[レベル: 初〜上級]
パスワードまたはクレジットカードの情報をHTTP接続で送るページに、安全ではないことを示すラベルをChromeブラウザで表示するようにするとGoogleはアナウンスしました(【UPDATE】日本語の翻訳記事はこちら)。
2017年1月にリリースを予定しているChromeのバージョン56から実装します。
HTTPページには「Not secure」ラベル
HTTP通信ではセキュリティが確保されません。
そのため、HTTPページでは送信する情報を第三者に盗み見されたり改ざんされたりする可能性があります。
そこで「Not secure」のラベルをアドレス欄に表示するようにしました。
日本語版では「安全ではありません」といったようなラベルになるのではないでしょうか。
下の画像はサンプルです。
上の段は現行のChrome(バージョン 53)です。
特別なラベルは何も付いていません。
しかし下の段のChrome 56からは「Not secure」のラベルがURLの前に付きます。
なお、公式アナウンスには、サイトが対象と書かれていますがページが対象です。
パスワードやクレジットカードの情報をHTTPで送るページがあれば、そのページだけにラベルが付きます。
サイト全体ではありません。
パスワードとクレジットカードの送信フィールドがあるページのみ
Not secureラベルの対象になるのは、パスワードまたはクレジットカードの情報をHTTPで送信するページです。
メールアドレスや住所、電話番号などそのほかの個人情報を送信するページは、(最初の時点では)対象になりません。
もう少し細かく言うと、パスワードやクレジットカードのフォームフィールドがあるHTTPページになるかと思います。
対象範囲を拡大する可能性も
すでに説明したように、2017年1月リリースのバージョン56では、パスワード/クレジットカードをHTTPで送信するページだけがラベルの対象です。
しかし対象範囲をさらに拡大していきたいとのことです。
たとえば、シークレットモードでChromeを利用する場合です。
シークレットモードは、ユーザーがプライバシーを保護したいときに使われます。
そこで、シークレットモード利用時はすべてのHTTPページにNot secureラベルを表示するかもしれません。
最終的には、モードに関係なく、すべてのHTTPページにNot secureラベルを表示することを目指しています。
しかも赤色の警告マークも付けるかもしれません。
今から準備を
「安全ではありません」なんて表示されたらアクセスしたくなるユーザーがおおぜい出てくることでしょう。
まさかパスワードやクレジットカードの情報を送信する際に、HTTPSを使っていないのは今どきありえないと思います。
それでも、もし万が一そういったページでHTTPのままであれば大至急HTTPSに変えなければなりません。
もっとも、パスワードやクレジットカード情報をHTTPで送らせるなんていうのはChromeのNot secureラベル以前の問題ですが。:(
パスワードやクレジットカードの情報を送信するページを持っていないとしても、HTTPS化は避けて通れないでしょう。
時代の流れなのであらがうことは得策ではありません。
さっさとHTTPSに移行して本当に僕は良かったと思っています。
なお自分のサイトがどんな影響を受けそうか(あるいは受けないか)は、開発版のChrome Canaryで確かめることができます。
安定版がリリースされるだいたい6週間前に新機能が実装されるとのことです。