iGoogleで勘違いしていた 。iGoogleガジェットは、 JavaScript で記述するのだけれど、必ずGoogleのサーバを 経由してコンテンツを取得しにいくので、JavaScriptで どこのサイトのコンテンツでもとりにいける。 普通、webサイトからダウンロードしたJavaScriptを駆動する場合、 そのJavaScriptからhttpでアクセスできるサイトは、 JavaScriptソースをダウンロードしたサイトに限られる。

って、iGoogleガジェットのマニュアルに書いてあったかなー? これって重要なことなんだけど。

  • https で iGoogleを開き、「ガジェットの追加」から 「デベロッパー」を開くと、検索ページに行ってしまう。
  • 泣く泣く http で iGoogle を開き、 「デベロッパー」 →「Google Gadgets APIの概要」を見ると、 iGoogleというキーワードがすでにない。たまらん。
  • iGoogleガジェットのしくみ」というリンクを開くと、 こう書いてある。
    iGoogle のガジェットを作成する前に、まずガジェットのさまざまな機能と、それぞれの関係について知っておくと便利です。iGoogle ガジェットの構造 のドキュメントをご覧ください。

    ふつう、その「構造」を説明するのが「しくみ」という見出しなのだが。 マニュアル内の循環参照無限ループが発生。

見ていると、ビジュアルの説明はあるけれど、セキュリティの説明がない。 http 認証については説明があるけれど、あくまで機能として。 だから。 iGoogleデベロッパーガイド(OpenSocial API v0.7)に、 http over SSL/TLS を強制する機能が見当たらない。