アカウント名:
パスワード:
ですね。「JavaScriptでファイル読み込み=危険」といった脊髄反射的な書き込みが散見されますが、よくよく考えれば、必ずしも危険になるわけではないことが分かります。
アップロードファイルのサイズ制限なんかはよくある要件(現状のJavaScriptでは不可能)ですし、ファイル内容の簡易チェックなんかもクライアント側で事前に実施することでユーザの利便性向上も期待できます。
最近はFlashを使ったファイルアップロードが増えてますが、JavaScriptで同様のことができるようになるかな。
> 最近はFlashを使ったファイルアップロードが増えてますが、JavaScriptで同様のことができるようになるかな。つまりこれもFlash置き換え戦略の一環。
>むしろサーバにアップロードされずクライアントサイドで完結する分だけセキュアな感じがします。
本当にクライアントサイドで完結してサーバにアクセスしないならそうだろうけど、インターネットアクセスを禁止でもしない限りいつでもサーバにもその他のインターネットにもアクセスできるでしょうし、全くの錯覚でしょう。そもそもスクリプト自身がインターネット上のサーバにある場合も実運用上多いでしょうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
利便性より危険性 (スコア:1)
デフォルトでOFF できればUACみたいなの希望です
#アンチウイルスソフトでブロックするのが常識、とかいう未来は嫌ですね
Re:利便性より危険性 (スコア:2, すばらしい洞察)
<input type="file"> →[POST]→ サーバ →[XHTRなど]→ クライアントサイドスクリプト
サーバを経由しないで取得できるようになるだけで、出来ることは増えていません。
<input type="file"> →[FileReader]→ クライアントサイドスクリプト
むしろサーバにアップロードされずクライアントサイドで完結する分だけセキュアな感じがします。
それにJSのバグによるセキュリティホールを気にするなら、JSの実行自体をUAC的なものでブロックすべきでしょう。File APIだけではなく。
Re: (スコア:0)
ですね。
「JavaScriptでファイル読み込み=危険」といった脊髄反射的な書き込みが散見されますが、
よくよく考えれば、必ずしも危険になるわけではないことが分かります。
アップロードファイルのサイズ制限なんかはよくある要件(現状のJavaScriptでは不可能)ですし、
ファイル内容の簡易チェックなんかもクライアント側で事前に実施することでユーザの利便性向上も期待できます。
最近はFlashを使ったファイルアップロードが増えてますが、JavaScriptで同様のことができるようになるかな。
Re: (スコア:0)
> 最近はFlashを使ったファイルアップロードが増えてますが、JavaScriptで同様のことができるようになるかな。
つまりこれもFlash置き換え戦略の一環。
Re: (スコア:0)
>むしろサーバにアップロードされずクライアントサイドで完結する分だけセキュアな感じがします。
本当にクライアントサイドで完結してサーバにアクセスしないならそうだろうけど、
インターネットアクセスを禁止でもしない限りいつでもサーバにもその他のインターネットにもアクセスできるでしょうし、
全くの錯覚でしょう。
そもそもスクリプト自身がインターネット上のサーバにある場合も実運用上多いでしょうし。