常時SSL Lab.編集部『サイト内検索にも警告が?Chromeが10月にさらにセキュリティ強化』でご紹介した通り、Google Chromeのバージョン 62から、暗号化されていないフォームではアドレスバーに「保護されていません」の警告が表示されると予告されていました。
10月下旬にそのバージョン 62がリリースされましたが、巷では「62にバージョンアップしたのに警告が出ていない」などの声がちらほら聞かれます。
本当はどうなったのか、実際にリリースされたバージョン 62の画面を見ていくことにしましょう。
通常の表示
パスワード入力のあるフォーム要素が存在するページ
これに関しては、バージョン 62より以前から警告表示の対象になっていましたが、この動作に変更はありません。
ページのアクセス時にすでに警告が表示されます。
※ URLは合成ですが、それ以外は実際の画面をキャプチャしています。
通常の入力フォーム要素が存在するページ
今回から警告の対象になる、と言われていたパスワード以外のフォーム要素だけで構成されたページへのHTTP接続です。
でも、ページのアクセス時には警告が表示されていません。
冒頭でご紹介した多くの方の「警告が出ていない」という声は、この状態を見て「Googleは今回実装を見送ったのか?」と思われたのかもしれませんし、実際に最初は筆者もそう思いました。
でも当然ながらそんなことはありません。
入力項目にマウスでフォーカスし、入力を開始した途端に、アドレスバーに「保護されていません」が表示されるようになりました。
これにより、常時SSLでHTTPSに対応していないWebサイトでは、セキュリティがそんなに重視されないサイト内検索などの利用時でも警告表示の対象になってしまいました。
なお、少し調べたところ、今回の警告は、HTMLで言うところの<input>タグのtype属性のうち、「text」「tel」「email」「search」「url」など、テキストボックスに直接入力するものだけが対象であり、チェックボックスやラジオボタン、「month」や「number」、「file」など補助的に使うものは対象外です。
シークレットモードの表示
シークレットモードの場合、バージョン 62ではHTTPで接続しているだけで警告表示に対象になると予告されていました。
確かにテキストだけで入力要素のないWebページでも、HTTPで接続しているだけで「保護されていません」のメッセージが表示されるようになっています。
将来的に警告表示はこうなる
前述の記事や『突然「保護されていません」と警告が!?Chromeの新しい安全性表示』でもご紹介したように、Googleは将来的にHTTP接続というだけで警告を表示することを予告しています。
Chrome 62ではシークレットモードだけで展開されている警告表示が、近い将来には標準となります。
HTTP接続の場合は安全でないということをChromeが勝手にアピールしてしまうので、そうなる前にできるだけ早く常時SSL化しておきましょう。
この記事のポイント
- HTTP接続でフォーム要素があるページは、入力項目にフォーカスすると警告が表示される
- 将来的にはHTTP接続というだけで安全でないということをChromeが勝手にアピールしてしまうので、早めの常時SSL化を
株式会社IDCフロンティア
