Web の場合その仕組み上、クライアント側で閲覧している人(閲覧者)はサーバー側でサービス提供している人(サービス提供者)に意図する動作を一任する以外に方法がありません。 つまり、閲覧者が意図している動作は、サービス提供者が意図した動作をすることです。 この前提がなければ、JavaScript などを用いてクライアント側で動かすコードはすべて不正指令電磁的記録になってしまいます。
ただし、ローカルファイルの操作をはじめとして、ソフトのインストールなど、無制限に行われては困る動作もあります。 このため、JavaScript などを web ブラウザ上で動かす当たっては、意図に反する動作を防ぐための制限を設けています。 つまり、その制限の範囲内であれば、それは意図した動作です。
そもそもの話で言えば、技術的には全くの白である Coinhive のようなスクリプトをマルウェア扱いしている状況は極めて異常です。 仮に web サイトのハイジャックで不正に設置される事例が多発しているとしても、例えば jQuery をマルウェア扱いはしないでしょう。 Ad ware と同一視されている可能性もありますが、ローカルにインストールされるならまだしも web 上で動作している限りは、ウイルス対策ソフトが見向きもしない大半の広告と同様に扱われて然るべきです。
Coinhive のようなソフトは CPU 時間を消費する以外のほとんど実害はありません。 画面上に無駄な情報を表示しない点に至っては、閲覧者にとって広告よりも望ましくさえあります。 広告の代替と考えるなら Ad Block と同様にしてブラウザ側でブロックさせればすべては丸く収まることでしょう。
意図に反する動作とは何かという極めて重大な問題 (スコア:4, すばらしい洞察)
動作を意図する主体が誰かという問題があるんですけど、ここを踏み外してもらっては困るんですよね。
Web の場合その仕組み上、クライアント側で閲覧している人(閲覧者)はサーバー側でサービス提供している人(サービス提供者)に意図する動作を一任する以外に方法がありません。
つまり、閲覧者が意図している動作は、サービス提供者が意図した動作をすることです。
この前提がなければ、JavaScript などを用いてクライアント側で動かすコードはすべて不正指令電磁的記録になってしまいます。
ただし、ローカルファイルの操作をはじめとして、ソフトのインストールなど、無制限に行われては困る動作もあります。
このため、JavaScript などを web ブラウザ上で動かす当たっては、意図に反する動作を防ぐための制限を設けています。
つまり、その制限の範囲内であれば、それは意図した動作です。
セキュリティホールなどを利用して、それらの制限を迂回した場合は、閲覧者の意図した動作に反します。
XSS なんかはブラウザから与えられた制限の範囲内で動いてますけど、(閲覧者が動作の意図を一任している)サービス提供者の意図した動作に反します。
Coinhive などをサービス提供者に無断で仕掛けた場合も同様なので、意図した動作に反します。
サービス提供者は、何らかの規則に反しない限り、サービス提供に必要なスクリプトを自由に設置出来ます。Coinhive もそのようなスクリプトの1つに過ぎません。
閲覧者に Coinhive の設置を周知する義務があるか否かは今のところルール化されていません。それは他のスクリプトについても同様です。同様にルールが無い中で Coinhive のみ特別扱いして周知せよというのはおかしな話です。
広告などは閲覧者の意図に動作に反する場合も多いのですが、意図を一任しているサービス提供者の意図なので仕方がありません。Web ページにも運営費は必要ですから、これはギブ・アンド・テイクの問題でもあります。サービス提供者の意図を容認できないならそのページを見ないという自由が閲覧者にはあります。
サービス提供者が自ら Coinhive を設置した場合も広告と同様です。Coinhive が意図に反するなら、見る見ないは閲覧者の自由です。
以上のように Coinhive 自体は技術的にも刑法の文言的にも、本来、不正指令電磁的記録になりえません。
ただし問題をややこしくしているのは、ウイルス対策ソフト各社が https://coinhive.com/lib/coinhive.min.js [coinhive.com] (5d514880ad502302dd4bf0ef8da5d38356385d1c43689f6739f6771ed7a4ef73) を名指しでマルウェア扱いしている点です。
しかも時系列的に見るとマルウェア扱いしているところが増えてさえいます。
2018-04-11 12:44:01 UTC [virustotal.com] 30/60
2018-06-15 00:00:17 UTC [virustotal.com] 33/60
これを論拠にすると Coinhive は不正指令電磁的記録と言えてしまいます。
なぜなら、マルウェア判定されるソフトを自分のコンピュータで動作させることは意図した動作に反するからです。
しかし、そんなこと論拠にされた日には、誤検出でマルウェア扱いされたファイルまで片っ端から不正指令電磁的記録にされてしまいます。しかもウイルス対策ソフト各社はそれを誤検出と認めてくれるとは限りません。
そもそもの話で言えば、技術的には全くの白である Coinhive のようなスクリプトをマルウェア扱いしている状況は極めて異常です。
仮に web サイトのハイジャックで不正に設置される事例が多発しているとしても、例えば jQuery をマルウェア扱いはしないでしょう。
Ad ware と同一視されている可能性もありますが、ローカルにインストールされるならまだしも web 上で動作している限りは、ウイルス対策ソフトが見向きもしない大半の広告と同様に扱われて然るべきです。
Coinhive のようなソフトは CPU 時間を消費する以外のほとんど実害はありません。
画面上に無駄な情報を表示しない点に至っては、閲覧者にとって広告よりも望ましくさえあります。
広告の代替と考えるなら Ad Block と同様にしてブラウザ側でブロックさせればすべては丸く収まることでしょう。
これを恣意的な判断で違法行為として検挙するようでは、日本に IT 立国としての未来はありません。
uxi
Re: (スコア:0)
バイナリ配布は、あぶないな。ソース配布が一番か。(テキストファイルをウイルス扱いする可能性は、低下するから。)
Re: (スコア:0)
>ただし、ローカルファイルの操作をはじめとして、ソフトのインストールなど、無制限に行われては困る動作もあります。
>このため、JavaScript などを web ブラウザ上で動かす当たっては、意図に反する動作を防ぐための制限を設けています。
>つまり、その制限の範囲内であれば、それは意図した動作です。
サンドボックス内であれば何をやっても自由だと?
ウィルス作成罪検挙第一号がブラクラだったのを忘れたのか?
(もちろんブラクラとCoinhiveでは被害の程度は違うが。)
Re: (スコア:0)
問題とされているのは「無断」の部分なんですから、
「無断」だからこそ閲覧者の意図しない動作になってしまうんですから、
広告の代替にしたいなら承諾を得る形にすれば良いじゃないですか。
広告は無断で表示されているとか反論が成されてますが、
CPU時間の消費の上で(場合によっては)大きな差があるでしょう。
こういうとHDで60FPSの動画広告なら負荷は……というような反論がなされますが、
裏返せば、CPU時間については、そういう特殊な広告でしか正当化できないって事なんですよ。
さらにいえば、動画広告が隠されずに見える状態で設置されているのなら、
動画が再生されはじめた
Re:意図に反する動作とは何かという極めて重大な問題 (スコア:2)
ですから、これは新しく出てきた技術なので、今からコンセンサスを構築していく必要のある問題なんですよ。
承認を求めていない点は広告も同様です。
それについてはみんな我慢してるし、我慢出来ない人は Ad Block を使ってますよね。
画面上に無駄な情報を表示しない点が望ましいのであって、CPU の専有については望ましいとは言ってません。
しかし JavaScript はシングルスレッドなので、最大でも「1/CPUの同時実行スレッド数」の負荷しかかかりません。
CPU がマルチスレッド化している現在だと影響は限定的ですし、Coinhive に回す負荷の調整もしているなら影響は更に限定的です。
CPU 負荷を可能な限り 100% 持って行こうとするような行儀の悪い設置方法は閲覧者からそっぽを向かれるだけですから、そこは最低限配慮しないと結局は自分の首を締めるだけです。
良識のある人はある程度負荷を調整するでしょう。
これは、他の人がウィルス作成罪検挙第一号として挙げているブラクラとは決定的に違う点です。
閲覧者の閲覧を邪魔しては駄目なんですよ。
気づかれない程度に掘るのが良心的で、気付いちゃうくらい掘るのは業突張りです。
以上を踏まえて、最近よく見かける誤クリックを狙ったポップアップ広告と、慎ましやかな CPU 負荷の上昇ならどっちがウザイでしょう?
広告との対比では、これは純粋にギブ・アンド・テイクとただ乗りの問題です。
ページを見て何かしらの情報を得たはずですが、広告なら許せるのに、CPU 負荷なら電力を盗まれたと感じるのは興味深い意見でした。
なぜパケット容量を広告収入として盗まれたとは感じないのでしょう。
広告だと間接的で、採掘だと直接的なので、嫌儲感がより直接的になるのでしょうか?
記事より広告の方が多い業突張りなページなんて山のように見ますけど、気付かれない程度のささやかな採掘でさえも泥棒呼ばわりされるのなら気の毒としか言いようがありません。
ユーザーに何かしらの資源を浪費させてお金を得ているという点で本質は同じはずなんですけどね。
倫理観?広告なんて下手をすると成人向けのが平気で混ざるんですよ?
あれらの広告に倫理観があるならむしろ逆に驚きます。
子供だって見るのに、今のインターネット上の広告はあまりにも非倫理的でしょう。
これは結局、広告が辿った道と同じで、採掘スクリプトが CPU を持っていくのを防ぎたいニーズが出てきたら Ad Block と同様に採掘スクリプトをブロックしたり、CPU 負荷に一定の制限を設ける機能が追加されるんです。
採掘スクリプト実行の許諾が出るのと、ブラウザ側で一括ブロックするのと、どっちが楽かわ言うまでもありません。
システム的に自動的に採掘をブロック出来るならそっちの方が絶対に楽じゃないですか?
それなのに、いちいち許諾を表示しろなんて馬鹿げてます。
その一方で、Ad Block 使ってるから記事見せないぞというページがあるように、採掘スクリプト走らせないと記事見せないぞというページも出てくるでしょうけどね。
個々人の感情はいろいろあるでしょうから、Coinhive ウザイとか、言いたいことは大いに言ってもらえばいい。
そういうのがあって始めて、自動的に採掘をブロックする仕組みなんかも含めて、コンセンサスが緩やかに構築されて行くんです。
それなのに、技術的に見て後ろめたい点が何一つない物をコンセンサスの構築段階で、どういう使い方が良いとか悪いとかいう議論も一切ないまま、いきなり違法行為として摘発するのはいくら何でも乱暴過ぎるでしょう。
これを技術の目を摘む行為以外の何物だと言うのですか?
uxi
Re: (スコア:0)
漫画村とか保守速報とか、広告なら配信元に配信をやめてもらうことで資金源を絶つことができる。コイン堀りだとそれができない。
まあこのへんはウイルス罪うんぬんじゃなくて別の観点になるが。