セキュリティとアクセシビリティって衝突しがちだと思っている。 このページでは常識的に考えればセッション一時間の寿命で十分でしょ、と思ってそうすると、障害がある人がとんでもなく長い時間かけて使ってくれているのを排除したりすることになる。

セッションの寿命の話だと結局セッションの寿命短くしたい理由が jwt や Rails の cookie store を使っていてステートレスに全部管理しているので指定したセッションだけ狙い撃ちで殺せないから、とかだったりするので、サーバーサイドでもセッション管理しましょう、で済まないことはない。

セキュリティと口にすれば手抜きが許容されやすい、みたいな面もあるにはあるのだが、突き詰めればアクセシビリティとセキュリティはどうしても対立する概念だと思う。アクセシブルなシステムは攻撃者にもアクセシブル。

たとえばだけど、 MFA はアクセシビリティを阻害する。ぼくはデバイスを持ち替えて TOTP を入力することになんの困難も感じていないけれども、それが非常に困難な体験だという人だっていくらでもいる。あるいは、 TOTP のタイムアウトまでに 6 文字を入力することが難しい、という人だってどこにでもいるだろう。

障害者がどういう I/O デバイスを使っているかを知っている人なら健常者の常識でシステムの操作時間を考えてはいけないことは知っている。操作にかかる時間、コストに限らずだが、こういうのって想像力の問題みたいなところに落とされがちだと感じているが実際には知識量の問題だと思う。

セキュリティと両立した実務的なアクセシビリティガイドラインみたいなものがあればいいと思っているが、さすがにそんなものは見たことがない。