パスワードフィールドを伏字にしない話、理念としては頷けるのだが、現状で徳丸さんの提案に従ってサイト側で実装するのは考えものかもしれない。問題は2種類ある。ひとつはアクセシビリティ、ひとつは特定環境におけるパスワード漏洩リスクの増大。さらに実装がばらつくことによる実効性の低下も懸念される。やはりこの手の基本的な UI の改良はブラウザ側で行われることが望ましい。

パスワードフィールドというのは見た目や振る舞いだけで区別されているわけではなく、HTML上で type="password" という風に通常のインプットフィールドとは違う type 属性値を与えられて区別されている。UA はこの属性値の違いによって振る舞いを変えることが出来る。伏字マスクもこの一種だ。しかし非伏字にするために通常の type="input" にしてしまうと本来ユーザーが享受できるはずだった UA による補助を受けられなくなってしまう可能性がある。

例えば音声環境においてはノイズによるマスキングがあるとかヒソヒソ声でしゃべってくれるとかそういう配慮があるかもしれない。しかし通常のインプットフィールドにしてしまうとそういった配慮も効かず、予期せず周囲に漏れてしまうような事故が起こるかもしれない。(※あくまで今適当に考えた例)

上記のようなリスクを回避するために徳丸さんは「デフォルトでは非表示」という事を言っているのだと思うが、現状サイト側でこれを実装しようと思うとやはり type 属性値を切り替えることになってしまう。その事自体にも上記のような問題があるが、サイトごとに実装やデザインがばらつくことによって似たようなインターフェイスの挙動が予測できなくなってしまうことも問題だ。

COOKPAD のケースはモバイル向けサイトのみでの実装ということで上記のようなリスクは比較的低いと思われる。というかそういう点を考慮して通常サイトでの導入を見送ってるのかもしれない。だがこれを見て闇雲にこれを真似た実装のサイトが出てきたらちょっと困るな、と思いました。
Shared publiclyView activity