むかし何処かの偉い人が言ってたジョークで「もしマイクロソフトが車を作ったら」というのがあった
その中に
エアバッグを出す前に「出していいですか (Y/N)」と訊いて来る
とかいうくだりがあって笑ってしまった記憶がある。勿論そのココロは「一もニも無く直ちにエアバッグ出さなきゃ死ぬぞというところで確認取ってどうするよ」という話。何処かのアンチMSな人々が上の小噺を真に受けてその逆を実践してしまったのかどうかは知らないが、つい先日こんな頁を読んだ:
http://muumoo.jp/news/2007/02/07/0httpsfirefox.html
実験結果を表にまとめてあるトコだけ引用させて頂くと、こういうことらしい:
| 実験 | IE | Firefox |
|---|---|---|
| 外部css | ○警告される。中断できる。 | ×警告される。中断できない。 |
| 外部js | ○警告される。中断できる。 | ×警告される。中断できない。 |
| iframe | ○警告される。中断できる。 | ×警告される。中断できない。 |
| 画像(img) | ○警告される。中断できる。 | ××警告されない。 |
| リンクを踏んでhttpのページへ移動 | ○警告される。中断できる。 | ×警告される。中断できない。 |
| jsonpの呼び出し | ○警告される。中断できる。 | ×××警告されない。 |
| httpでPOST | ○警告される。中断できる。 | ○警告される。中断できる。 |
十分[これはひどい]モノである。こんな所で、わざわざ警告まで出しておきながらキャンセルひとつ利かないという設計の馬鹿馬鹿しさといったら無い。
ところが上の記事に噛み付いてた人というのがいた。どうもこちらの人、最初の人が何を問題にしてるのか分かってらっしゃらないフシが多々見られる。例えば
そこまで気にするならフル機能のモダンブラウザって、そもそもその人には向かないものなんだと思います
とか。私が思うにおそらく最初の人は単に巷間に流布しているFirefox安全神話の根拠薄弱さというか無責任さが許せないだけなのである。向き不向きの話なんか全然していないのである。最初の人の記事の終わりのほうにこうある:
これはあくまでIEとFirefoxの比較なので、Firefox自体が問題かどうかは考えていません。考えようによっては、IEがただセキュリティに厳しすぎるだけで、Firefoxの仕様でも実用上は問題にならないと言えるかも知れない。
Firefoxが「この仕様でも別に危険ではない、問題ない。」と言うならそういう判断ってことで別にいいけど、少なくとも「IEよりFirefoxは安全」とか言わないで欲しい。
太字は私が勝手に付けたもの。此処ですよ此処。上に引用させて頂いたIEとの比較結果を見る限り全くもってごもっともである。そういう人に「イヤなら使うなこのオタンコナス ヽ(`Д´)ノ」とか言ってみても始まらんのである。
なんか不肖・宮嶋みたいになってきたけど気にしないでね。あとのほうの人の話はこう続く:
そもそも、httpsで情報の送信を全て暗号化しておいて欲しい(そういう必要がある)ようなサイトでhttp通信を使っちゃっているというのは、UAに過失が無いとは言いませんけど、どちらかというとコンテンツ提供者に過失があるように思えるんですけど、そういう根本的な話は無視されているようで。
(ノД`) アチャー
「根本的な話は無視されている」んだそうである。「ロクに左右の確認もせずにいきなり脇道から飛び出して来る車から身を守る心得に於いて誰がより優れているかを較べてみてもあまり意味は無い。一番悪いのは飛び出して来るヤツに決まってるんだから」とか言ってるのと大差無いぞ、これでは。
誰が悪いかなんてことはみんな百も承知である。そればかり言ってても無茶な運転をするヤツはなかなか減らないからみんな困っているのである。ましてや意図的にmaliciousな運転をしてくれる輩についてはなおさらである。轢かれて死んでから誰が悪いか弁じてみても遅いのである。平和を愛する諸サイトの公正と信義に信頼してるとロクな目に遭わんのである。
だんだん宮嶋風味が楽しくなってきたので調子に乗ってるけれど気にしないでね。まだ続きがある:
その後のhttpsからhttpへのリンクでの移動をキャンセルできないという話は言いがかりにしか思えません。そこまで気にする人なのに、リンクをクリックする前にステータスバーを見てないんでしょうか? また、普段はhttpなサイトではリンクはいっさいクリックしないような運用をしている人なのでしょうか? これではケチをつけたいがために書いた文章のように見えます。
またまた (ノД`) アチャー である。「ステータスバー見りゃ分かるだろ」って、それを言っちゃあもう何でもアリだ。
第一これでは肝腎の「キャンセルの利かない警告」という代物の馬鹿馬鹿しさへの弁護にも何にもなってない。「タブを複数開いてる時にブラウザを閉じようとすると警告する機能」*1なんか付けてる暇があったら「HTTP←→HTTPS間の移動時の警告」にキャンセルボタンくらい付けとけよ、と思うぞ。
最後に画像の件ですが、セキュリティバグのままではありますが、bugzilla-jpにも報告あがってます。また、本家では公開済みのセキュリティバグとして登録されています(bug-org 135007)。
これは本家のバグが公開されているので、世間的に既知の問題なので良かったのですが、それへのリンクが無いところを見るとどうも問題のblogの作者さんは、そのこと自体を知らないようにみうけられます。もしそうであるなら、セキュリティに関する話を適切に報告せずに世間にいきなり喧伝するという行動が感心できません。プロダクトへの批判は良いんですけど、セキュリティに関わる話題の場合は、それを使っているユーザがいるわけですから、そのへんのことももう少し考えて気を使って欲しいなぁと思います。
「それはバグではなく仕様です」の逆パターンというのは珍しい。要は「もし未報告のセキュリティホールだったらどうするんだYO ヽ(`Д´)ノ」と言いたいらしい。なるほど「セキュリティに関する話を…」云々のくだりはまぁ一理無くもない。もっともその「喧伝」ぶりのタチの悪さに於いては「IEよりFirefoxのほうが安全」なる迷信のほうが遥かに上だとは思うが。
ところで今回のimgの件、この人自身が言うようにバグ報告が上がったまま今のところ手付かずなわけだ。私の場合、最初の人の記事をはてブのお気に入りで目にするまでこのことを知らず、「あーなるほどコイツは気をつけないとなぁ」と思ったわけだけれども、年中こういう事の繰り返しばかりやっている私のような横着者の本音としては、Bugzillaより早いか遅いかに関わらずこの種のセキュリティ上の不備が世間で噂になっているのは必ずしも望ましからぬ話ではない。実際問題世の中の全てのFirefoxユーザがそうちょくちょくBugzillaに目を通していられるほどヒマなわけでもないし。こういうこと書くとまた目くじら立てて怒り出す人がいそうで、まぁそんなのは好きにさせておけばよい。
世にアバタもエクボ的な身贔屓が山ほどあるのはPC界でも例外ではないわけで、特定のプラットフォームなりアプリなりの愛用者によるその手の身贔屓というのはまぁ内輪でやっている分には微笑ましい限りなのだが、これが内輪にとどまらず他人に絡み出すと鬱陶しいことこの上ない。
追記
この話、どうやらまだ続いてるらしい。さっきみたら Re: Re: Re: Re: くらいまで行ってて、議論があらぬ方向に進展してた。読んでみて果たしてご両人の言い分のどちらが「ケチをつけたいがために書いた文章」に見えるかは一目瞭然だと思う。まぁ生温かく見守ろう。
*1:しかもこういう所に限ってちゃんとキャンセル可能である。
