スパイスラボ神部です。

なんだか OpenSocial アプリに関するちょっと気になるエントリが出てました。

-GreaseMonkeyが好きだ！ - Favorites!

気になるエントリはこちら

-グリモンで OpenSocial - 知らないけどきっとそう。

まず、このエントリで「出来ること」として挙げられているのが

・（たぶん）JavaScript オブジェクトの取得と編集、更新ができる

ということ。

これにより、コンテキスト的には

・Viewer の ID などアプリ上に呼び出されているものが個人情報も含め奪取可能
（本来はアプリ上のみで処理されるべきものであるが、このような取得のされ方だと利用規約の範囲を超えるケースにあてはまることになるだろう）

・オブジェクト書き換えることでゲームのスコアを偽物に（ランキングなどもめちゃめちゃに？／これは対策しようがあるかもだけど）

・アクティビティになりそうな文字列があればそれをオーバーライドしてアプリ設計者側が意図しないメッセージをそのアプリの責任下で配信することができる

こんなんだと、もはや OpenSocial アプリ上の JavaScript API のみで構築されるアプリは利用者の良心をコンポーネントの一つとして仮定して設計するか、あるいは「ユーザは信頼できない」という立場をより強めて、外部サーバも織り交ぜた設計を行うということしかできないのでしょうか。でも、アクティビティ流す直前に同じことされちゃったらなぁ。どうしたもんだろうか。