Googleから、「Chrome のセキュリティ警告を http://blog.omosiroki.com に表示します」というメールがきました。
自分なにかやらかした?と思いびっくりしたのでちょっと調べてみました。
警告の要点
2017年10月からChromeブラウザ(バージョン62)で、blog.omosiroki.comにアクセスすると、「保護されてません」と表示されるようになるので、早く治してねという事でした。
文字列をサーバーに送る時暗号化をして送らないと盗聴が可能になります。このためサーバーにログインする時に送る、ログインIDやパスワードは、暗号化して送ります。
- 暗号化通信 https
- 非暗号化通信 http
最近は、ログインIDやパスワードだけじゃなく、プライバシーの観点から、総ての物を暗号化して送るべきだという流れがあります。
ということで、「あなたのサイトは暗号化通信せずにサーバーにデータ送っているので、10月から警告が出るから」という事でした。
私のブログの警告の場所
アンケートとかもしてませんし、サーバーにデータを送っている場所なんかないのになーと思って、無条件でブログ管理者にメールをだしているのかな?と思ったのですが、メールに警告がでるURLが記載してありました。
天童市の将棋の記事です。
とりあえず。天童市の将棋のページを開いて、ブラウザの「ソースの表示」をしてHTMLで表示したあと、input typeで検索した所、確かにありました。
記事を検索の部分が、暗号化せず文字をサーバーに送っています。
はてなブログユーザの修正方法
1.10月までほっておく
サイト内検索文字が盗聴されたとしても、それはそんなに問題ないです。
ほっておいた場合、
HTTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります
ということで、見た目にも問題ないかなと思います。このあたり見た目がどうなるのか確認してから修正修正しないを決めるという判断は有りだと思います。
2.検索フォームを消す
問題のある場所を消してしまえばOKです。
検索フォームって使われているんですかね?良くわかりませんが、必要ないと判断した場合は、消してしまうのも判断の一つだと思います。
「デザイン」→「カスタマイズ」
下の方に移動して、サイドバーを選択します。
「検索」を削除します。
今消してしまってもいいですが、10月に入ってから、様子見てこれはだめだと思ったらここで消すのもありかと思います。
3.HTTPSに移行する
先のGoogleのメールにも対処方法として、HTTPSに移行すると書いてありますが、はてなブログは現在HTTPS対応はしていないので、移行できません。
公式ページによると
HTTPSに対応していない「はてなカウンター」終了後には、はてなブログのHTTPS化について検討し、状況に応じて開発を進めていく予定です。
ということなので、はてなの対応待ちとなります。
私の対応
10月になったら考えます。
以上でした、ちょっとびっくりしたので、急いで調べてみたのですが、待機という結論で慌てる事なかったなーと思ってます。