Googleから警告メールが届いた
常時SSL化しろと言われてもねぇ〜
Googleさんから、こんな警告メールが届きましたよ。
指摘されたURLをクリックしてみると、パスワードと言ってもBlogの記事に対するコメントを入力するフォームで入力するもので、コメントを書き込んだ以外の人がコメントを修正できないようにするためのパスワードなのでした。Googleさんがおっしゃるとおり、コメントを入力するフォームはhttpsになってませんので、パスワードは暗号化されず平文のままWebサーバーに送られます。そのような場合、ChromeのVer.56以降では「安全でない」と明示されるようになるのですと。
更に、将来的には全てのhttpページを「安全でない」と明示するそうで、これは全ページをhttpsにしろ、つまり常時SSL(Secure Sockets Layer)化しろと言っているのです。まぁ、これは以前からGoogleが推し進めている方針ではありますが。
さて、そう言われても、ハイ分かりました!と簡単にはいかないのですよね。
先ず、今回指摘されたパスワードを平文で送っている件について言えば、コメント入力フォームでは名前やメールアドレスと共にパスワードを入力するようになっており、個人情報を扱っているとも言えなくもありませんので、暗号化した方が良いのはごもっとも。ですが、先にも書いたとおりコメントした人以外には修正できなくするためのものなので実名である必要もなく、仮に通信を覗き見てパスワードを盗んだとしても出来ることはコメントを改竄することくらいかな。コメントに例えば悪意のあるスクリプトを仕込ませるなら、最初からコメントとして書き込めば良いのだし。(当然、そのような事はできないよう対策はしてあります。)
その次が最も大きな理由ですが、SSL化にはコストがかかるのです。コストとは、お金と労力です。ホームページをSSL化するためには、認証局(信頼できる第三者機関。ベリサインやシマンテック等が有名です)に証明書を発行してもらう必要があり、これにはお金がかかります。最近では無料で証明書を発行してくれるサービスも出来てきましたが、証明書の有効期間が1ヵ月と短かかったりします。すると、毎月証明書を更新するという労力がかかります。そしてWebサーバーの設定やホームページ自体(過去の記事も含む)も改修する必要があり、これにも相当な労力がかかります。
趣味で運用しているBlogに、そこまでのお金と労力を費やすか?って事です。Blogを始めた目的は、当時Blogが流行り出していたので、そのようなサーバーを構築、運用するためのスキルを身に付けると言った技術的な興味です。また、自分が興味を持った事や経験した事を綴っていく、あるいは備忘録として残しておく目的もありますね。ポリシーは「なるべくコストをかけない事」。
と言った理由から、常時SSL化は敷居が高く、個人が趣味で運用しているサーバーではコストに見合った効果が得られないのです。なので、サーバーが壊れるか人様に迷惑かけるような状態にでもならない限り、SSL化することなく、このままの状態で続けようと思っています。
|