Googleは2016年9月8日のセキュリティブログにおいて、『Moving towards a more secure web』と題した記事を公開しました。

より安全なウェブに向かっての次のステップとなります。

Not secure

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

このブログにおいてもウェブのhttps化に関しては何度か触れさせてもらっているとおり、http接続のウェブページでは安全性が担保されません。

そして、GoogleはChromeブラウザーにおいて2017年1月から仕様をさらに変更します。

Googleセキュリティブログより

To help users browse the web safely, Chrome indicates connection security with an icon in the address bar. Historically, Chrome has not explicitly labelled HTTP connections as non-secure. Beginning in January 2017 (Chrome 56), we’ll mark HTTP sites that transmit passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure.

簡単に言うと、2017年1月にリリースされるChrome56から、パスワードやクレジットカードをHTTP接続で送信する安全ではないページにラベルをつけるということです。

実際にはこんな感じになるようです。

not secure

ちなみに、文中で触れているとおり、2017年1月から対象となるページはパスワードとクレジットカードの送信があるページだけですが、その先は対象範囲が拡大される可能性はあります。

ユーザーの情報を守るのは当然

ここまで読んでみてどのように感じますか?

普通に考えればごく当り前の方向に進んでいるだけのことに感じませんか?

少なくとも私はそう感じます。

ユーザーが設定したパスワードやクレジットカード情報を送信する際、現時点においてもHTTPで送信しているのであればそれはユーザーを保護する考えが不足しています。

ウェブサイトにてそれらの情報を送信させる以上、最低限暗号化して保護するのが当然です。

従って、現時点でもそれらのページがHTTPSで送信されていないのであれば警告を発していても良いはずです。

また、HTTPSを標準とする動きが加速でもお書きしたとおり、今後はHTTPSが標準となっていくことは間違いありませんので、パスワードやクレジットカード情報の送信の有無に限らず、ウェブサイト全体を常時SSL化(常時HTTPS化)することが望ましいです。

ユーザー情報を送信するページがないにしても、早い段階でHTTPS化に取り組まれることをお勧めします。

※ 私は昨年の9月にこのブログを含め、trilogyforce.comのウェブサイト全体を常時SSL化(常時HTTPS化)しました。

Ads

この記事を書いた人

  • 業務コンサルタント高橋晋吾
  • 1968年生 愛知県名古屋市出身 会計・給与・販売購買在庫・税金系などの業務システムを製造・販売する某上場企業の出身で、会計・IT・WEBを中心とした業務改善などを行う業務コンサルタント
  • 中小企業庁『ミラサポ』登録専門家/あいち産業振興機構登録専門家/名古屋産業振興公社登録専門家
  • (Publisher:TRILOGYFORCE.COM)

この記事をシェアする

  • Facebookにシェア
  • はてなブックマークにシェア
  • LINEにシェア

関連記事

お問い合わせ

お悩み・問題・課題を今すぐご相談ください。お問い合わせはこちら

ページのトップへ戻る