Googleは2016年9月8日のセキュリティブログにおいて、『Moving towards a more secure web』と題した記事を公開しました。
より安全なウェブに向かっての次のステップとなります。
皆さん、こんにちは。
業務改善を行う業務コンサルタント、高橋です。
このブログにおいてもウェブのhttps化に関しては何度か触れさせてもらっているとおり、http接続のウェブページでは安全性が担保されません。
そして、GoogleはChromeブラウザーにおいて2017年1月から仕様をさらに変更します。
Googleセキュリティブログより
To help users browse the web safely, Chrome indicates connection security with an icon in the address bar. Historically, Chrome has not explicitly labelled HTTP connections as non-secure. Beginning in January 2017 (Chrome 56), we’ll mark HTTP sites that transmit passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure.
簡単に言うと、2017年1月にリリースされるChrome56から、パスワードやクレジットカードをHTTP接続で送信する安全ではないページにラベルをつけるということです。
実際にはこんな感じになるようです。
ちなみに、文中で触れているとおり、2017年1月から対象となるページはパスワードとクレジットカードの送信があるページだけですが、その先は対象範囲が拡大される可能性はあります。
ユーザーの情報を守るのは当然
ここまで読んでみてどのように感じますか?
普通に考えればごく当り前の方向に進んでいるだけのことに感じませんか?
少なくとも私はそう感じます。
ユーザーが設定したパスワードやクレジットカード情報を送信する際、現時点においてもHTTPで送信しているのであればそれはユーザーを保護する考えが不足しています。
ウェブサイトにてそれらの情報を送信させる以上、最低限暗号化して保護するのが当然です。
従って、現時点でもそれらのページがHTTPSで送信されていないのであれば警告を発していても良いはずです。
また、HTTPSを標準とする動きが加速でもお書きしたとおり、今後はHTTPSが標準となっていくことは間違いありませんので、パスワードやクレジットカード情報の送信の有無に限らず、ウェブサイト全体を常時SSL化(常時HTTPS化)することが望ましいです。
ユーザー情報を送信するページがないにしても、早い段階でHTTPS化に取り組まれることをお勧めします。
※ 私は昨年の9月にこのブログを含め、trilogyforce.comのウェブサイト全体を常時SSL化(常時HTTPS化)しました。