ここでいう Widget も Gadget も X11 の用語としてのそれ。ブログパーツの事でもなければ、小型の電子パーツの事でも無い。ちなみに最近は Gadget は RectObj と言うらしい。昔はガジェットだった気がするんだが…。

X11のシステムと言うのはhttp://ja.wikipedia.org/wiki/X_Window_Systemを見てもらえば判るとおり、1987年(21年も前だよ!!年を食ったわけだ)に作られたウィンドウシステムだ。こいつの特徴はhttp://ja.wikipedia.org/wiki/X_Window_System_%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB%E3%81%A8%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3にあるように、Xserverはひたすらウィンドウという名の矩形領域を管理してウィンドウを描画する事にある。各矩形領域に何をどう描くのかは基本的にはクライアントが決める。サーバはひたすらその指示通りに描画する(文字を描くとかそういう部分はサーバが頑張るが)。

で、そんな単純なシステムで、Gnomeのようなものを動かそうとする場合、Clientは膨大な量の「ウィンドウ」をServer上に作り続ける。Window Manager なんかはその酷い例で枠を含めた全体で１つ、右上や左上などにある「ボタン」ごとに１つ、枠も縦横それぞれ2つづつ…もちろん、管理「される」側のウィンドウもいくつもウィンドウを作り、それぞれがその下にあるウィンドウに対する相対位置で制御されていた。おかげで、大昔の非常に遅いマシンでウィンドウを動かすと、root window に近い側から順に再描画し直すのが全部見えるという…

もちろん、そのような仕様になっているのには理由があって、ウィンドウごとにXserverがイベントを管理してくれたのだ。「最大化ボタン」を押したら「最大化ボタンを表示しているウィンドウ」にクリックイベントが発生し、それがクライアントに飛ぶ…と言う具合だ。クライアント側がいちいち「全体におけるカーソル位置がここだからこれは最大化ボタンで…」などと考えなくてよくなる。負荷バランスと言う観点からは非常に優れている。

で、このウィンドウをぐりぐりつくりまくるときに、1つ1つのウィンドウをクライアント側では Widget というデータ構造で管理する。すごく乱暴に言うと1つのウィジェットは1つのウィンドウにマップしていて、クライアントはウィジェットに「あれして、これして」と頼むわけだ。

が、ウィジェットは重たい。そこで、Xtライブラリはウィジェットの上に一層だけ「仮想的な矩形領域」を用意した。これが RectObj とか Gadget と呼ばれるものだ。Gadgetの存在を X11 サーバは知らない。Gadget の Widget への命令変換(主に座標変換だが)はクライアント側で行われる。ウィンドウの形が変更されると Gadget は大騒ぎになり、クライアントのCPUパワーとメモリを喰いまくるのだが、その結果だけがXserverに送られるのでXserverの負荷は軽くて済む。通信量と、server, client のそれぞれの負荷状況によっては Gadget の方が実装としてはよい負荷バランスをもたらしたりする(が、そのバランスは3年もすると崩れる。この辺りはなかなか難しい)。

.

えー、なぜこんな昔話(いや、まだ現役ですって)を延々したかというと。「はてなブックマークの新しい登録ブックマークレットは危険」という表の記事。これの「
はてなはそういうインターフェースにするべきではない、というのはいいのだが…」。これに対するコメントに
http://srad.jp/security/comments.pl?sid=428647&cid=1463656

うわー、なんかものすごい危険な大発明しちゃってませんか？
ブラウザごとにそれぞれの標準スキンそっくりの嘘URL表示することだってできちゃいそう。

というのがあったからだ。

X11を知っている人からすれば、これは出来て当たり前の機能だ。

ウェブブラウザというのは、大きなウィンドウ上に文字やら絵やらを配置して描画してくれている。これは強大なGadgetレンダラだ。間違いではない。WidgetではなくGadget。存在する Widget は、本来たった一つ。あなたが見ているページ全体を矩形領域として管理している、Widget だけだった。

Gadgetは Gecko なら Gecko が大雑把に1つのソースからやってきた HTML を元に描画を行う。画像はあっちからとかムービーはこっちからとか、その辺はばらばらだろうが、本質的に全体を制御しているのは1つの html ファイルで、ここは揺るがない。1つの html は 1つのWidget に対応し、そのhtmlをどこから持ってきたかは、上部のアドレスバーに書いてある。

しかし、擬似ウィンドウは「Gadget 上に搭載されたWidget」だ。Javascript を用いて全く違う所から持ってきた描画エンティティを、root Widget 上に描かれた「絵」とは独立したWindowとして描画できるようになっている。

ということは、擬似ウィンドウの上には、Window Manager から何から何まで、全部、root Widget とは別の所から持ってきたものを描ける、と言うことだ。しかも root Widget に対する相対位置は常に制御可能。

ウィンドウマネージャーのように外枠をつけて動かす事もできるし、画面上の一定場所に固定して動かさない事もできる。描画面に対して動かないようにする事もできるけれど、「1つのページ」として定義された矩形領域に対しての相対位置を動かさないようにする事もできる。

さらに言えば、その矩形領域を「透明」にしておいて、なおかつ入力領域に対するキー入力等だけは拾う…なんて事も自在なわけだ。

.

高木先生はGUIが悪いという。安全性を確認できないから、と。でもブラウザ上で複数の Widget が動くようになってしまった今、安全性はどのみち確保できない。

乱暴な話、入力領域にカーソルを載せて「プロパティ」を確認しない限り、余計な「透明Widget」が存在しない保証などどこにもないのだ。

擬似ウィンドウは「確かに」URLを確認しにくい、と言う意味においてよいインターフェースに見えないかもしれない。が、ポップアップウィンドウだろうが、別途ログイン画面に飛ぶのだろうが、インターフェースがどうであれ、その「ウィンドウ」上に複数の Widget が存在できるだんかいで、「プロパティ」をチェックする以外、安全性の確認方法は無い。

というわけで。

実は高木先生のソース記事には解決策は書かれていない。あれでは全然足りないし、もはや打てる手は無いのだ。全てのページを SSL 通信にして、鍵と署名を全部でチェックするのでも無い限り…。