このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ScriptDemon --AppleScript Plugin for Web Browser--

発言者:田中求之
( Date Wednesday, April 30, 1997 07:45:53 )


Royal Software より上記の製品がリリースされました。

ページに埋め込んでおいた AppleScript が、ブラウザで実行されるように
なる Plugin です。



→  ScriptDemon![tm]

石津@RJC さんからのコメント
( Wednesday, April 30, 1997 10:29:20 )

これは面白いものが。:-)

さすがにセキュリティにはいろいろと書いてますね。ActiveXの件もあるし。
ドメインへの認証が掛けられるというのは面白いですが、AppleScriptで動作
可能なソフトや機能にフルコンタクトできるというのは、やっぱしちょっと
ヤバイケースが出るんじゃないかなぁ....。

まぁPulg-inとして判って入れるのと、ブラウザとOSに勝手に組み込まれてい
る機能では大きな差があるとは思いますが、判ってない人はとことん判って
ない場合が多いですから...。(興味だけで入れてしまって、リスクもなにも
考えず、ドキュメントも読まないと...おっとこれは典型的Macユーザだ:-))

田中求之 さんからのコメント
( Wednesday, April 30, 1997 12:35:15 )

>(興味だけで入れてしまって、リスクもなにも
> 考えず、ドキュメントも読まないと...おっとこれは典型的Macユーザだ:-))

これって怖いですよね。

それと、やはり AppleScript が、ネットワーク経由で実行されることを想定した
環境になっていないというのが問題をはらみそうに思います。

tell application "Finder" to shutdown

なんてのがいきなり実行されたどうするやろ? Tanaka's osax が入ってたり
すると、アプリケーションを終了せずにいきなり落とせるんだけど (^_^;;

石津@RJC さんからのコメント
( Wednesday, April 30, 1997 13:04:33 )

>それと、やはり AppleScript が、ネットワーク経由で実行されることを想定した
>環境になっていないというのが問題をはらみそうに思います。

いやぁ、というかネットワーク利用という点では一応AppleTalkネットワーク
上ではプログラムリンクが必要なわけだし、Macの総合的な環境のなかで利用
されることを前提に、対応していると言えなくもないですが、まさかこんな
Plug-inなどとゆー手段で、リモートのスクリプトがローカルマシンのユーザ
動作として使われることは、予想だにしていなかったでしょうね。

プログラムリンクの仕組はそれなりに意味のあるものだと思うのですが、こん
なかわし方が出来るようになるとは...。おそるべし。:-)

Scriptableなフォーマッタなんかあったら大変だなぁ。:-)

狩野正嗣 さんからのコメント
( Wednesday, April 30, 1997 13:11:09 )

 そういえば以前「ascpt」プロトコルの実験を個人的に
行っていましたが、実用性よりも安全性の問題で断念した
覚えがあります。

 AppleScriptそのものはActiveXに比べて安全だとは思
いますが、Finderを扱うことができるというのは怖いです
。shutdownならまだいいですが、「フォルダをゴミ箱へ
移動/ごみ箱を空にする」を実行されると困りますね。基
本的にシステム関連のファイル以外は何でも消去できるこ
とになりますから。

 Excelが起動していたら開かれているドキュメントの内
容を改変して保存してしまうスクリプトも簡単にできます
よね…

鈴木@Macintosh Lab. さんからのコメント
( Tuesday, May 06, 1997 01:30:10 )

ascpt:は狩野さんだったんですか。
私はこれがやってみたくて自分でURLテキストのデコード用スクリプトを作りました。
でも,やっぱりこわくて実用化できません。
消去しなくても◯かすだけで...
とてもこわいですね。
ソースがいつでも見れるようになっているとはいえ,他の人の書いたソースは
見ても何が書いてあるのかわからないことが多いし,やはりネットワーク経由の
AppleScriptを進んで使う気にはなれません。

狩野正嗣 さんからのコメント
( Tuesday, May 06, 1997 12:23:21 )

 ascptプロトコルは私が定義したわけではありませんが (^ ^;)

>ネットワーク経由のAppleScriptを進んで使う気にはなれませ
>ん。

 同感です。これが一般化すると問題を起こしそうですね。


田中求之 さんからのコメント
( Tuesday, May 06, 1997 17:42:16 )

セキュリティのことを考えると、確かにインターネット上の色々なページで
JavaScript のように AppleScript が使われるということは考えられない
でしょう。

ただ、Plugin の説明にも書いてあるように、イントラネットでのマシン管理
など、限定された範囲で、スクリプトの責任者も特定でき、信頼できる(信頼
するしかない (^_^;; )状況では、それなりに使えるツールだと思います。

だからこそ、ライセンスによる配付という形態をとるのでしょうね。普通、Plugin
だったら、低価格で販売するか、配っちゃうもんでしょから。

ただ、純粋にスクリプトの問題として、たとえば Finder なんかであれば
どのマックにも入っているからよいとして、特定のアプリケーションに依存
するスクリプトなんて、うまく動くのかな? コンパイル済みのスクリプトを
他のマシンで動かそうとすると、最低でも「〜はどこですか?」っていう
うっとおしいダイアログが出てくるし( FaceSpan はこの点はうまく回避
してますけど)、そうでなくてもうまく行かないことがあったりしますよね。


狩野正嗣 さんからのコメント
( Tuesday, May 06, 1997 19:17:10 )

>イントラネットでのマシン管理

 確かに「使える」とは思いますが、やっぱりちょっと怖
いですね (^ ^;) セキュリティにしても、どこに穴があるか
まだ全く分からない段階ですし。

>特定のアプリケーションに依存するスクリプトなんて、
>うまく動くのかな?

 このあたりを回避できるかどうかが、実用上最大の問題
かもしれません。もし毎回ダイアログが表示されるような
ら、使いにくいことこのうえないですね (^ ^;)

田中求之 さんからのコメント
( Saturday, May 17, 1997 13:13:45 )

ScriptDemon のセキュリティに関して、Royal Software の社長の Ro Nagey 氏の
コメントが HyperCard ML に流れていましたので、参考までに紹介しておきます。

======

As our press release went to great lengths to point out, ScriptDemon [tm] 
is a product that allows you to run AppleScript over the Web. This also 
means that that's why we're so vocal about the security issues. 

Within an Intranet, this would be difficult to 'hack' - I've talked with 
a number of veery large Intranet webmasters who are more than aware of 
the potential problems and their security already in place precludes a 
great deal of their worries.

Over the Internet, the potential for problem is perhaps greater - which 
is why the end-user [at the browser] will have to _actively_ select to 
run the AppleScript and will be able to view the AppleScript prior to its 
execution. In addition, our licensing agreement requires that the user be 
directed to a page that explains what ScriptDemon is and what it is 
capable of. Finally, the product is priced at a price point that should 
preclude casual hacking.

The long-and-short of it is this: Would I execute an AppleScript over the 
Internet from, say, Apple? You bet! Would I do it from Joe's Body Shop 
and Code Hacking Garage? No.

In essence, however, remember that you can also ftp programs over the net 
that have never been reviewed by a third-party. When you double-click 
them, who knows what they will do - I guarantee that the mahority of them 
do not include their source code.

You also mention that AppleScript is Mac-only. Today, that is correct. 
However, the last figure I read showed that Macs are something like 
1-in-5 on the Web [about double their market share]. That's not  bad for 
a target audience! ;)

Ro Nagey
Royal Software, Inc.
[including Heizer Software]

===