Refinance [read more]
トラックバック時刻: 2006年03月10日 13:20
» Dating from Dating
Dating [read more]
トラックバック時刻: 2006年03月11日 13:13
» Canon Digital Camera from Canon Digital Camera
Canon Digital Camera [read more]
トラックバック時刻: 2006年03月12日 09:40
» Printing from Printing
Printing [read more]
トラックバック時刻: 2006年03月12日 17:01
» Currency Trade from Currency Trade
Currency Trade [read more]
トラックバック時刻: 2006年03月17日 18:49
» Cancer from Cancer
Cancer [read more]
トラックバック時刻: 2006年03月18日 00:14
» rocking horse from
horse anal [read more]
トラックバック時刻: 2006年03月24日 10:41
» basketballhoop from basketballhoop
basketballhoop [read more]
トラックバック時刻: 2006年04月01日 07:43
comment
これはかなり重要事項ととらえています。
JSをOFFするだけで、システムが動かなくなる可能性もあるんですよね。
>ajaxは主役よりも縁の下の力持ちに特化するほうがいいんじゃないのかな。
そうですよね。同感です。
メインコンテンツをAjaxで開発は大きなリスクがあるんだと再確認できました。
by arkw : 2005年05月10日 23:05
趣味としては ajax は魅力的なのだけれど、商用とか考えると正におっしゃる通りだと思います。
そういう意味では flash のほうが安全。
ajax (というか DHTML+XMLHttpRequest)はテキストエディタと知恵さえあれば遊べちゃうのが好きなところです。
色んなところで作業(=現実逃避w)するので、サーバにログインして emacs でガリガリ書けるのはありがたいです。
flash は pc or mac でしか開発できないし、開発機分ライセンス買わないといけないし、GUI 触んなきゃいけないし、やりたいけどめんどくさいというのが正直なところ。
開発は全部 emacs+sh でやっちゃうオールドタイプなので、そう思うのかもしれませんが(^^;
by ooba : 2005年05月12日 03:30
こんにちは。そのイシューは、こちらに書いた文章がありますので、よかったらご覧ください。
AjaxML - Ajax vs Flash (一般論)
http://qwik.jp/ajax/22.html
AjaxMLへの参加方法は(念のため)
http://zerobase.jp/blog/entry-220.html
なお、私はアンチFlashではありません。念のため(笑
by 石橋秀仁 : 2005年05月15日 08:04
>arkwさん
JSが無くてもOK、あったらより便利。みたいな使い方がよさそうですよね、やっぱり。
>oobaさん
確かにajaxはカリカリメモ帳で書けるのは楽しいですよね。実は最近はflashもeclipse&フリーコンパイラで最新バージョンのswfが書き出せたりしますよー。この場合100%コードだけでかけるのでそれも楽しいです。
>石橋秀仁さん
こんばんは、ajaxMLには参加させていただいています。
僕もアンチajax派ではありません(笑
むしろガリガリ連動させてみたいのですが、まだ当分はそんな土壌が育たなそうです。ので今のところは、弱点の洗い出しと補強案と淡々の乗せていこうかと思ってます。
by Taka : 2005年05月16日 20:39
> 実は最近はflashもeclipse&フリーコンパイラで最新バージョンのswfが書き出せたりしますよー。
> この場合100%コードだけでかけるのでそれも楽しいです。
えー、しらんかった・・・orz
楽しそう! 早速試してみます。
by ooba : 2005年05月18日 13:53