安全でないパスワード収集のためChrome 56で警告が発生する
このブログではなく、私が以前書いていて今は放置しているブログに関して、「Google Search Console Team」から「○○で、安全でないパスワード収集のため Chrome 56 で警告が発生する」なるメールが来ました。
サイトをhttpからhttpsにしていないことに基づく問題が現実味を帯びてきたようです。
Contents
「安全でないパスワード収集のためChrome 56で警告が発生する」の警告が発生する原因ページの内容
まず、Googleサーチコンソールチームから届いたメールを転載して一部抜粋します。
http://cambashauma.blog.fc2.com/ で、安全でないパスワード収集のため Chrome 56 で警告が発生する
http://cambashauma.blog.fc2.com/ の所有者様
2017 年 1 月より、Chrome(バージョン 56 以降)では、パスワードやクレジット カード番号を収集するページで、HTTPS で配信されないものについては、「安全でない」と明示することになりました。
以下の URL は、Chrome のこの新しい警告が発生する原因となる、パスワードやクレジット カード情報の入力欄を含んでいます。こちらの例を参照し、警告が発生する箇所を確認して、ユーザーのデータの保護にお役立てください。なお、このリストはすべてを網羅したものではありません。
http://cambashauma.blog.fc2.com/blog-entry-489.html
長期的には、非暗号化プロトコルである HTTP で配信されるすべてのページを「安全でない」と明示することを計画しており、この新しい警告はその第一段階です。
http://cambashauma.blog.fc2.com/というサイトは、私が以前書いていて今は放置状態にしているブログです。
で、今年2017年1月からhttpからhttpsにしないとグーグルクロムで警告が出るような話は、次のようなサイトで昨年から知っていました。
グーグル、「Chrome」でHTTP接続を「安全でない」として警告表示へ
これを知った時、とりあえず上記放置ブログはfc2側が運営するものだから自動的にfc2ブログとかでhttpsにしてくれるのかなあと楽観的に考えていたのですけど、特にそういう対応がされてないみたいですね。
まあもう更新してないし、クレジットカード情報とかパスワードとかを入力させるようなページも作っていないので、どうでもいいのですが。
しかし、これは重要な話なのに、サイト運営者側には「HTTP」のままにしてるとやばいよ、みたいな旨の特にメール通知とか来ないのかなあと思っていたら、ようやくこうして通知が来ました。
以下の URL は、Chrome のこの新しい警告が発生する原因となる、パスワードやクレジットカード情報の入力欄を含んでいます。
さて、上記のように、私の過去のブログにパスワードとかクレジットカード情報の入力欄がある、と断定されているのですが、そのようなフォームを設置した覚えはないし、そもそも個人情報を入力させるフォームってどうやって作るの?という感じなのですが、実際に見てみると、なんとなく理由がわかりました。
グーグルクローム56で警告が表示されるとのことなので、一応Google Chromeを最新版にアップデートしておきます。
2017年1月27日時点の最新版(バージョン56.0.2924.76(64-bit))になりました。
そしてターゲットにされている「http://cambashauma.blog.fc2.com/ 」のトップページに行きます。
しかし特に明示的に「安全でない」とは表示されていないようです。
なお、アドレスバーのurlの左隣に記載の「i」マークをクリックすると、「このサイトへの接続は保護されていません このサイトでは機密情報(パスワード、クレジットカードなど)を入力しないでください。悪意のあるユーザーに情報が盗まれる恐れがあります。」との記載は、昨年でも同様に見受けられました。
しかしこれはあくまで「i」マークをクリックしないと表示されない記載なので、明示的にユーザにわかりやすいように表示しているような形ではありません。
しかしながら、上記ターゲットのリストに挙がっているurl(http://cambashauma.blog.fc2.com/blog-entry-489.html)に行くと、明示的に表示されました。
なるほど、「安全でない」という文字ではありませんが、似たような表現で「保護されていない通信」とアドレスバーに明記されました。
でも、パスワード入力欄等を設置した覚えがありません。
一体何が原因になっているのだろう。
fc2ブログでは一ヶ月以上更新しないと広告が表示されてしまうので、そういう広告が悪さをしているのだろうか。
というわけではなさそうでした。
おそらくこのコメント欄の「パスワード」欄ですね。
これが明らかに「パスワードを入力させる」に合致してしまっているようです。
となれば、ターゲットにされているこの特定の「http://cambashauma.blog.fc2.com/blog-entry-489.html」の記事だけでなく、他の記事にも各々全部このコメント欄が設置されているわけだから、他の記事についても「保護されていない通信」と表示されてしまうのではないか、と思って調べてみたら確かにそうなっていました。
確かに、警告メールにも、「なお、このリストはすべてを網羅したものではありません。」と注意書きされていますので、あくまで一例なのでしょう。
しかし、「長期的には、非暗号化プロトコルである HTTP で配信されるすべてのページを「安全でない」と明示することを計画しており、この新しい警告はその第一段階です。」とあるので、いずれは全ての該当ページがターゲットにされたメールが届くようになるのでしょうね。
「その第一段階です。」という予告文がすごく怖いですが、まあ、すべての該当ページを教えてくれた方がありがたいといえばありがたいですね。
具体的な修正方法がわかりやすいですし。
メールアドレス等の個人情報の入力フォームの設置は「保護されていません」の条件に当たらない
ところで、これはなんらかの入力欄が設けられているサイトであれば、すべて警告が出るようになってしまうのではないか、と考えました。
上記放置ブログはさておき、現在現役で更新している「ダーヤス.com プレミアム」では上記のように警告が出るようになると困るわけです。
このブログではコメント欄は設けていないので特に大丈夫なのかなと考えましたが、そういえば「自己紹介」ページに「お問合せフォーム」を
設置していました。
「お問い合わせフォーム」には名前やメールアドレス、ウェブサイト等の個人情報の入力欄があるのですが、特に「保護されてない通信」との明示はなされていないので安心しました。
となると、グーグル側は「パスワード」とか「クレジットカード」とかの文字列を認識して警告を表示するようにしているのですかね。
そんな単純な話ではないか。
「安全でないパスワード収集のためChrome 56で警告が発生する」の対処法・解決法
というわけで、特にクレジットカードとかの入力欄を設けていない、グーグルの勘違いだ、という自信のある方は、これに特に対応する必要はないんじゃないかと思います。
ただ、「保護されていない」と明示されるのは気持ち悪いので、それが嫌な場合には、まあコメント欄とかでパスワードを入力させるようなフォームを消しておけばいいのかなと。
あとは、httpsに以降すれば万事解決なのですが、fc2ブログとかはてなブログとかアメーバブログとかの無料ブログサービスでブログを書いている人は、自分のサイトだけ「https」から始まるように変更することってできるんですかね?
まあサイト運営会社がこの問題に対処してくれるサービスを実施してくれると思うので、それに従えばいいのだと思います。
問題は、私のこのブログのように独自ドメインでブログ運営している場合です。
まあ私はクレジットカード情報とかパスワードとかを入力させるような悪意のあることはしていないし、このブログは全く儲ける気の無い単なる日記なので、httpのままでもなんら問題ないのですが、「保護されてない」とか書かれると気分が悪い。
そこで、https(SSL化)しようと考えたのですが、一番の問題は金額なのですよ。
ロリポップサーバで独自SSL化(https化)するの高い。1年で20000円もするのですよ。
私は月額250円のライトプランでワードプレスブログを運営しているので、その安さに惹かれてロリポップ!にしたのですが、これをhttpsに変えたら月額2000円くらいに跳ね上がるわけじゃないですか。
しかも他のレンタルサーバーよりも重いというのに。。。
しかも、趣味で書いていて何ら商売するつもりもないブログで年間2万円以上かけるのはアホみたいだ。。。
それでエックスサーバーならhttps化できるurlが取得できる上に月額1000円強、さらに噂によると速い、というので、xserverにサーバ移行しようかと悩んだことがあったのですが、色々手続きが面倒くさそうだし、やめました。
実際、2017年1月以降でもhttpのままにしておいた際の不具合を経験してからでも遅くはないかな、と考えて、そのままロリポップ様の安さのメリットを享受しながらhttps化については放置しているわけです。
httpsにしないとアクセス数は下がるのか
一番懸念していたことは、SSL化しないとグーグルからの評価が下がってSEO的に順位が下がり、アクセス数がガタ落ちするんじゃないかということです。
しかし今の所全くその問題はない模様。
これはグーグルアナリティクスで、2016年11月から2017年1月26日までのアクセス数の推移のグラフをキャプチャしたものですが、2017年1月になっても未だhttpのままでいたからといって、特にアクセス数が落ちるような様子は見られませんでした。
(12月の方が微妙にアクセス数が多いような気がしますが、それは「クリスマスケーキ」に関する記事のアクセス数が突出していただけで、1月になれば当然クリスマスケーキの記事にアクセスが集まらなくなったためです。また、年始というのは一般的にアクセス数が下がりますので、1月中盤以降になればまた通常通りのアクセス数に戻ります。)
まあ、商売しているわけではなく、単に趣味でブログを書いているだけなので、アクセス数が上がろうが下がろうが私の生活面にはなんのメリットもデメリットもないのですが、やっぱり趣味のブログであって全く稼ぐ気がなかったとしても、pvが下がるよりは上がる方が気持ちがいいです。
なので、SSL化しないことでPVがガクンと下がるようなことがあれば今後の対応を考えますが、今の所特段のデメリットもないし、まだこの「ダーヤス.com プレミアム」で警告を受けているわけではないし、「安全でない」とも明示されていないので、慌ててSSL化する必要もないのかな、と思います。