Hatena::ブログ(Diary)

つれづれなる日記 @ maoo.jp RSSフィード

   

2008年12月12日(金)  

[][][]バックアップは重要だけれど

 このはてなダイアリーでは、書きかけの日記を定期的にバックアップする設定が可能である。WWWブラウザのFORMの上で長々と文章を書いている途中で、たとえばハードウェアが障害を発生したりOSハングアップしたりブラウザがダウンしたりして文章が遠い遠い世界へ旅立たれてしまった、となるとこれは悲しい。まさに悲劇。だがバックアップがあれば大丈夫、かもしれない。

 自分は基本的にバックアップをとても重要と考えていて、多少のパフォーマンス低下や容量の消費といった程度のコストですむならば支払うつもりはある。だけど結局、この機能は利用しないことにした。なんでって、

バックアップ機能はAdobe Flashを利用しています

書きかけの日記を定期的にバックアップするように設定する - はてなダイアリーのヘルプ

ということであり、つまりはFlashローカル共有オブジェクト

参照先サイトによってコンピュータ上に作成されるデータファイルのことで、"Flash Cookie" とも呼ばれます。

404 error page

を利用しているのがちょっとばかり好みじゃなかったから。なぜ好みじゃないか? それにはいろいろな理由がなんとなくあるといったところなのだけれど…。

 自分は複数のブラウザを目的その他で使い分けており、当然だが環境的にそれぞれが独立している。だけれどFlashローカル共有オブジェクトは、そのプラグインに対応している各ブラウザ環境で基本的に*1共有されてしまう。各ブラウザ独立性が少なくともその部分では失われてしまうんだな。これは便利に利用できる仕組みでもあるのだが、そうであるのだときちんと意識していないとしたら危険だと思う。

 また、データが共有利用できるその範囲という注目点で関連するのだが、ローカル共有オブジェクト

A local shared object can be read only by the website domain that created the object.

404 error page

この情報アクセスできるのは、実行中の Flash アプリケーションまたは同じ Web サイト上にある別の Flash アプリケーションです。

404 Not Found

きちんとアクセスコントロールがなされているとのことなので、一般的利用者としてはまず一安心である。でもこういう部分でバグ仕様ミスやまずい利用のされ方がある可能性ももちろん否定できないし、そして悪い人が攻撃ポイントを探す上でわりとねらいがちなのはまさにこういう部分だと思うんだな。クロスドメインクロスサイトでの脆弱性が騒がれりしているよね、けっこう最近であっても様々な技術において。

 これらの他にもいくつか気になるような状況やもしかしたら危険性があるかもしれない条件を想像できるけど、そのあたりは専門家でもなんでもないのでなんとなくそんなふうに思っているだけ。そう、まったくただ本当にそれだけにすぎない。ただし、そういう想像とか予感みたいなものを笑って切り捨てるのはかなりもったいない脆弱性だの問題点だので未発見のものはあるだろうし、なんとなく近寄らないというのも立派な防御だろうと思う。

 とはいえ不安がってばかりではなにも利用できない。だからユーザーはたとえば本件の場合、利用するとどれだけ便利なのか、そしてたとえば保存されるデータがなにかの原因で漏洩してしまえば(データ暗号化していれば抑止効果はあるだろうと思うが)どのレベルで困ったりするかなどを考え、利用するかしないかを判断するべきだ。ここの日記は当然ながら後に公開するから全然問題がなさそうに思えるが、下書きの段階のものを人に見せるのはお断りしたい*2

 まあこれに限らず利便性と安全性はけっこう相反したりするわけで、結局は利点欠点を考えた上で総合的にどうするかを判断すべきであって、そしてなにも判断しなくてすむほど今の世の中は理想郷に近くない。自分の場合はこのバックアップの仕組みを利用しない道を選択したという、それだけのこと。誤解されないようにここで書いておくが、このバックアップ方式がそもそも駄目なのだとかAdobeさんの*3Flashは危険すぎるとかそういう意見ではない。

 しかし、しかしである。現実問題として文章の消失防止策は必要なのだ。それで自分は結局、こまめに手動でセーブできるローカルエディタでまず文章を書いて、それをブラウザ日記入力部分にコピー&ペーストして、そこでもこまめに保存しつつ調整とか修飾をして*4から公開、という手順でやっていこうと思った。もちろんこれはこれで手間が増える部分もあるのだけれど、こういうのこそが安全や安心のため支払うに値するコストというものだと自分などは思う。

*1:確認してないが、Windows環境でのInternet Explorerブラウザは例外であるかもしれない。

*2自分の場合、恥ずかしいいたずら書きをなんとなくしている瞬間もあったりするし。

*3:買収される前はMacromediaさんのものだった。

*4:現状ではログイン部分以外でSSLを利用できないはずだから、Submitなどのタイミングで暗号化されないデータが流れるのだし、そこで下書きを見られる危険性は皆無でもないわけだが。

トラックバック - http://d.hatena.ne.jp/maoo/20081212/1229089264