いろいろブログカスタマイズメモ

はてなブログのカスタマイズ、書き方などのメモ、チートシートです。/※本サイトはアフィリエイトプログラムによる収益を得ています。ページ内のリンクがアフィリエイトリンクの場合があります。

Googleさんから「Chrome のセキュリティ警告を表示します」と通知が届いた


※本サイトはアフィリエイトプログラムによる収益を得ています。
 ページ内のリンクがアフィリエイトリンクの場合があります。

 じわじわとHTTPS化へのプレッシャーが高まっています。

テキスト入力フィールドがあるHTTPのサイトは警告対象となるみたい?

 Google Search Consoleさんからこんなお手紙が届いていました。

2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。

貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type=“text” >、< input type=“email” > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。

http://tsundoku-diary.scriptlife.jp/

長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。

 この問題を回避するには。

HTTPS に移行する 貴サイトを訪れた Chrome ユーザーに対して、「保護されていません」という警告が表示されないようにするには、ページを HTTPS で配信し、ユーザーが入力した情報のみが収集されるようにしてください。

 つまりHTTPS化しろよってことですね。

 うちは別に入力フォームとか設置した覚えないのにな…と思ってソースを見直してみたら、おそらくサイドバーに置いてある検索用のブログパーツが引っかかってる模様。どういう形で警告が出るかはわからないですが、まあ気にするほどではないだろうか。

 (あと同じ検索パーツを使ってるこのブログ向けに警告飛んでこなかったのはなんだろう…)

 そういうわけでウチは直近の影響あんまりなさそうだとは思いましたが、

長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。

 これが入ってきたら面倒かなとは思います。(HTTPSで)保護されてないのは確かなんでそうっちゃそうなんですが…

今すぐHTTPS化しなくても大丈夫なのか

 HTTPSに対応することで変わることは、ブラウザとサーバー間の通信が暗号化され、横から覗くことができなくなるよう守られる点です。

 HTTPだと通信内容を横から覗かれてしまう危険性がありますから、例えば通販のお客様情報入力フォームとかクレジットカード情報入力なんかをHTTPでやってしまうと、どこで盗み見されているか分からなくて危ないです。

 ではブログはどうでしょうか? 自分のところを振り返ると、主に公開した情報を受け取って貰っているだけなので、そこまで神経質になる必要性は感じていません。ユーザーからのアクションとしてはコメント、検索、お問い合わせくらいかなと思いますが、この時点で重要度の高い個人情報などが入力されることは想定外ですし。(あとお問い合わせフォームはGoogleフォームで作成しており、HTTPSとなっています)

 HTTPS化についてはセキュリティ的にも良いことではあるので対応するに越したことはないと思っていますが、今回の件だけで言えばGoogleから警告が来たことでことさら騒ぐところでもなく、はてなブログの対応を待ちたいと思います。

 …といいますか今更ですね…だって今までずっとHTTPだったじゃんはてな…

根本的にははてなブログのHTTPS化を待つしかない

 そもそもHTTPS対応をどうするかについては、はてなブログのシステム側でがんばってもらうしかないです。

 一般的なサイトでは、対象のドメインに対応した証明書を用意してサーバーに設置することでHTTPS通信を有効化しますが、ブログサービスとしてサーバーの管理をすべてお任せしてしまっている以上、サービス側でなんとかしてもらう必要があります。

 そういうわけで2017年10月に間に合うのか。それぞれのサイトにある独自ドメインに対して証明書を設定する方法を提示することになるので、割と面倒なのではと思います。

 デフォルトがHTTPSとなること自体は良い方向かなと思っていますので、対応について応援してます。