Chrome の HTTP 接続におけるセキュリティ強化に向けて

2017年7月21日金曜日

この記事は Chrome セキュリティ チーム、Emily Schechter による Google Online Scurity Blog の記事 " Next Steps Toward More Connection Security " を元に翻訳・加筆したものです。また、Google Developers Japan ブログに 投稿された記事 のクロスポストです。詳しくは元記事をご覧ください。

Google は 1 月に、Chrome で HTTP ページの接続セキュリティが通知される方法の改善に 着手しました 。Chrome では現在、パスワード フィールドまたはクレジット カード フィールドがある HTTP ページを「Not secure」とマークしています。2017 年 10 月からは、新たに 2 つの状況(ユーザーが HTTP ページにデータを入力した場合と、HTTP ページに シークレット モード でアクセスした場合)において「Not secure」の警告が表示されるようになります。

Chrome 62 での HTTP ページの扱い

HTTP サイトを安全でないと明示するという Google の計画 は、段階的により幅広い基準に基づいて進められる予定です。 Chrome 56 での変更 以来、PC からパスワード フォームまたはクレジット カード フォームがある HTTP ページにアクセスする割合は 23% 減少しました。今後は、さらに対策を講じていきます。

秘密にする必要のあるデータは、パスワードとクレジット カードの情報だけではありません。ユーザーがウェブサイトに入力するあらゆる種類のデータに対して、ネットワーク上のその他のユーザーがアクセスできないようにする必要があります。そのため、Chrome バージョン 62 以降では、ユーザーが HTTP サイトにデータを入力すると、「Not secure」警告が表示されます。

Chrome 62 でユーザーがデータを入力したときの HTTP ページの扱い

ユーザーが Chrome のシークレット モードで HTTP ページを閲覧する場合、プライバシーが確保されていると考えられるかも知れませんが、HTTP ページの閲覧は、ネットワーク上の他のユーザーに対して非公開になっているわけではありません。そのため、Chrome バージョン 62 では、シークレット モードで HTTP ページにアクセスする場合も警告が表示されます。

最終的には、シークレット モードではないときも、すべての HTTP ページに対して「Not secure」警告を表示する予定です。今後のリリースが近づいた際にアップデートを公開しますが、HTTPS への移行はできる限り早く進めてください。HTTPS は 今までになく簡単かつ安価に導入できるようになっており 、HTTP では実現できない最高のパフォーマンスや強力な新機能を提供します。導入にあたっては、Google の セットアップ ガイド をご確認ください。

Posted by Eiji Kitamura - Developer Relations Team