皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は冒頭に書いた昨日の記事『Chrome 80でECサイトに影響』の続きです。

Chrome 80の登場とECサイト対策

昨日の記事の最後では、

ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、・・・中略・・・ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがあり・・・

ということを書きましたが、その条件というのは『クロスサイト（異なるドメイン（複数サイト）間）』での挙動に関してということになります。

具体的には『ドメインA』でログインし、その後に『ドメインB』に遷移する挙動がある場合などです。

このケースにおいては『SameSite属性』によって対応が異なります。

＜SamteSite=None＞

・SSL化（HTTPS化）されていること

・Cookie（クッキー）にSecure属性が付与されていること

この2点が満たされていれば今まで通り動作します。

＜SameSite=Lax＞

※　ECサイト側で指定がない場合はGoogle Chromeの既定値となる『SameSite=Lax』となります。

・『SameSite=None』に変更して対応

・『SameSite=Lax』を使用する場合、『サイト全体の常時SSL化（HTTPS化）』＋カートボタンなどの『method属性』を『post』から『get』に変更して対応

＜SameSite=Strict＞

セキュリティレベルが3つの中で一番高いもので、主に金融機関などで用いられると考えられるため割愛します。

大まかには以上のよう感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り『Google Chrome 80』がリリースされたわけですが、『Google Chrome』はこのバージョンから『プライバシー保護』などを目的に一部仕様が変更されます。

（実際には約2週間後あたりのマイナーアップデートから段階的に行われるようです。）

今回の仕様変更は『ECサイト』などに影響しますので、今日はそれをご紹介します。

Chrome 80がECサイトに与える影響

今回の『Google Chrome 80』では『Gookie（クッキー）』というブラウザに一時保存されたデータの動作が変更になります。

つまり、『ログイン』や『カート』に入っている商品などの情報を『Gookie（クッキー）』を使って保持している『ECサイト』などにおいては影響が出るわけです。

では、『Google Chrome』における『Cookie（クッキー）』の扱いはどのような変更がされるのか？

『Google Chrome』には、CSRF（cross-site request forgeries：クロスサイトリクエストフォージェリ）という攻撃からユーザーを保護するため『SameSite』という『Cookie（クッキー）』に付与される属性があります。

この属性には3つのものがあり、

None　⇒　Lax　⇒　Strict　の順にセキュリティレベルが厳格になっていきます。

そして、ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、『Google Chrome』からアクセスした際の『Cookie（クッキー）』の扱いが『Google Chrome 79以前』の既定値『None』から『Google Chrome 80以降』では『Lax』に変更されるため、ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがありますが、それに関してはまた後日お伝えしたいと思います。

今日のところはこの辺で。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

米時間の5月17日（木）、『WordPress 4.9.6 Privacy and Maintenance Release』としてWordPressの更新版が公開され、WordPressも『GDPR』への対応が行われたようです。

WordPress4.9.6におけるGDPR対応

冒頭で書きました通り、来週末から『EU一般データ保護規則（General Data Protection Regulation：GDPR）』がはじまります。

『欧州経済領域（European Economic Area：EEA＝EU加盟28カ国及びアイスランド、リヒテンシュタイン、ノルウェー）』向けに何らかのサービス提供を行い、そこから個人データの収集を行っている場合、それに関する対応が必要になります。

それに伴いWordPress4.9.6では、プライバシー関連の機能が追加されています。

１．ログアウトしたコメント作成者が、名前、メールアドレス、ウェブサイトをブラウザのクッキーに保存するかどうかを選択できます。

２．プライバシーポリシーページが指定できるようになっています（ログインページと登録ページに表示される）。

（サイトのすべてのページにプライバシーポリシーへのリンクを手動で追加する必要があります。）

３．ユーザーの個人データのエクスポート、ユーザーの個人データの消去機能が追加されています。

上記以外に関してはバグ（不具合）修正になっています。

今回のGDPR対応ですが、日本国内向けのウェブサイトでも使える機能かと思います。

注：WordPress 4.9.3を使っている場合は手動で更新する必要があります。

そして、両社のCEO（最高経営責任者）であるイーロン・マスクは個人のFacebookアカウントも削除し、SNS上では『#deletefacebook（フェイスブックを削除せよ）』が拡散されている。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外では『#deletefacebook（フェイスブックを削除せよ）』という動きが広まっているようですが、とは言えFacebook（フェイスブック）というコミュニケーションツールを手放してしまうことはなかなか難しいとも言えます。

そんな中、Mozillaが新たなものをリリースしてきました。

Facebookによるデータ追跡を制限する

Mozillaは、『予想外の副作用からユーザーを守る』として、ブラウザのFirefoxのアドオンに『Facebook Container』というものを加えてきました。

このアドオンを使うことにより、以下のことに対処できるとされています。

Facebook Container works by isolating your Facebook identity into a separate container that makes it harder for Facebook to track your visits to other websites with third-party cookies.
（Facebookコンテナは、FacebookのIDを別のコンテナに隔離することによって機能し、FacebookがサードパーティのCookieを使用して他のWebサイトへの訪問を追跡することを困難にします。）

ただし、このアドオンですべてが解決できるわけではありません。

It is important to know that this extension doesn’t prevent Facebook from mishandling the data that it already has, or permitted others to obtain, about you. Facebook still will have access to everything that you do while you are on facebook.com, including your Facebook comments, photo uploads, likes, any data you share with Facebook connected apps, etc.
（この拡張機能によって、Facebookが既に持っているデータを誤って取り扱うことや、他の人にあなたの入手を許可することが妨げられることはありません。あなたのFacebookのコメント、写真のアップロード、好きなもの、あなたがFacebookに接続しているアプリケーションと共有しているデータなど、facebook.comにいる間にあなたがやっているすべてのことにFacebookは依然としてアクセスします。）

This extension focuses on limiting Facebook tracking, but other ad networks may try to correlate your Facebook activities with your regular browsing. In addition to this extension, you can change your Facebook settings, use Private Browsing, enable Tracking Protection, block third-party cookies, and/or use Firefox Multi-Account Containers extension to further limit tracking.
（この拡張機能はFacebookのトラッキングを制限することに重点を置いていますが、他の広告ネットワークはあなたのFacebook活動をあなたの通常のブラウジングと相関させようとするかもしれません。この拡張機能に加えて、Facebookの設定を変更したり、プライベートブラウジングを使用したり、トラッキングの保護を有効にしたり、サードパーティのCookieをブロックしたり、Firefoxのマルチアカウントコンテナの拡張機能を使用してトラッキングをさらに制限することができます。）

NOTE: If you are a Multi-Account Containers user who has already assigned Facebook to a Container, this extension will not work. In an effort to preserve your existing Container set up and logins, this add-on will not include the additional protection to keep other sites out of your Facebook Container. If you would like this additional protection, first unassign facebook.com in the Multi-Account Container extension, and then install this extension.
（注：Facebookにコンテナを割り当て済みのマルチアカウントコンテナユーザーの場合、この拡張機能は動作しません。既存のコンテナの設定とログインを維持するため、このアドオンにはFacebook Containerから他のサイトを保護するための追加の保護は含まれません。この追加の保護をご希望の場合は、まずマルチアカウントコンテナ拡張でfacebook.comの割り当てを解除し、この拡張機能をインストールしてください。）

このようなアドオンも有効的ではあるものの、利便性を優先したプラットフォームの連携を行わないようにすることも必要かと思います。

例えば、Facebook以外のサイトなどのログインに『Facebookアカウントでログイン』を使わないということです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今の時代、多くの企業はCDN（コンテンツ・デリバリー・ネットワーク）サービスを使って負荷分散をしたりしていますが、そのCDNサービスの1つであるCloudFlare（クラウドフレア）において『Cloudbleed』と揶揄されるような問題が起きました。

※　2014年に発覚したOpenSSLの脆弱性『Hearbleed』を思い起こさせることから『Cloudbleed』と呼びたくなると言われてしまったようです。

CloudFlareのバグによる影響

現在CloudFlareのCDNサービスは、Uber、FitBit、Feedlyなどをはじめとする世界550万以上の企業に使われています。

ということは、そのUber、FitBit、Feedlyなどのサービスを利用しているユーザーへの影響が想定されるということになります。

しかし、CloudFlareのバグは既に修正され、キャッシュされたデータについては、Google、Yahoo、Bingなどの協力もあり、既にパージ（一掃・抹消）されたとのことで、現時点において流出したデータが悪用されたという報告はないとしています。

ただし、一度は流出してしまったわけですから、念のためにご自身が使われているウェブサービスのパスワードを変更しておく方が良いでしょう。

※　GoogleやFacebook、Twitter、LINEなどは、Akamai（アカマイ）など、他社のCDNを使っているはずです。

影響を受けた可能性のある企業リストはGitHubが公開していますので、それにて確認が可能です。

CloudFlare使用サイトリスト by GitHub

CloudFlare公式ブログは下記のリンクからどうぞ。

『Incident report on memory leak caused by Cloudflare parser bug』