BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース HTTPSを推し進めるGoogle

HTTPSを推し進めるGoogle

原文(投稿日:2016/12/11)へのリンク

GoogleはセキュアでないサイトのChromeの機能を非推奨にしつつ、新しい機能をHTTPSだけサポートして、HTTPSをあまねく普及させたいようだ。Geolocation over HTTPはChromeのバージョン50で非推奨になりgetUserMedia (ユーザのカメラかマイクロフォンにアクセスする)も同様だ。Encrypted Media Extensionsアプリケーションキャッシュ、デバイスのモーション/オリエンテーションも同様の道筋をたどるだろう。これらの機能はいずれもセンシティブなデータを扱い、このような対処をしなければ、ますます脆弱になっているウェブに送出されてしまう。既存の機能の廃止のタイムラインについては未だ議論中だ。

同時に、最近新しく追加された機能で攻撃に弱いものはHTTPSのみをサポートしている。例えば、サービスワーカープッシュ通知、ホームスクリーンへのサイトの追加(これらの機能はモバイルのネイティブアプリ生まれで、プログレッシブウェブアプリで使われている)。また、クレジットカードのオートフィルと最近追加された支払い要求APIも対象だ。

さらにGoogleは、ブラウザの体験を変え、ユーザーのセキュリティ意識を高めようとしている。例えば、Chromeは金融やセンシティブな情報を"安全でない"文字列を経由してリクエストする安全でないフォームがあるページを明示的に警告するようになる(2017年1月のバージョン56)。Chromeのカナリアグラグを#mark-non-secure-asにすることでどのようなUIになるのかを事前に確認できる。

また、HTTPSへの移行に伴う大変さが大きく軽減される進展があった。GoogleのChrome Securityでプロダクトマネージャを務めるEmily Schechter氏は、アムステルダムで開催されたO'Reilly Security Conferenceで、Let's EncryptCloudFlareが提供する新しいサービスの重要性について言及した。Let's Encryptはスポンサーになって無料の証明書と自動化されたインストーラー(今日のDevOpsの世界で重要性が増している)を提供する。これはクラウドファンディングモデルで資金調達がされており、著名なブロガーであるJeff Atwood氏が強力に支援している。CDNプロバイダであるCloudFlareは無料のSSLティアを提供している。

Overall Schechter氏は講演でHTTPSのビジネスケースについて語り、HTTPSがどのようなサイトでも最低限のセキュリティ水準であり、HTTPSの従来の欠点はもはやほとんどの場合、欠点にならないということの証拠も提供した。

GuardianBBCはHTTPSへ移行する。これは、少なくとも部分的にはGoogleの推進に影響を受けているだろう。Schechter氏はHousing.comAliExpressのようなセキュリティだけではなくてHTTPSオンリーにすることでコンバージョンも改善したという成功例にも言及した(また、GoogleのSEOアルゴリズムはHTTPSのコンテンツを好むようになる、とも話した)。

Data from both ChromeFirefoxのデータを合わせると、世界中のページロードの50%以上が、現在、HTTPSになっている。

 
 

Rate this Article

Relevance
Style
 
 

この記事に星をつける

おすすめ度
スタイル

BT