2014年4月5日土曜日

受け取り後の詐欺

Clip to Evernote
情報リテラシー、と耳にしたことのあるかたは多いと思います。
詳細のところはよくわからないものの、情報リテラシーの名のもとに、情報工学のまわりの知識が広まるのは悪くありません。

その関係で、専門的にでなくとも、クロスサイトスクリプティング(cross site scripting(以降は省略して XSS と書きます))をご存じのかたは多いでしょう。

非常に簡単にご紹介します。

XSS は、インターネットで悪いことをする人が採る手法のひとつです。悪いことというのは、不正なアクセスがあってパスワードが流出した、のような類のものです。詐欺などではありません。

ウェブページにあるテキストボックスやテキストエリアをご想像ください。ふつうは、文字や文章を入力するところです。XSS とは、そこにプログラムコードを入力して、ウェブページの管理者が予期しない何かを引き起こそうとするものです。

イメージが湧きますでしょうか。何となくで構いません。
テキストを入力するところが問題になるわけです。

当然ながら、テキストは入力しておしまいにはなりません。入力と、それを受け取って出力するところがあります。
ゆえに、XSS を防ぐ対策はこのいずれかに着目して施すことになります。

人類が積み重ねた経験からか、回答はすでに出ています。XSS とは何か、のように抽象的で無駄なことを必死に考えなくても大丈夫です。
XSS は、出口で防ぐのが基本と言われます。入力ではなく、出力のところで対策するのです。

あり得るすべての入力の組み合わせを想定して、対策するのは容易ではありません。ひとつのウェブページに、テキストボックスがいくつもあるかもしれません。あれもこれも気にしなければならず、入力チェックは大変なのです。

一方で、出力を気にするのはそれほどでもありません。
問題を起こしそうな文字を覚えておいて、発見したら、そこだけ少し書き換えてしまえばよいからです。

入力は許すけど、そのままでは出力させません、という思想です。
入力は許しません、とするよりは難しくないのです。

テキストボックスは、もともと入力させるための装置です。おいそれと入力を遮断するわけにはいきません。
この程度の説明で恐縮ですが、入力を許さないような方針が大変そうなのはご同意いただけるでしょうか。

リテラシーといえば、以前、『メディア・リテラシー』(菅谷明子)との書籍を読みました。
イギリス、カナダ、アメリカの三か国におけるメディア・リテラシーへの取り組みについて、実態をまとめている本です。同書の言葉をお借りすれば、「メディア・リテラシーの現場レポート」です。

いずれの国についての現場レポートにも、教育現場の話題が多く登場します。学校の授業の中で、メディア・リテラシーを取り扱う事例があるようです。
ここでいうメディアは、新聞、雑誌、映画、広告、ミュージックビデオなど、様々にあります。それぞれについて、造詣のある先生が中心となって、読み方、接し方を教えておられます。
授業の時間で映画を見て、たとえば、「勇敢なプリンスと助けを求めるプリンセス」というステレオタイプについて議論したりするそうです。

読み方、接し方については、随所に「批判的」という言葉が登場します。同書に解説がありますので、そのまま使わせていただきます。

「批判的」(クリティカル)とは、「否定的に批判する態度・立場にある様子」といったネガティブな意味合いではなく、「適切な基準や根拠に基づく、論理的で偏りのない思考」という建設的な思考を指している、とのことです。

大変に好ましく感じました。注意深く、建設的に、すなわち批判的に、私もありたいものです。

現場レポートである同書からは、メディア・リテラシー教育における問題点もうかがえます。
ひとつには、教えられる人が少ないという問題があります。映画や広告などに造詣のある学校の先生は、多くいるわけではないのです。また、映画に詳しい先生なら、映画を見ることについては教えられますが、広告についてはできません。メディアは多様にありますので、この点はどうしても難しくなります。

同種の問題もあります。メディア・リテラシー教育を整備している間にも、新しい種類のメディアが発生してくることです。現代で言えば、間違いなくウェブのメディアが該当するでしょう。
原理的には、新種のメディアが生まれるたびに、制度と先生を準備して授業を進めなければなりません。映画のリテラシー教育は必要で、他のメディアについては不要だとするのは妙なのです。

率直に考えれば、かなり困難なことです。個別のメディアを取り扱う限り、メディア・リテラシー教育はいつも不十分になってしまいます。

XSS が思い出されます。様々な入力についてではなく、受け取った後のところで対策するものでした。
多様なメディアを、人が個別に受け取るところではなく、受け取った後に理解して解釈するところで、なんとかできないものでしょうか。

幸いにも、対策の方針は明確になっています。「批判的」であることです。

このような意味で、XSS とは何か、のような抽象的で無駄なことを考えるのは、具体的で役に立つ対策であるわけです。

何やら、煙に巻いたような書き方になってしまいました。詐欺などではありません。


終わりに


クロスサイトスクリプティングの説明には苦労しました。
細かすぎず、大雑把すぎず、嘘にならず、妙な比喩をせず、書いてみたつもりです。