[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Forward: Bug#447728: Annoying "leaving secure page" yornp
>>>>> In [emacs-w3m : No.09779] 土屋さん wrote:
>>y-or-n-p を skip する条件として
>>・w3m-confirm-leaving-secure-page が nil
>>・対話的に使われたコマンドが以下のどれか
>> w3m w3m-bookmark-view w3m-dtree w3m-goto-url w3m-history
>> w3m-redisplay-this-page w3m-reload-this-page w3m-submit-form
>> w3m-view-next-page w3m-view-previous-page w3m-view-header
>> w3m-view-source
> w3m-redisplay-this-page, w3m-reload-this-page は,そもそも URL が変化しな
> いはずのコマンドなので,検査しなくても良いはず(後段の URL の検査で secure
> だと判定されるので)だろうと思います.
これらは string-match より memq の方が軽いからという判断によりま
した。
>>・url が "\\`\\(?:about\\|https\\|ftps\\)://" にマッチ
> url が about:// の場合を許可するのでしたら,this-command が,
> w3m-bookmark-view, w3m-dtree, w3m-view-header, w3m-view-source
> かどうかを検査しなくても良いはずではないでしょうか.
これらも同様でした。ただ、速度が問題になる場面ではないし、こんな
言い訳が要らないすっきりしたコードにすべきですね。
> ただし,about:// に抜けるのを許可するのは,私としてはちょっと異論があり
> ます.
> https://〜 => about://bookmark/ => http://〜
> という状態遷移をして,安全でないページに移動した時に,警告されるチャンス
> がなくなってしまいますので.
これはユーザーが自分が何をしようとしているかを理解しているはずだ
という観点から、土屋さんが最初に提示された「明示的に URI を入力」
に通じるものだと判断しました。
> そのため,w3m-view-header, w3m-view-source については警告なしで遷移を許
> 可,about:// は警告するという対案を提案しておきます.
えーと、ぼくは強い意志を持ってこの件に臨んでいるわけではまったく
ないので、決定は土屋さんおよび他のみなさんにゆだねようと思います。
> 逆に,w3m-submit-form は,絶対に警告しなければならないコマンドでは?
> https://〜 にいるからと安心して form を送信してみたら,実は,送信先は
> http://〜 だったというのは大問題ですから.
なるほど。正直なところ、ぼくはそういう問題意識をほとんど持ってい
ないのですよ。じゃあ他の web ブラウザで警告が出ないようにしてい
るかというと、それもしてないのですが。単に自動的に手が allow ボ
タンを押すようになっている気がします。
> 基本的に安全サイドに倒しておく方が良いと思うのです.その意味では,上記の
> ような実装が完了したら,w3m-confirm-leaving-secure-page を廃止したいくら
> いに思っています.
*-w3m-safe-url-regexp の値がカスタマイズ可能になっているのと同様、
ユーザーが自分の足を撃つことができるようにしておく必要はいちおう
あると思いますよ。
--
山岡