Bumble-Bee

好きなお酒、どうでも良い事、ダサい工作の覚書です。気が向いた時に更新しまーす。

「保護されていません」のHTTP警告。10月に何人ビックリするのか?

今回の記事は10月にリリースされるGoogle Chrome 62に関する考察です。

この記事を書いた動機は、前回Web関係のブログを書いたのですが、比較的好評だったので、またWeb関係で何か気になる情報があれば書こうと思ってました。

そんな中、ネットを散策したら、入力フォームを持つSSL化してないサイトに対し、8月18日に「Google Search Console」から警告メールを受け取ったユーザが多数いらっしゃることを知りました。

Chrome のセキュリティ警告を http://xxx.zzz.jp に表示します


http://xxx.zzz.jp の所有者様


2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。
貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type="text" >、< input type="email" > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。


http://xxx.zzz.jp


長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。

 

この問題を回避するには:

 

HTTPS に移行する貴サイトを訪れた Chrome ユーザーに対して、「保護されていません」という警告が表示されないようにするには、ページを HTTPS で配信し、ユーザーが入力した情報のみが収集されるようにしてください。

  

この警告メールを受け取ったユーザはSearch Console ヘルプを見て、HTTPSへの対応を考えたと思いますが、何のことやら?で、はてなブログはどうするつもりなの!だったと思います。

support.google.com

何も悪いことをしてないのに、ビビッたり、いち早く別のブログサービスへの引っ越しを検討している方も多数いらっしゃるようです。

”あトん”もGoogleの対応が気になっていたので、2017年6月4日にブログネタとしてまとめ記事を書いたのですが、読者数が少なくあまり読まれませんでした。

atn.hateblo.jp

実は、過去Chrome 56のリリースでFC2ユーザに衝撃が走りました。非SSLサイトのページにパスワード入力フォームがあると、問答無用に「保護されていません」が表示されたのです。

Chrome 56以降で下記お知らせを開くと分かるのですが、皮肉なことに「保護されていません」が表示されます。

fc2information.blog.fc2.com

その為、FC2のサイト管理者はHTMLを自己責任で修正し「保護されていません」の非表示対策を行ってました。興味がある方は、下記サイトを覗いて見て下さい。

oops0011.blog.fc2.com

はてなブログでは、コメント入力時にパスワードは入力しないので、はてなユーザは気づかなかっただけなのです。

Chromeのセキュリティ警告の影響

本題に戻ります。

今回Googleからの突然の警告に皆さん大変戸惑っていることが分かりました。

Chrome 62のリリース日迄ちょうど1ケ月を切ったので、10月17日以降どれくらいの人がビックリし、どんな影響が出るのか、今後どうすれば良いのか、を考察してみました。

また、タイミング良く9月14日にbeta版のChrome 62.0.3202.18がリリースされたので、どのように警告表示が出るのかも試行してみました。これは余談で解説します。

chromereleases.googleblog.com

Chrome 62でどれくらいビックリするか

「保護されていません」を表示するのはChromeなので、Chromeがどれくらいのシェアを持っているのかを下記サイトで調べてみました。

Chromeのシェア

news.mynavi.jp

news.mynavi.jp

2017年6月時点のデータではデスクトップで59.49%、モバイルで55.55%でした。

この数値だけを見ると「Chromeやばい」と思ってしまいますが、Chrome58以降のシェアを見るとデスクトップは計38.75%モバイルは計29.93%となってました。

インターネットユーザ

次に、どれくらいの人がインターネットを利用し、その中でデスクトップはどれくらいを占めているのかを、下記サイトでデータを調べました。

www.slideshare.net

世界では人口74億9700千万人に対しインターネットユーザは38億1100万人した。

デスクトップユーザ

デスクトップ接続は43.4%で前年に比べ19%ダウンとなってます。

一方日本は人口1億2620千万人に対しインターネットユーザは1億1780万人した。

ビックリする人の数

上記データを元に警告表示を見て10月にビックリする人を計算してみました。

Chrome 62~でサイトのフォームに入力し「保護されていませんが表示され
ビックリする人は、日本で約12万人、世界で約250万人
となりました。

次に、SSL化していないサイトでフォームを入力し警告を受け、ビックリして離脱する人が何人発生するか計算してみました。

PV1000/日のサイトでは約2人がビックリして離れる
可能性があります。

思ったより少ないと思われるかも知れませんが、サイト内検索を重視しコンバージョン率が高いページだとフォーム入力率は10%~20%と言われてますので、訪問者の内数%の人がビックリして離れてしまう恐れがあります。

これがSSL化してない検索メインのサイトだと約2割の人がビックリして離れてしまうこととなる為、致命的な影響が出る可能性があります。

”あトん”のブログの訪問者は約90%が検索流入ですが、140PV/日前後なので影響なし、と考えます。

ところで、ここまで読んでモバイルのユーザのビックリ人数がカウントされてないのでは、と気づいた方がいると思います。

Chrome 62のChrome OS 安定化版は10月24日にリリース予定ですが、デスクトップと違い、実はスマホ等のモバイル端末は(i)のマークが表示されますが、「保護されていません」は表示されません。

これはアドレスバーが十分に広くない為だと思われます。

既に、Chrome56以降SSL化してないサイトにパスワードの入力フォームがあるとデスクトップ端末では「保護されていません」が表示されますが、モバイル端末では表示されず(i)アイコン表示のみとなってます。

仮にユーザが(i)アイコンは気づいたとしても、このアイコンの意味を調べるユーザはほとんどいないと思いますので、モバイルは実質影響なしと判断しました。
(少し甘いかなー。)

まとめ

大手のブログサービスを利用しているユーザは特に何もする必要はないと思います。(大手のレベルにもよりますが。。。)

なぜなら、サービスを提供している会社が、サービス範囲内は責任を持ってSSL化するはずだからです。(まだ明言してない会社は、責任者の承認待ちでしょうか。)

なお、入力フォームを外部サービスを利用している場合は、SSL化された入力フォームに変更することをお勧めします。

一方、検索や入力フォームを積極的に活用し収益を上げている商業サイトは、10月17日迄にSSL化しないと事業に少なからず影響が出る恐れがあるでしょう。

ビックリする人数が少ないから大丈夫では?と楽観していると、後で泣きを見る事になるかもしれません。

なぜなら、今は1つでも問題が出ると、SNSであっと言う間に拡散し、ブランドイメージに影響が出る時代だからです。

しかし、今年は予算がない、リソースがない、等ですぐ対応できない場合はSSL化を先送りせざるを得ませんが、関係者を説得して必ず来年度の利益計画に予算とリソースを盛り込んで下さいね。

追伸

はてなブログへの個人的なお願いです。
ブログへのコメント入力やブックマークでのコメント入力で「保護されていません」が出現するとビックリするので、早めに対応をお願い致します。

9/25 追記

9/25、はてなブログよりHTTPSへのスケジュールが公式にアナウンスされました!

staff.hatenablog.com

最短で2017年11月頃、はてなブログサブドメインがユーザ選択でSSLの設定が出来るようになるようです。(嬉!)

Chrome62リリースに対して2週間~のタイムラグがありますが、Chromeユーザがすぐ62にアップデートする訳ではないので、大きな影響はないと思います。

はてなブログ運営管理者の皆様におかれましては、早めのご対応、感謝いたします。

少し気になるのは、はてなブックマーク(b.hatena.ne.jp)のHTTPSへの変更時期は何もアナウンスされてませんでした。

たぶん、10/17迄に突然変更のアナウンスが出るのでは、と予想します。

-------- 追記はココマデ

次に毎度の余談に移ります。主題から少しそれるので、面白くなかったら読み飛ばして下さい。

余談

現在Chrome 61が最新バージョンですが、Chrome 62での警告表示を早く確認しいので、Chrome 62 Beta版をインストールしました。

Chromeの入手と設定

下記サイトでChromeの正式版、Beta版、Dev版、Canary版を入手できます。

www.chromium.org

正式版、Beta版、Dev版、Canary版はそれぞれ独立して動くので便利ですね。

Chrome 62 Beta版が出る前は、Canary版で下記設定を行うと警告表示を確認できるようになってました。

①アドレスバーに”chrome://flags”を入力し試験運用機能を使います。
②「Mark non-secure origins as non-secure」という項目を探します。
③「Warn on HTTP while in incognito mode or after editing forms」を選択し、再起動して下さい。

この変更を行うと、非SSLサイトで入力フォームに文字を入れると「保護されていません」の警告表示がでます。シークレットモードだと、いきなり「保護されていません」の警告表示がでます。

Chrome 62 Beta版はDefaultで動作するので、上記面倒な変更は必要ありません。

なお、Googleが最終的にやると言っている表示にする場合は、
「Always mark HTTP as actively dangerous」を選択して下さい。

アイコンが赤に、警告文字もに変わるので、強烈なインパクトがあります。

ではどのように見えるのか、はてなブックマークのページで例を示します。

Chrome 62ではどのように警告表示が出るのか

現在のトップページ表示です。

次に検索窓に文字を入力します。

2017年10月17日迄にSSL化されてないと、文字を入力した瞬間、アドレスバーに「保護されていません」が出現します。

またシークレットモードでは、ページを開いた瞬間アドレスバーに「保護されていません」が出現します。

Xデー迄にSSL化されてないと、ページを開いた瞬間、アドレスバーにのアイコンと赤文字で「保護されていません」が出現します。

最後に各企業がSSL化について、どれくらい真剣に取り組んでいるかの事前調査の為、ページに入力フォームがあるサイトを分野毎に"あトん"の主観で調べました。

銀行

SSL化されていたのは、たった2行でした。口座情報のページだけSSL化しておけば良いというスタンスなのでしょうか。

証券会社

3社SSL化されてましたが、まだたくさん手つかずなようです。リスクが高い証券会社はもともと信頼されてない側面があるのでしょうか。

検索サイト

約半分はSSLに移行していましたが、残りはあと1カ月でSSL化できるのでしょうか。
対応が遅れると検索サイトのランクが更に下がるでしょう。

ネットショッピング・TVショッピング

こちらも、まだSSL化は半分まで行ってませんでした。大丈夫でしょうか。

ファッション・雑貨

約半分SSLになってましたが、ユニクロが遅れているのが意外でした。

家電量販店

ネット注文も出来るのにSSLがあまり進んでないのは大丈夫でしょうか。

コンビニ・スーパ

どこもSSL化されてませんでした。驚きです。

放送局

2社のみSSL化されてました。良質なコンテンツを持っているのに、セキュリティは遅れているようです。

文具・家具・ビデオ

SSL化は半分程度でした。

ニュースサイト

SSL化はやっと3割くらいでしょうか。

通信関係

こちらはSSL化が進んでいるようですが、Yahooの関係会社は遅れているようです。

自動車メーカ

SSL化はトヨタだけでした。自動車メーカは安全を重視しているはずなのに意外でした。

飲料メーカ

約半分はSSL化されてました。大手が残っているのが気になります。

家電

まだどこもSSL化されてません。ブランドにあぐらをかいているのでしょうか。

無料ブログ

ユーザのブログ迄SSL化が済んでいるのは6社だけでした。はてなブログは、いつSSLに完全移行するのでしょうか。

9/20 追記 FC2は常時SSLができるようになったようです。

"あトん"の移転前のブログも設定変更後、httpsに変わりました。但し、内部リンクにhttpが残っていると、緑の鍵マークは出ません。

サイト管理者が1つ1つ修正する必要があります。

oops0011.blog.fc2.com

ファミレス・ファーストフード

半分以上はSSL化されてました。マクドナルドは問い合わせフォームはSSL化してましたが、ページ検索はSSL化してませんね。

鉄道会社

鉄道はあまりSSL化が進んでませんでした。JRの中でJR北海道のみ常時SSL化されてました。JR西日本httpsなのですが、常時SSL化までは行ってませんでした。

航空会社

6割は常時SSL化に対応してました。「保護されていません」の警告が出ている航空会社には、何となく乗りたいとは思いませんでした。

余談のまとめ

計209社を調べましたが、httpsになっていたのは83社だったので、約40%しかhttpsに移行してませんでした。これはGoogleの調査とほぼ同じで、日本は先進国の中で常時SSL化が一番遅れていると実感できました。

2018年のxデー迄にどこ迄改善されているのか楽しみです。50%迄進むと良いのですが。。。

9/19追記 GoogleがHTTP で配信されるすべてのページを「保護されていません」と明示するXデーは、別記事に変更します。