2004-01-09

近況

referrer 情報と google のキーワードが思わぬ exploit になる, という話をどこかで読んだことがある. たとえば, "*.aljazeera.net" のホストから "ビンラディン 新宿二丁目 イスラム料理の店****" というキーワードで検索した形跡が, 世界情勢とゲイバーとグルメが好きなある個人の日記ページに referrer 情報として残ったとしよう. このページは tdiary で運営されており, リンク元は公開されている. 愛読者の警視庁職員は現場に急行, 逮捕にいたった ... というようなケース.

実際にこう都合のいいケースはほとんどなさそう. ただ, HTML FORM の利用から思わぬ秘密が漏れることはある. 英語の苦手な同僚が仕様書を excite 翻訳 しているのを見て, そんな話を思いだした. 企業秘密の情報が翻訳サービスへ無防備に submit される, そんな事態は想像の範囲にある. 情報部門がこれを防ぐのは難しいだろう. いわゆる "身内の犯行" だから.

中央集中型のサービスつきまとうこうした不安への対策を考えた時, 相手 (例:excite.co.jp) を信用するという手はありうる. (中小企業のファイアウォールよりはよほど信頼できるかもしれない.) また社員を教育するなんて解決策はより現実的だ. ただ, コードによってこれを阻止するという考えを私は捨てられない. 分散検索や分散翻訳といったシステムを作る動機に, これらセキュリティ上の問題がなりはしないか. そう思いたい.

なお, 同僚が翻訳していた仕様書は公開しても問題ない open standard なものでした.