Google Chrome、非暗号化(HTTP)ページに”not secure” の警告を表示
ついにこの日が来ました。
Googleは、HTTPS化していないページに「事実上 NO」を出すことになりました。
今回の「IT小僧の時事放談」は
「まったなし HTTPS対応」
と題して
「ITセキュリティに甘い日本」について考えてみました。
スポンサーリンク
目次
いつから?
Chrome 68が公開される7月以降と発表
過去数年、GoogleはHTTPSの使用を強力に推進してきており、ブラウザー、サーバー間の通信中にデータが他社に傍受されないように努めてきた。すでにGoogleは、Chrome 62でデータ入力フィールドのあるHTTPサイトに安全でないことを示すフラグを立てているほか、パスワードあるいはクレジットカード情報を要求するサイトについては古く2016年から同様の警告を表示している。
近く公開されるアップデートからは、入力フィールドの有無に関わらずHTTPサイトすべてが「安全ではない」と識別されるようになる。
TechCrunch(HTTPS非対応)
報道しているTechCrunch Japanも非対応という笑えない状況ですが、英語版では、きちんとHTTPSとなっています。
どのぐらいHTTPSになっているの?
Googleウェブサイト トップ100で81のサイトが標準でHTTPSを使用
Chrome OS、Macintosh トラフィックの80%
Windows版Chromeでは70%
AndroidのChromeでは68%
と報告されています。
セキュリティに甘すぎる日本
いやぁ 驚きました。
コインチェック お知らせページ
http://corporate.coincheck.com/
見事に未対応でした。
さすがに取引ページは、対応済みでしたが、全ページHTTPSには、なっていないのですね。
金融系取引会社として「どうなの?」
さらに 電通 も非対応でした。
http://www.dentsu.co.jp/
どうして・・・
お役所は、これまで散々ブログで言ってきましたが
非対応ばかりです。
総務省:未対応
財務省:未対応
警視庁:未対応
ところが
警察庁:対応済
なんでしょうか? この「横並ばない体制」各省庁で考え方が違うのでしょうね。
以前のブログでも書いたのですが、この国のセキュリティに対する姿勢が甘すぎます。 Googleは、「HTTPS」化していないページを排除しようとしています。 お金は、かかりますが、今のうちから準備しておいたほうがよいでしょう。 特に企業は、アクセスするたびに「お前のところのページは ...
GoogleがWebのHTTPS化の進捗状況を報告 数字からみる日本のIT事情
パスワードなどを入力する画面だけHTTPSとなっているところが多いと思います。
Googleは、それでは、だめですよ
「全部やらないと安全じゃないよ」
と警告となります。
[amazonjs asin="B0756SS7N3" locale="JP" title="イラスト図解式 この一冊で全部わかるセキュリティの基本"]
SEOに有利
Googleは、全ページにHTTPS化しているところがSEOで有利になると表明しています。
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html
HTTPS化すればSEOの順位が上がるわけではないでしょうけど、同じようなアクセスだったらHTTPSを優先するというところでしょうか?
GoogleのSEO順位については、噂が多いけど よくわかりません。
[amazonjs asin="B079P43F54" locale="JP" title="Googleが推奨する『https』の3つメリットと簡単に変更する方法!"]
Refererでも不利
自サイトがHTTPの場合、HTTPSのサイトからリンクを踏んで飛んできた時に、Referer(リファラー:利用者が直前に訪問していたサイトの情報)を取得することができません。
Googleアナリティクスの集客を見ると
「参照元/メディア」のアクセス元が「(direct)/(none)」と表示されているものが出て来るなどの弊害が生じます。
iPhoneやAndroidも
Appleは、米国時間6月13日に開幕した開発者会議「Worldwide Developers Conference」(WWDC)のセキュリティに関するプレゼンテーションにおいて、すべての「iOS」アプリに対して2017年1月1日までに「App Transport Security」(ATS)と呼ばれるセキュリティ機能への対応を求めることを告知した。
”
何を意味するか?
IPhoneのアプリでHTTPS化されていない場合、見えなくなる可能性もあり得る。
かも知れません。
[amazonjs asin="4798050245" locale="JP" title="絵解きでわかる iPhoneアプリ開発超入門"]
まとめ
HTTPS化していないと今後、発生、発生するかもという事案をまとめます
- 「このページは、あぶないぞ警告」が出ます。
- Wi-Fiスポットでセッションハイジャックされるかもしれません。
- iPhoneやiPadのアプリでサイトが表示されなくなる
- 周りがHTTPSになると、Refererが取れないかも知れない。
ブラウザの最大勢力のChromeが、HTTPS化以外に対して「このページは、あぶないぞ警告」を出すということで、ITベンダーとWeb製作会社は、サーバ設定の売り込みが始まるでしょう。
ただ、あまりにも膨大なサイトを持っている所だとかなり大掛かりな作業になるはずです。
直前では、間に合いません。
もし、自社のページがHTTPS化されていなければ、すぐに取り掛かりましょう。
企業ページだったらブラウザでアクセスする毎に「あんたのページは、あぶないぞ!」と言われるようなものですから「企業イメージ」のためにも対応をオススメします。
スポンサーリンク