Mathias Bynens: JavaScript ♥ Unicode
目次:
インターネットとデジタル通信に関しては、セキュリティが常に問題になります。 インターネット上で重要なデータを交換することは、もはやHTTP上では行われていません。 1989年に、Tim Berners-LeeがHTTPの開発を始めたとき、プロトコルは主にデータを簡単に交換するために開発されました。 しかし、ユーザーが重要な機密データをインターネット経由で送信し始めたため、安全な接続を求める声は避けられませんでした。
このようにしてHTTPSが実行されました。 今日、世界中のデジタル企業が協力してHTTPSをインターネットの事実上のプロトコルにしています。 これは大きな一歩です。 そして、インターネットの大部分がHTTPSに移行するのには時間がかかります。
しかし、問題は - 本当にそうする必要があるのか? 今日のHTTPSの安全性は? そして、これを実現するためにどんな行動が取られていますか? それでは、調べましょう。
HTTPの強制終了とHTTPSの昇格
さて、HTTPがどれほど安全でなくHTTPSがどれほど安全でないかを考えているのであれば、安全なWebブラウジングに関する私たちのガイドに進んでください。 これらの用語が何であるかをすでに知っている場合は、HTTPを無効にする最も熱心な会社の1つがGoogleであると述べて、驚かせてください。 最近、Chromeのアドレスバーに警告サインを表示して、HTTP Webサイトを 「安全 では ない」と マークするようになると発表しました。 現時点では、 Connection is not private というメッセージが表示されるだけです。
2017年1月(Chrome 56)から、パスワードやクレジットカードを収集するHTTPページを安全でないものとしてマークします。 - エミリー・シェクター
HTTPSを促進するためにGoogleが取った唯一のステップではありません。 2014年にGoogleは、HTTPSが同社の検索エンジンでWebサイトをランク付けするためのランク付け信号と見なされることを発表しました。 それ以来、多くのWebパブリッシャーがHTTPSに移行しました。 しかし、それはランキングへの影響は非常に少ないされています。 Bloggerプラットフォーム上のBlogspotサイト(.comのもの)でもHTTPSに移動しました。
グーグルとは別に、アップルでさえもiOS開発者に彼らのiOSアプリのためにHTTPS接続を強制することを要求することによってそれに傾いています。 さらに、Facebookのインスタント記事サービスはデフォルトでHTTPSを使用しているので、たとえHTTPに依存していても、発行者のページは安全になります。 大手ハイテク企業からのそのような宣伝と圧力は、確かに全体ではなく少なくともインターネットの半分をHTTPSに持ち込むでしょう。
さて、それで十分なプロモーションとプッシュです。 結局のところ、ユーザーが望むのはセキュリティです。 しかし、あなたは本当にHTTPSでそのセキュリティを得ますか?
今日のHTTPSの安全性は?
それほど安全ではありません。 これがそうでない理由についてのEFFによる詳細な記事です。 組織が幾つの防御策を構築しても、侵入する方法は常にあります。それは完全に安全というわけではありません。
HTTPSはハッカーがハッキングすることをより困難にするだけです。
問題は、このことに詳しい人がほとんどいないということです。 HTTPSが行う2つの基本的なことは、データを暗号化し、それが本当にあなたが要求したWebページであるかどうかを確認するためにWebサイトを検証することです。 この検証は証明書を使用して行われます。 Webサイトの証明書は、Webブラウザが信頼できる600以上の機関証明書と照合されます。 だから潜在的なハッカーは彼が侵入することができるそれらを通して証明書を見つけなければなりません。
もう1つの問題は、暗号化された接続を使用している場合でも、攻撃者があなたのWebトラフィックを傍受する可能性があることです。 これらはいわゆる中間者攻撃です。 攻撃者は検証のために偽のサーバー証明書を作成することができます。 しかし、ブラウザはそれが信頼できない証明書であるという警告を表示します。
[続行]ボタンをクリックした場合、デバイスは中間者攻撃に対して脆弱になります。 攻撃者はあなたのトラフィックを傍受し、ネットワークを介して送信されているパスワードを見ることができます。 だから、 とにかくProceedを押す 前に考えて、そのようなサイトとプライベートな資格情報を共有しないでください。
HTTPSには独自の欠陥があるかもしれませんが、それでも安全です。
HTTPSに切り替える
SEOのために、HTTPSに移行しているサイトもあります。 ブログや静的サイトは通常HTTPS接続を持つ必要はありません。 ユーザーは自分の秘密の資格情報を共有しません。 しかし、Emily Schechter(Google Chromeのセキュリティチームのプロダクトマネージャ)はこれに同意しません。 これがProgressive Web App Summitでの彼女の講演です。そこで彼女はHTTPSに関するいくつかの神話を暴く。
今日HTTPSに移行するのは費用がかかりません。 実際、SSL証明書は無料で入手できます。 誰かがHTTPSに切り替えるのを実際に妨げるかもしれないのは、パフォーマンスの低下、検索のランキング、およびサードパーティのコンテンツとの非互換性です。 ただし、上のビデオでEmily Schechterが説明しているように、すぐに検索ランクが回復しますが、いくつかの最適化によってサイトの掲載結果を通常の状態に戻すことができます。
また、 プッシュ通知 や 地理的位置情報のタグ付け など、Google Chromeや他のブラウザがWebサイトに提供する機能には、デフォルトでHTTPS接続が必要なものもあります。 開発者はHTTPSなしでこれらの機能にアクセスすることはできません。 将来的には、より多くの機能がその壁の後ろに確保されるでしょう。
より安全なWebになるだろう
数年以内にHTTPSがいたるところに存在し、すべてのWebサイトにとって最低限のセキュリティになることは間違いありません。 ユーザーにとっては、それは間違いです。 しかし、あなたがサイトの所有者であるならば、あなたはHTTPSに移りますか? それについてのあなたの考えは何ですか? コメントで知らせるか@guidintechについてツイートを送ってください。
また読む:あなたのアプリがあなたを狙っている可能性があり、これがあなたがそれを防ぐためにあなたができることです。