1. /
  2. /
  3. 10月からのChromeのセキュリティ挙動の変更について
  • お役立ち

10月からのChromeのセキュリティ挙動の変更について

  • このエントリーをはてなブックマークに追加
  • LINEで送る

過日、Googleの開発者ブログ上で、ある記事が投稿されました。

これによると、今年の10月から、URLが「http://」から始まる非SSL環境のWEBページについて、ユーザーがフォーム要素に文字などを入力する際、URL欄の横に「Not Secure」という警告が表示されるようになるとのこと。具体的な挙動のイメージもアニメーションで提示されています。

Google Developers Japan: Chrome の HTTP 接続におけるセキュリティ強化に向けてより引用

既存の仕様と変更点

実はChromeでは既に非SSLページ上に「パスワードまたはクレジットカード番号を入力するフィールド」があった場合には警告が表示されるようになっています。動作検証用のページを用意しましたので、よろしければ実際にアクセスしてみてください。

http://www.tonpoo.com/labo/password/
※パスワード入力フィールドを含むフォームが設置されていますが、「送信」ボタンをクリックしてもどこにも・何も送信されません。

Chromeでこちらのページにアクセスすると、以下のような「保護されていません」という警告が表示されます。

「Not Secure」は「保護されていません」なんですね。
というわけで、今回のセキュリティ強化については、全くの新機能(仕様)というよりは、現行のセキュリティ仕様の変更(強化)と言えそうです。現状と比較すると、10月からの変更点は以下の二点のようです。

  • 警告表示の対象が、非SSL環境下の全てのユーザー入力フォームフィールドに拡大される。
    • パスワードやクレジットカード番号のみでなく、電話番号やメールアドレスといった個人情報の入力フィールドはもちろん、サイト内検索や商品名検索、匿名でのコメント入力など、個人情報を含まない入力フィールドについても対象となる。
    • チェックボックスやラジオボタンなど、ユーザーの文字入力を伴わない要素については対象外。
  • 基本的に、フォームフィールドへの入力時(フォーカス時)に警告が表示される。
    • パスワードやクレジットカード番号を含むページの場合はおそらく従来通りページへのアクセス時から警告を表示されるものと思われる。

ユーザビリティへの影響

現状、「保護されていません」という警告が表示されても、警告のポップアップが出てキャンセルボタンを押さないと先に進めない、といったことは無く、フォームの送信そのものには何ら影響はありません。
このことから推測するに、10月以降も警告が表示されてもユーザーの操作には影響しないものと思われます。

ただ、「保護されていません」という文言は多くのユーザーにとって不安を喚起するものです。まして、後述のFirefoxのように入力フィールド直下に警告が表示されるようになったとしたならば、継続して入力することに二の足を踏むユーザーも少なくないでしょう。

他のブラウザの現状は?

現時点で10月、あるいはその前後にChrome同様のセキュリティ強化策を実装すると発表しているブラウザはありません。Firefoxは現状のChrome同様の仕様があり、「パスワードまたはクレジットカード番号を入力するフィールド」の存在する非SSL下のページにアクセスすると、URL欄の横に南京錠に打ち消し線が被されたアイコンが表示されます。

さらに、Firefoxの場合には、パスワード入力フィールドにカーソルを移すと「この接続は安全ではありません。ここに入力したログイン情報は漏えいする可能性があります。」という警告が表示されます。

その他、現状での主要ブラウザのSSL関連の挙動について、別記事にまとめました。よろしければ併せてご覧ください。

主要ブラウザ(Chrome, Firefox, Edge, IE, Safari)のSSL関連挙動一覧

今後の展望

Googleでは非SSL環境のウェブサイトをセキュアでないと明示する計画を段階的にすすめています。

Marking HTTP As Non-Secure – The Chromium Projects

最終的には、フォーム入力の有無に関わらず、非SSL環境のページではアクセス時から「保護されていません」という警告が出ることも考えられます。Googleがウェブサイトは常時SSL化されていることを標準と捉えるようになるのもそう遠くないことでしょう。

現在同様の仕様が実装されているFirefoxや、こうした仕様が未実装のその他のブラウザがどの程度追従していくのか、現時点ではわかりません。ただ、ブラウザやOSは基本的によりセキュアな方向に進展していますから、常時SSL化の流れは止まらないものと思われます。

弊社では証明書の取得やインストール、サーバの設定、フロントサイドの改修など、お客様のウェブサイトの常時SSL化対応もお引き受けしております。実績やお見積もり、その他ご不明点などございましたら、下記よりお気軽にお問い合わせください。

星虹思械BRICOLEUR

関連コンテンツ