とあるエンジニアの現実的妄想

ということで、シュラッシュドットジャパンから

合否確認のためのシステム侵入で不合格に

まあ、ざっくり言うと、ヘタクソなシステムを作ったビジネススクールが、合格発表のデータを見れることがバレたのに逆切れして、見た人の合格を取り消したってお話だ。

「見て欲しくないファイルを勝手に見るのは非道徳的な行為」
という考えは一見普通の考えに見える。
というか、普通の考えで、私もその考えは正しいと思う。ある意味では。

ただし。そうとは限らない場合もある。
たとえば、駅の伝言板に落書きを書いたとしよう。そして、それを読んだ人に向かって、「その落書きは読んで欲しくなかった」というのはどうだと思う？

もちろん。
この場合は上の喩えは間違っている。

しかし、だ。
インターネット上で普通にアクセスできる範囲に参照できるデータは、公開されていると考えるのが普通だ。
公開していないなら、そのデータを見せるべきではない。

つまり、だ。
インターネット上で、「見て欲しいか見て欲しくないか」の切り分けは、システム的に実装されると考えるのが今のところ慣例だ、ということだ。

この慣例が正しいとは限らない。特に最近は、ＷＷＷの仕様を理解しないで、インターネット上にデータを公開する人が多いのだから。

その慣例が正しくないとしても。
システム的に、そのデータがアクセスを許されているかどうか判断できるようにしておかねばならない。

入学を取り消された学生たちは、ＵＲＬを手で書き換えている。
しかし、ＵＲＬを手で書き換えるというのは、一般的なＷｅｂのアクセス方法だ。

今回問題なのは、ＵＲＬを手で入力した時に、そのＵＲＬにアクセスして欲しくないのかどうかが、運営側から明確に示されていないことだと思う。
明確に示されているのならば、それが不正であると糾弾するのは当然に思える。

そして、明確に示すなら。
そもそも、アクセスできるのはおかしいんじゃないか？

スラッシュドットのコメントに、

＞　＃/.jerの中には、正規の方法以外でのデータ取得に関して寛容すぎる
＞　＃やつが多いような希ガス。
＞　＃・・・・なんて書くと、「何をもって正規とするのか」「Webにある
＞　＃データは全て公開されているものと思え」とか始める奴が出てくるん
＞　＃だろうな。

というのがあった。（引用にあたり、多少改行等を変更した）

まあ、言いたいことは理解できる。
だが逆に、世間一般として、アクセス制御を甘く作るＷｅｂ製作者に対して寛容すぎるんじゃないかと思う。

アクセス制御というのは、Ｗｅｂ製作者ができる唯一の「アクセスをして欲しくないデータ」を主張する手段だ。
それをおろそかにする業者に、Ｗｅｂアプリケーションを任せるべきではないと思うが、どうだろうか。

--ryuuri／りゅうり／流離