トラックバックの送り方
http://artifact-jp.com/mt/archives/200309/sendtrackback.html
http://deztec.jp/design/
徳保さんの意見はおかしい。システムは慣習や規範とセットです。あなたはほかの件でも、あたかもそういうシステムに実装的に可能なことと、理念的、慣習的に許容されていることを混同している。実装的に可能でそのことを実装レベルで不可能にしていないということは、かならずしも慣習的理念的にそういうことをしていいとみなされていることにはならない。メディアリテラシーをいうなら、もちろん、当然あたりまえに、トラックバックが誰でも送りうるものであることはずっとまえから認識しているし、そういう本人以外のトラックバックかもしれないとして疑ってみることが必要であることも認識しています。(実際、私はそういう意味での「勘違い」をしたわけではない)そのことと、そういう送り方を、理念的、慣習的、規範的レベルにおいて、許容する、普通のものとみなすべきかどうか、というのは、まったく別の話です。そういう規格のレベル、規範のレベルで予想されていない使用、あるいは許容されていない使用は、きちんと実装レベルでできないようにしておくべきだ、というのは、実装側、規格設定側の倫理であって、使用者側の倫理は、たとえ実装レベルで可能であっても、慣習的、理念的規範的に許容されていないのなら、やらない、というのが倫理でしょう。
あなたはあたかもそうしたトラックバックに関する慣習や概念、一般的認識はまったくゼロで、はだかでCGIそのものに個人が単独で出会うような捉え方をしている。
そしてでは事実認識として、トラックバックにおいて、本人以外が送ることが想定された使い方であるという認識は一般的ではありません。その認識を今後どうしていくかは、議論すべきニュートラルな事柄であって、それを「実装では可能だし、これまでそういう議論もなされていないのだから、可能なことを許容しないのは勘違いである」という論法は間違っています。いいですか、この場合のこういう規範的、理念的、慣習的にトラックバックをどう考えるか、どうしていくか、ということは、実装として現在トラックバックがどういうものであるかに従属するのではなく、実装のほうがそちらに従属すべきものです。ですから、実装の現状を理由に、慣習の現状を勘違いとみなすのは間違いです。「トラックバックは本人にしか送れない」と考えるのは勘違いですが、「本人しか送るべきでない」と考えるのは勘違いではなく、ひとつの立場です。そしてそれがもしコミュニティなりなんなりで優勢になれば、必要ならば実装のほうを変えればいいのです。くりかえしますが、あたかもトラックバックの実装は動かせない所与のように考えること、そのようにシステムを所与として考えユーザー側がそのシステムを前提にしてしまって従属しなければならない、逆にいえばシステムが許容していれば何をしてもいいという論理は間違っています。実装と慣習や理念が食い違っているなら、問題視されるべきは実装や規格のほうでしょう。
そして強調しておきますが、わたしはかならずしも本人以外がおくることを非としていっているのではなく、本人が送ったものと閲覧者がみなすという背景においては、本人以外が送った場合、閲覧者に本人が送ったという勘違いを与えることは、場合によってはやっていないことをやったとみなされるという意味で、不利益になることがありうるのではないか、ということです。
ついでにいえば。パスワード認証が簡単に可能であるというのは間違いです。送ったメッセージそのものが本人によっておくられたものであることを証明するためには、メッセージそのものに暗号を組み込まなくてはなりません。送信CGIにログインする段階で認証を組み込んだところでメッセージそのものに組み込まない限り、認証を組み込まないCGIを設置すればすむことで、そしてメッセージ自体に認証を組み込むには公開鍵型の暗号を組み込むような、規格の大幅な、後方互換性のない改変を必要とします。
わたしは事実認識としては、トラックバックは本人が送るものという想定があったし、それはあまり動いていないだろうと思っています。それは「トラックバックをいただきました」とか「トラックバックありがとう」というような物言いがなされることからもいえます。リファラの場合はそういう言葉遣いはしません。そうではない送り方を想定されたものの範囲内に含めるには、だから、いちおうあらたに議論が必要だろう、そう思います。(ぼくはそういう送り方を否定したいわけではありません。ただそれなりに、実装や慣習レベルでも対応した変化がなければならない、ということです)では、想定されてないことが可能なことが認識されたのになぜ規格なり実装なりでできなくされなかったのか、というと、ぼくは技術的な互換性や手間の問題、もっとはっきりいえば最初の企画がアドホックだったために、互換性を保ちつつそういうリスクを規格レベルで禁止するのがはなはだ困難だったからではないか、と思います。(じっさい、最初はGETアクセスでおくれたのですから、たとえば掲示板にそのURLをはれば誰でもspam的に送れました。しかし規格がそういう状況だったときに、そういう使用が許容されていたと考えるのは当然間違いでしょう)必要なことは規格に反映されるはずだから、規格に反映されてないということは必要ではないということだ、という論法はたいていの場合、真ではありません。また、実用上から言えば、たいていの場合リンク解析している状況では、本人にすぐばれるので、「なりすまし」という意味で深刻な問題にはなりにくいので必要性が感じられなかったということもあります。(ただし今度は本人の言を信用するしかないのですが)