ところで、Google Gadget のセキュリティってどうなっているんだろう。例えば、はてななんかはつい最近まで、<script>を不許可にしていたわけですが、Google GadgetはOKになった。となると、悪意のあるJavaScript CodeをGoogle Gadgetに仕込ませておいたら、結局それって、JavaScriptが直書きできるのとそんなに変わらないんじゃないかなぁ、と思った次第です。

で、中をみてみたら、一度JavaScriptを呼び出しつつも、最終的にはiframe内になっていたので、その辺の仕様変更によって影響をうける、ということらしい。

厳密に考えれば、JavaScript と iframe と ... で１個１個やばそうな例をつぶさないといけなさそうですが、とりあえず JavaScript Widget なるものを...と考えたのですが、、、どうもこの辺はブラウザの仕様をきちんと調べないとだめそうなので保留。

まぁ、Google Gadget で作ってくれれば、なんでもできるからいいよ、というので片付けることにします。いざとなったらRailsでかけばいいじゃん、ということで。後者を目的で作っているシステムなのにGoogle Gadget 頼みになっている気がしますけど。

この辺の仕組みが問題になるとすれば、Google Gadgetに登録できないけれども、外部のJavaScriptを再利用したい、というケース。で、Google Adsenseがそれに当たります。Google Gadget で提供されているAdsenseはたくさんありますが、これ、全部適当な(このガジェットを公開している人の所有する？)Adsenseキーを使って表示されるので、自分のAdsense収入にはならなさそうです。つまり貼り付けてもなんの意味もないと。。

なんかまとまりがつかなくなってきたので、もうちょっと考える。