皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は冒頭に書いた昨日の記事『Chrome 80でECサイトに影響』の続きです。

Chrome 80の登場とECサイト対策

昨日の記事の最後では、

ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、・・・中略・・・ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがあり・・・

ということを書きましたが、その条件というのは『クロスサイト（異なるドメイン（複数サイト）間）』での挙動に関してということになります。

具体的には『ドメインA』でログインし、その後に『ドメインB』に遷移する挙動がある場合などです。

このケースにおいては『SameSite属性』によって対応が異なります。

＜SamteSite=None＞

・SSL化（HTTPS化）されていること

・Cookie（クッキー）にSecure属性が付与されていること

この2点が満たされていれば今まで通り動作します。

＜SameSite=Lax＞

※　ECサイト側で指定がない場合はGoogle Chromeの既定値となる『SameSite=Lax』となります。

・『SameSite=None』に変更して対応

・『SameSite=Lax』を使用する場合、『サイト全体の常時SSL化（HTTPS化）』＋カートボタンなどの『method属性』を『post』から『get』に変更して対応

＜SameSite=Strict＞

セキュリティレベルが3つの中で一番高いもので、主に金融機関などで用いられると考えられるため割愛します。

大まかには以上のよう感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り『Google Chrome 80』がリリースされたわけですが、『Google Chrome』はこのバージョンから『プライバシー保護』などを目的に一部仕様が変更されます。

（実際には約2週間後あたりのマイナーアップデートから段階的に行われるようです。）

今回の仕様変更は『ECサイト』などに影響しますので、今日はそれをご紹介します。

Chrome 80がECサイトに与える影響

今回の『Google Chrome 80』では『Gookie（クッキー）』というブラウザに一時保存されたデータの動作が変更になります。

つまり、『ログイン』や『カート』に入っている商品などの情報を『Gookie（クッキー）』を使って保持している『ECサイト』などにおいては影響が出るわけです。

では、『Google Chrome』における『Cookie（クッキー）』の扱いはどのような変更がされるのか？

『Google Chrome』には、CSRF（cross-site request forgeries：クロスサイトリクエストフォージェリ）という攻撃からユーザーを保護するため『SameSite』という『Cookie（クッキー）』に付与される属性があります。

この属性には3つのものがあり、

None　⇒　Lax　⇒　Strict　の順にセキュリティレベルが厳格になっていきます。

そして、ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、『Google Chrome』からアクセスした際の『Cookie（クッキー）』の扱いが『Google Chrome 79以前』の既定値『None』から『Google Chrome 80以降』では『Lax』に変更されるため、ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがありますが、それに関してはまた後日お伝えしたいと思います。

今日のところはこの辺で。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

米国時間の2017年5月16日付にてWordPressの最新バージョン4.7.5がリリースされました。

今回のバージョンでは、いつくかのセキュリティメンテナンスを含んでいます。

WordPress4.7.5の修正概要

今回は、以下の件に関して修正がされています。

１．HTTPクラスでのリダイレクト検証

２．XML-RPC APIのポストメタデータ値の不適切な処理

３．XML-RPC APIにおけるポストメタデータのチェック欠如

４．ファイルシステムの資格情報ダイアログにおけるクロスサイトリクエストフォージェリの脆弱性

５．大きなファイルのアップロード時におけるクロスサイトスクリプティングの脆弱性

６．カスタマイザに関連するクロスサイトスクリプティングの脆弱性

これらは、WordPress4.7.4以前のバージョンにおいて影響を受けます。

WordPressプラグインの脆弱性

WordPressのプラグインにおいては、多くの脆弱性が報告されています。

１．MaxButtons におけるクロスサイトスクリプティングの脆弱性

MaxButtons 6.19 より前のバージョン
MaxButtons Pro 6.19 より前のバージョン

２．WP Booking System におけるクロスサイトスクリプティングの脆弱性

WP Booking System Free version 1.4 より前のバージョン
WP Booking System Premium version 3.7 より前のバージョン

３．BestWebSoft 製 WordPress 用プラグインにおけるクロスサイトスクリプティングの脆弱性

Captcha 4.3.0 より前のバージョン
Car Rental 1.0.5 より前のバージョン
Contact Form Multi 1.2.1 より前のバージョン
Contact Form 4.0.6 より前のバージョン
Contact Form to DB 1.5.7 より前のバージョン
Custom Admin Page 0.1.2 より前のバージョン
Custom Fields Search 1.3.2 より前のバージョン
Custom Search 1.36 より前のバージョン
Donate 2.1.1 より前のバージョン
Email Queue 1.1.2 より前のバージョン
Error Log Viewer 1.0.6 より前のバージョン
Facebook Button 2.54 より前のバージョン
Featured Posts 1.0.1 より前のバージョン
Gallery Categories 1.0.9 より前のバージョン
Gallery 4.5.0 より前のバージョン
Google +1 1.3.4 より前のバージョン
Google AdSense 1.44 より前のバージョン
Google Analytics 1.7.1 より前のバージョン
Google Captcha (reCAPTCHA) 1.28 より前のバージョン
Google Maps 1.3.6 より前のバージョン
Google Shortlink 1.5.3 より前のバージョン
Google Sitemap 3.0.8 より前のバージョン
Htaccess 1.7.6 より前のバージョン
Job Board 1.1.3 より前のバージョン
Latest Posts 0.3 より前のバージョン
Limit Attempts 1.1.8 より前のバージョン
LinkedIn 1.0.5 より前のバージョン
Multilanguage 1.2.2 より前のバージョン
PDF & Print 1.9.4 より前のバージョン
Pagination 1.0.7 より前のバージョン
Pinterest 1.0.5 より前のバージョン
Popular Posts 1.0.5 より前のバージョン
Portfolio 2.4 より前のバージョン
Post to CSV 1.3.1 より前のバージョン
Profile Extra 1.0.7 より前のバージョン
PromoBar 1.1.1 より前のバージョン
Quotes and Tips 1.32 より前のバージョン
Re-attacher 1.0.9 より前のバージョン
Realty 1.1.0 より前のバージョン
Relevant – Related Posts 1.2.0 より前のバージョン
Sender 1.2.1 より前のバージョン
SMTP 1.1.0 より前のバージョン
Social Buttons Pack 1.1.1 より前のバージョン
Subscriber 1.3.5 より前のバージョン
Testimonials 0.1.9 より前のバージョン
Timesheet 0.1.5 より前のバージョン
Twitter Button 2.55 より前のバージョン
Updater 1.35 より前のバージョン
User Role 1.5.6 より前のバージョン
Visitors Online 1.0.0 より前のバージョン
Zendesk Help Center 1.0.5 より前のバージョン

これらのWprdPressプラグインに対する脆弱性が確認されていますので、最新版にアップデートされることをお勧めします。