GoogleはセキュアでないサイトのChromeの機能を非推奨にしつつ、新しい機能をHTTPSだけサポートして、HTTPSをあまねく普及させたいようだ。Geolocation over HTTPはChromeのバージョン50で非推奨になりgetUserMedia (ユーザのカメラかマイクロフォンにアクセスする)も同様だ。Encrypted Media Extensions、アプリケーションキャッシュ、デバイスのモーション/オリエンテーションも同様の道筋をたどるだろう。これらの機能はいずれもセンシティブなデータを扱い、このような対処をしなければ、ますます脆弱になっているウェブに送出されてしまう。既存の機能の廃止のタイムラインについては未だ議論中だ。
同時に、最近新しく追加された機能で攻撃に弱いものはHTTPSのみをサポートしている。例えば、サービスワーカー、プッシュ通知、ホームスクリーンへのサイトの追加(これらの機能はモバイルのネイティブアプリ生まれで、プログレッシブウェブアプリで使われている)。また、クレジットカードのオートフィルと最近追加された支払い要求APIも対象だ。
さらにGoogleは、ブラウザの体験を変え、ユーザーのセキュリティ意識を高めようとしている。例えば、Chromeは金融やセンシティブな情報を"安全でない"文字列を経由してリクエストする安全でないフォームがあるページを明示的に警告するようになる(2017年1月のバージョン56)。Chromeのカナリアグラグを#mark-non-secure-asにすることでどのようなUIになるのかを事前に確認できる。
また、HTTPSへの移行に伴う大変さが大きく軽減される進展があった。GoogleのChrome Securityでプロダクトマネージャを務めるEmily Schechter氏は、アムステルダムで開催されたO'Reilly Security Conferenceで、Let's EncryptとCloudFlareが提供する新しいサービスの重要性について言及した。Let's Encryptはスポンサーになって無料の証明書と自動化されたインストーラー(今日のDevOpsの世界で重要性が増している)を提供する。これはクラウドファンディングモデルで資金調達がされており、著名なブロガーであるJeff Atwood氏が強力に支援している。CDNプロバイダであるCloudFlareは無料のSSLティアを提供している。
Overall Schechter氏は講演でHTTPSのビジネスケースについて語り、HTTPSがどのようなサイトでも最低限のセキュリティ水準であり、HTTPSの従来の欠点はもはやほとんどの場合、欠点にならないということの証拠も提供した。
GuardianとBBCはHTTPSへ移行する。これは、少なくとも部分的にはGoogleの推進に影響を受けているだろう。Schechter氏はHousing.comやAliExpressのようなセキュリティだけではなくてHTTPSオンリーにすることでコンバージョンも改善したという成功例にも言及した(また、GoogleのSEOアルゴリズムはHTTPSのコンテンツを好むようになる、とも話した)。
Data from both ChromeとFirefoxのデータを合わせると、世界中のページロードの50%以上が、現在、HTTPSになっている。
Rate this Article
- Editor Review
- Chief Editor Action