昨日の続き。

前提とすべき２点目ですが、
「SSTP送信者がゴーストを自由に乗っ取れる」という表現は、正確さを欠くという事です。

なぜなら、この表現には「ユーザの意図」が含まれていない。

どういう事かというと、「ゴーストに金だらいを落とす」というアプリが有った場合、ユーザはそのゴーストに金だらいを落とすことを期待してそのアプリを起動するわけです。つまり、ユーザはその状況を望んでいるということになります。
あたりまえの話ですが、それが何よりも重要なことです。

SSTPは仕様上「標準機能であり、ゴースト側(＝デベロパ)は基本的に拒否できない」ですが、これはあくまで「ユーザのニーズに合致した」という前提の元での話です。

そしてSSTPの議論はつまるところ「ユーザの意図」と「デベロパの意図」の優先順位付けを意味します。

SSTP送信者はユーザにとって「道具の提供者」でしかなく、
彼らがユーザの権利を掲げる事はできても、ユーザを代表できるかどうかは別の話なのですね。ユーザがそのSSTPを望むかどうかは自由だからです。

この辺はややこしいので事前に整理しておくと良いと思います。

一方、「ユーザが意図しない＝SSTPだと気付かない」状況については全く別の話で、これは単純に、知らないソフトに「関係ないファイル更新された」とか「個人情報抜かれた」とかと同じで、“可能かもしれないが行儀が悪い”行為、ということで普通に非難されて良いと考えます。

まぁそんなところ、たぶん、もうちょっと続きます。