更新:2018/08/29

このサイトは保護されていません

「便利」、「速い」、「手間いらず」は危ない

 最近、久しぶりにアマゾンである本を購入したのです。そしたら、自動的に プレミアム会員登録されてしまったんです。確かに、小さな文字で「プレミアム登録をしない」というような意味内容の選択肢があったのですが、手続きを進める上での明確なボタンとして表示されていたわけではありません。目的の書籍だけを購入する通常の手続きを進めたつもりだったんですが、自動的にプレミアム登録も一緒にできてしまう仕掛けになっていたのです。会費をとられます。すぐ解除しましたが、「悪質」といえないでしょうか。ところで、アマゾンのアドレスは、「https://www.amazon.co.jp/…」となっていますね。「https」の「s」に注目。

 Chrome (※) というブラウザ(インターネット閲覧ソフト)で当サイト『南信リニア通信』にアクセスすると、アドレスバーに「保護されていない通信」(または「保護されていません」)と警告表示されると思います。(※ クローム バージョン: 68.0.3440.106)


 エッジでは、アドレスバーにある、丸で囲った「i」のアイコンをクリックすると、「注意してください このwebサイトへの接続は暗号化されていません。このため、パスワードなどの機密事項が盗聴される可能性が高くなります。」と警告がでます。


 「保護されていない」と「暗号化されていません」は同じ意味です。この警告は、『南信リニア通信』が SSL通信に対応していないから表示されるのです。SSLというのは、『南信リニア通信』の大家さんのページSAKURA internet の「SSLとは」は次のように説明しています。

SSLとは、簡単に言うとWebサイトとそのサイトを閲覧しているユーザとのやり取り(通信)を暗号化するための仕組みです。意外と知られていない前提ですが、みなさんが利用しているインターネットは悪意のある第三者が通信の中身を盗み見て悪用することが可能です。閲覧しているホームページのアドレスや、掲示板に書き込んだ内容、ショッピングサイトで入力したクレジットカード番号やパスワードなども盗み見ることが可能です。これでは安心してインターネットショッピングができない、ということでSSLという仕組みが生まれました。

 そして、その仕組みについては:

それでは実際に暗号化通信ができるまでに、ブラウザとサーバーの間で何が起きているかを見てみましょう。
  1. ブラウザ:SSL通信をリクエストする
  2. サーバー:SSLサーバー証明書を送付する
  3. ブラウザ:受け取った証明書の公開鍵を使って共通鍵を暗号化し、サーバーに送付する
  4. サーバー:受け取った共通鍵を、秘密鍵を使って復号する
  5. ブラウザ/サーバー:一致した共通鍵を使って送受信するデータを暗号化、復号して暗号化通信を成立させる

 5回の通信のやり取りがあるのですが、よく注意して見ると、1 の最初のページへのアクセスは暗号化されていない通信で、その応答の 2 も暗号化されていないですね。

 『南信リニア通信』では、閲覧者が、文字や文章を入力するフォームも、サイト内検索ボックスもありません。ご意見を受け付けていますが、メールソフトを起動してメールソフトから電子メールを送っていただくようにしています。つまり安全性からいえば、SSL対策をする意味はありません。

 NTT コミュニケーションズの「『保護されていません』と表示されないための対処策」、対処というのは閲覧者ではなく、ホームページをやっている側のことなのですが、次のように説明しています:

2017年1月にリリースされたGoogle Chrome 56以降、パスワードやクレジットカード情報などの個人情報を扱うページが 暗号化されていない場合に限定して、アドレスバーに「保護されていません」という警告が表示されていましたが・・・2017年10月にリリースされたGoogle Chrome 62より、入力欄のあるページが暗号化されていないHTTPページであった 場合、すべて「保護されていません」または「保護されていない通信」と警告表示されるようになりました。

と説明されています。『南信リニア通信』では、SAKURA internet の説明の、1と2の段階しか利用していないと思うのです。NTTのページは:

Google Chrome 62から、シークレットモードでアクセスする場合に限り、すべてのHTTPページで警告が表示されるようになりましたが、2018年7月リリースの Google Chrome 68からは、通常モードを含むすべてのHTTPページで「保護されていません」と警告が表示されるようになりました。

つまり、入力フォームやサイト内検索のあるなしに関係なく、アドレスが「https://~」であるか「http://~」だけで判断するようになった、「s」があるかないかだけで判断するようになったわけです。それは、Google Chrome の勝手じゃないかと思うのです。

 ネットショップとか、役所のページなどフォームでお金のやり取りや、個人情報を入力するようなページでは、SSL化は必要だと思います。しかし、当サイトのようなサイトでは SSL化の必要性があるとすれば、みんながやってるから、乗り遅れないようにということ以外に実質的な意味はないと思うのです。まあ、検索のランクを落とすという操作もするようなのですが、それはちょっと困るかな(これも、Google Chrome の勝手)。

 すべてのサイトが、5段階のやり取りをするとなれば、全体的な通信の流量も増えるはずです。

 じつは、https 化を検討し始めたのですが、なかなか面倒くさい。また、普及させようとする側の考えを想像するとね、当分はこのままで運営しますので、よろしく。

 こんなふうに世間一般に、安全性ついては、敏感と思うのです。ところが、大きな企業のいいなりってのはどうなのか。リニア新幹線の安全性についてもですが、JR東海と国交省のいいなりって、それはないんじゃないのって思いますね。