Ajax とプライバシー

『Ajaxを非同期のパーソナライズナビゲーション生成に使う』で JavaScript を使ってマウスイベントを補足し、バックエンドでサーバに送信するというアイデアが示されていた。

インクリメンタルサーチなどの Ajax のデモを見ていて、ある種の気持ち悪さを感じたのがまさにこの部分だった。 自分の知らないところで勝手に情報が収集されているというのは、どうにも苦手だな。

もちろん、 Cookie や Web ビーコンや mixi の足跡や Amazon.com だって似たようなものかもしれない。でも、これらは『ページを見る／マウスをクリックする』契機で情報が送受信される訳で、マウスのカーソルやキーボードの入力だけで、勝手に通信が発生することはなかった。 それに、「情報が収集されている」という認識のうえで、ページを閲覧するという、心構えもできていた。

しかし、 Ajax の場合は知らないうちに情報を収集できてしまう。 いい方面に使うのであれば便利な技術だけども、悪用された場合の破壊力も大きい。 冒頭で紹介した ishinao さんの日記でも、悪用すればキーロガーが作れてしまうことと、これらのサービスを運営するにはサービスポリシーを明示することが必要だということが挙げられている。 これは全く同意。

問題なのは、悪意の有無を判断する簡単な方法が無いということか。 普通の人は、サイトごとに JavaScript の ON/OFF を切り替えることはしないだろう（Sleipnir のような、1クリックで切り替えられるブラウザを使っている人はともかく）。 かといって、毎回確認のダイアログを出すようにしても、面倒なだけで解決にはならない。 ActiveX のように署名付きのものとそうでないもので振る舞いが変わるようになるとも思えない。

Ajax がある程度広まったあと、悪意を持ったサイトが現れた時に、どのような解決策が出せるかが、この技術が成功するかどうかの分かれ目かもしれない。 バックエンドで自動通信をするスクリプトの場合、はじめにブラウザが警告を出すようにするのが一つの解…かな。

補足

JavaScript といえば、クリップボードの中身を取り出せるってことも知っておいたほうがいいかも。