[Date Prev][Date Next][Thread Prev][][Date Index][Thread Index]

Re: Forward: Bug#447728: Annoying "leaving secure page" yornp



>>>>> In [emacs-w3m : No.09779] 土屋さん wrote:

>>y-or-n-p を skip する条件として

>>・w3m-confirm-leaving-secure-page が nil
>>・対話的に使われたコマンドが以下のどれか
>>  w3m w3m-bookmark-view w3m-dtree w3m-goto-url w3m-history
>>  w3m-redisplay-this-page w3m-reload-this-page w3m-submit-form
>>  w3m-view-next-page w3m-view-previous-page w3m-view-header
>>  w3m-view-source

> w3m-redisplay-this-page, w3m-reload-this-page は,そもそも URL が変化しな
> いはずのコマンドなので,検査しなくても良いはず(後段の URL の検査で secure
> だと判定されるので)だろうと思います.

これらは string-match より memq の方が軽いからという判断によりま
した。

>>・url が "\\`\\(?:about\\|https\\|ftps\\)://" にマッチ

> url が about:// の場合を許可するのでしたら,this-command が,

>     w3m-bookmark-view, w3m-dtree, w3m-view-header, w3m-view-source

> かどうかを検査しなくても良いはずではないでしょうか.

これらも同様でした。ただ、速度が問題になる場面ではないし、こんな
言い訳が要らないすっきりしたコードにすべきですね。

> ただし,about:// に抜けるのを許可するのは,私としてはちょっと異論があり
> ます.

>     https://〜 => about://bookmark/ => http://〜

> という状態遷移をして,安全でないページに移動した時に,警告されるチャンス
> がなくなってしまいますので.

これはユーザーが自分が何をしようとしているかを理解しているはずだ
という観点から、土屋さんが最初に提示された「明示的に URI を入力」
に通じるものだと判断しました。

> そのため,w3m-view-header, w3m-view-source については警告なしで遷移を許
> 可,about:// は警告するという対案を提案しておきます.

えーと、ぼくは強い意志を持ってこの件に臨んでいるわけではまったく
ないので、決定は土屋さんおよび他のみなさんにゆだねようと思います。

> 逆に,w3m-submit-form は,絶対に警告しなければならないコマンドでは?
> https://〜 にいるからと安心して form を送信してみたら,実は,送信先は
> http://〜 だったというのは大問題ですから.

なるほど。正直なところ、ぼくはそういう問題意識をほとんど持ってい
ないのですよ。じゃあ他の web ブラウザで警告が出ないようにしてい
るかというと、それもしてないのですが。単に自動的に手が allow ボ
タンを押すようになっている気がします。

> 基本的に安全サイドに倒しておく方が良いと思うのです.その意味では,上記の
> ような実装が完了したら,w3m-confirm-leaving-secure-page を廃止したいくら
> いに思っています.

*-w3m-safe-url-regexp の値がカスタマイズ可能になっているのと同様、
ユーザーが自分の足を撃つことができるようにしておく必要はいちおう
あると思いますよ。
-- 
山岡