先日の、『jQueryで作る Ajaxアプリケーション』、買いました。ざっと読みました。
最初の章に、input 要素から入力したものを、DHTML で表示させるサンプルがあります。その中で、「HTML エスケープして」とありました。これ、好印象です。「こんな本はイヤだ」と思うのは、何も処理をしていないものです。しかし、処理がしてあります。それも、「サニタイズをして」ではなく、「HTML エスケープをして」です。安易に「サニタイズ」という言葉を使わないのは、好印象です。
ただ、セキュリティに関しては、言及することを避けているように思われます。この部分はマイナス要素でしょう。
というのも、この本が対象とする読者層がよくわかりません。開発者なのか、サンデー デベロッパーなのか。あるいは、開発にはまったく関係ないけれど、単に自分のページを作るのに、動きがあるものにしたいという人たちなのか。
対象が開発者なら、「セキュリティに関しては、これこれの書籍に譲る」と一文があって、言及を避けるのもひとつだと思います。セキュリティだけで本が書けるのですから、その内容で埋めるのは、書籍の目的が変わってしまうからです。
しかし、その他の人も対象とするなら、Javascript を使うことで閲覧者にどのような危険をもたらすのか、書いてある方が親切だと思います。そういった人は、専門ではないのですから、さらに学ぼうとはしないことが予想されますから(開発者でも?)、ここに書いておかないでどこで学ぶのでしょう?
もちろん、まったく言及していないものより、「セキュリティについては他で学んでください」とでも入っている方がましです。しかし、注意喚起ぐらいはして欲しいと思うのです。特に、閲覧者を危険な状態にするのですから。。。
でも、これはいただけませんねぇ。。。
Chapter15 jQuery による Ajax プログラミング P321 の COLUMN
パスワードのセキュリティをより強固なものにするには、Web サーバを SSL という暗号に対応させて、https://~ という URL で送受信できるようにすると良いでしょう。こうすると、通信されるデータが暗号化されますので、ネットワークの途中でデータを傍受されてしまったとしても、その内容が簡単にはわからなくなります。
危険が、傍受されることだけなら、これでもいいでしょう。SSL で通信内容を暗号化する利点は、傍受されたときに簡単には内容がわからないと言うだけにとどまりません。むしろ、通信内容そのものを保護できる方に、重きを置くべきでしょう。
たとえば、http でページ内容を送り、form 要素の action 属性に https を指定しているログイン ページがあります。この場合、こちらから送るデータは、確かに暗号化されます。しかし、今見ているページが、サーバに保存されているページと同じものであるという保証はありません。通信経路によっては、一部のデータだけを書き換えることも可能なのです。ログイン ページそのものを SSL で保護しなければならないのは、通信内容の一部だけを書き換えられる可能性をなくすためです。すなわち、「内容が簡単にはわからな(い)」ようにするだけではなく、「内容を保証する」側面があります。そして、こちらの方が重要ではないでしょうか。
ウェブとは、「網」です。特に、蜘蛛の巣をイメージして、名付けられています。あるコンピュータから発信されたデータは、あらゆるウェブに接続されたコンピュータを経由して、相手のコンピュータに到達します。このとき、一番早く着いたデータのコピーが、最優先で処理されます。一番早く着いたデータのコピーが、たまたま悪意を注入されたものだったら?盗られるだけなら、まだましなのです。
あと、サンプルに noscript も入れて欲しい。Opera のデフォルトを、スクリプトを無効にしています。すると、リンクをクリックしても何も反応がないページがあるのです。ステータスを見ると、「javascript:void(0)」とか書いてある...だったら noscript 要素でアナウンスしてよ(-_-;
じゃぁ、全体として買いか?難しいなぁ。。。内容は、jQuery のリファレンス兼サンプル コード、って感じ。構成要素をいくつかの章に分けて、丁寧に説明してあります。ウェブの情報が充実したら、買わなくてもいいかもしれない。って、おい。
他のフレームワークをやったことがあるなら、混乱防止のために買っておいてもいいと思う。やはり、紙の媒体って、いろいろ面でウェブより便利なので、比較や覚え書きを書き込むために買うというのはありだと思う。
もう一冊、赤間本です。WPF(Silverlight へつなげるため)の本を探しに行ったのですが、レジに並んだときに手にしていたのはこれでした。よくあることですね。
しまつた...MSDN サブスクリプションの特典で、安く買えるんだったorz
内容は、まだ「前書き」しか読んでいません。まぁ、赤間本なので安心していますけど。
今のところわかったこと。
一緒に買ったもう一冊、マクロス本です。私はガンダムよりマクロス派なんです!!YF-19 と、デストロイド モンスターのファンなのです。
板野サーカスつながりで、MegaZone 23 もスキですよ~。Garland バイクのプラモも買いましたよ~。作る暇ないですよ~。YF-22 と Perfect Grade Z GUNDAM が順番待ちしてるから~。どこかに YF-19 があったら、教えてくださいまし~。妻に壊されてしまいました(T^T)
投稿日時 : 2008年8月5日 22:05