【備忘録】 Chrome 62 から 非暗号通信（HTTP）のフォームが設置されていると警告がでるように・・

以前、【備忘録】検証：Chrome 56（2017年1月リリース予定）で、パスワードやクレジットカード情報を HTTPサイトに設置するとURL欄に警告がでる機能  を紹介しました。今回はさらに発展して、内容を問わず暗号化していないフォームがあると警告がでるようになるみたいですね。さらに Googleカスタム検索なども古いコード（ http:// から始まるコード）を設置している場合も警告がでるようです。これは https:// に変える必要がありそうですね！

この情報は、5月11日に、

• 情報：Chrome の HTTP 接続におけるセキュリティ強化に向けて（Google Developers Japan）

で公開されてました。知らなかったなぁ。

なお Chrome 62は現在、Chrome開発版である Chrome Canaryで試すことができます。

検証１）手持ちの古いサイトの Googleカスタム検索で検証

• http://kitaney.jp/kitani

がちょうど http:// な古いコードのGoogleカスタム検索のままだったので実験してみました。

これで通常の Chrome 60 では ！に丸マークだけの警告でしたが、Chrome Canary 62だと、カスタム検索に何か文字をいれると、下図のように「保護されていない通信」と出ますね。

検証２）問い合わせフォームだとどうなる？

http:// なフォームを探すのが結構大変（みんな https:// を使ってるなぁ）だったのですが、一つ発見しました。

• http://www.tp1.jp/mem/memb08inq_mail.html

ただこのサイトの名誉のために補足しますが、この問い合わせフォームは
https://www.tp1.jp/mem/memb08inq_mail.html
と暗号化に対応はしています。ただ非暗号でもつかえちゃうのが問題ってことですね。

この非暗号の方をつかうと、上手のように「保護されている通信」とでました。

まとめ

現在はこの程度の警告になっていますが、そのうち不正なサイトと同じぐらい目立った形で警告をだすようにするかしれません。ので、非暗号なフォームや Googleカスタム検索のような検索機能については、暗号化するよう変更していったほうが無難かなぁと思います。

2017年8月19日 @kimipooh