httpでは「保護されていません」というメッセージが
先日、8月17日ごろにGoogleより、「Chrome のセキュリティ警告を(ドメイン名)に表示します」というメールが届きませんでしたか?
そうです、メールフォームなどのウェブサイトへ何らかの入力フォームがある場合は「保護されていません」という警告をブラウザに表示するというお知らせでした。
—Googleからのメール抜粋ここから—
2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。
貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type=”text” >、< input type=”email” > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。
—Googleからのメール抜粋ここまで—
現在「http」で運用しているウェブサイトで入力フォームがあるだけで「保護されていません」と表示されてしまいます。
一般的なhttpでの通信は、そのデータの流れが中継先や通信経路上で傍受された場合は、筒抜けになっています。
昨今、その特性を悪用する形のいろいろな脅威が出てくるようになりました。
今までは「http」で当たり前のように制作されてきましたが、いろいろな脅威がある以上、大切な閲覧者(お客様)の入力される情報が「野ざらし」になってしまうのは、サイトを運用していく者からすると本意ではないはずですし、閲覧者も入力する前に「保護されていません」と、あらためて表示されると躊躇されてしまいます。
では、どのようにすれば上記の事態を回避できるのでしょうか?