ネットショップ開業・構築サービス

無料で体験
  • お気軽にお問合せ下さい
  • 平日10:00-12:00 13:00-17:00
  • 0570-666-370

Google Chrome80、81からの仕様変更とその対策とは?早急にhttpsの対応を!

プライバシー保護やセキュリティ強化を目的にCookieの動作が一部変更

Cookie(クッキー)とは?

閲覧しているWebサイトからスマホやPCの中に保存される情報となります。サイトを訪れた日時や、訪問回数など、さまざまな内容が記録されています。ネットショップ上では、Cookieを使用して購入手続き画面に入れた商品の情報や注文情報など沢山の情報を保持していますので、e-shopsカートSの購入手続き画面でもサードパーティCookieをガッツリ使用しています。

Chrome80でCookieの何が変わるのか?

Chrome 80(2020年2月公開)以降、サードパーティCookieを取り扱う際には、SameSite=None属性およびSecure属性をWebシステム側で個別に付与する必要があるとGoogleが発表しました。ネットショップサイトで特に指定がない場合、Chrome80以降ではSameSite属性の既定値として「Lax」が取り扱われる、とのことです。既定値をNoneからLaxに上げることで、Cookieの取り扱いを厳しくする、というのがGoogleの目的なのでしょう。

SameSite(セイムサイト)属性とは?

SameSite属性とは、CSRF(クロスサイトリクエストフォージェリ)という攻撃からユーザを守るために、Cookieに付与される属性となります。CSRFの攻撃としては第三者がCookieを悪用して、ユーザの意図しない処理・不正アクセスなどを行い、会員情報を勝手に変更したり等のなりすましを行う、といったものがあります。そのため、CSRF対策を確実に行っておく必要があるとGoogleは考えたようです。

SameSite属性は、以下の三段階の中から指定できるようになっていますが、e-shopsカートSの購入手続き画面は「cart.ec-sites.jp」のドメイン配下で展開しており、method属性がpostとなっています。そのため、SameSite=None属性を指定しています。

  • SameSite=Strict

    → 最も制限が厳しい。サードパーティCookieを遮断。自サイト発行のCookieのみ許可する。

  • SameSite=Lax

    → ドメインが異なる複数サイト間の遷移時にCookie遮断されることがある。一部の条件でのみサードパーティCookieを許可する。

  • SameSite=None

    → 制限なし。ドメインが異なる複数サイト間でCookieを利用しても、これまで通りサードパーティCookieをすべて許可。

e-shopsカートSを利用する場合の必要な対応について

Googleは上記仕様に加えて「サードパーティCookieに'SameSite=None'属性をつける場合は同時に'Secure'(暗号化通信)属性も付与しなければならない」という制限も追加しました。このことから『https(暗号化通信)サイトでなければサードパーティCookieは動作しなくなる』と捉えることができます。

e-shopsカートSをご利用頂く上で既にWebサイトの常時SSL(https)化をしているショップ様は安心です。特に行っていただく対応はございませんが、問題は「http」のままネットショップを公開されているオーナ様です。Cookieが動作しないということは、ショッピングカート内の購入者様の情報、商品情報が保持できない、ということになります。どんな悪影響があるのでしょうか?

カートに商品を入れてもすぐに購入しないと商品が消えてしまうので、複数購入できない!

会員ログインしてもすぐログアウトしてしまうので、入力の手間が生じる!注文しづらい!

などといったようなことを購入者様に感じさせてしまうようになるのです!

e-shopsカートSでは、上記の弊害が発生しないように、2020/02/18にシステム改修を行いましたが、Googleがまたいつ仕様変更し、判定を厳しくするかはわかりません。「http」でWebサイトを公開している場合には「上記弊害がいつ発生してもおかしくない」と考え、早めにhttpsサイトへ切り替えた方が得策です。

以上のことから、Webサイトを「http://abc.com」のように非SSLのURLで公開しているショップオーナー様は早急にhttps化することをお勧めします!!

「http」混合コンテンツにおける制限強化

Chrome80で「http」混合コンテンツに警告表示

Chrome 80以降、「https」から始まるURLページから「http」の動画や音声を読み込む場合、読み込むURLを自動的に「http」→「https」に変換しています。この挙動に伴い、コンテンツの移動などが必要になる場合があります。対応しないと、コンテンツの読み込みに失敗しブロックされます。

混合コンテンツの画像は引き続き表示されるようですが、ブラウザのアドレスバーに「保護されていない通信」と警告表示されます。

Chrome81で「http」混合コンテンツすべてをブロック

2020年2月~3月にかけて公開予定のChrome81からは、混合コンテンツの画像も自動的にURLを「https」に変換して接続し、読み込めない場合はブロックする、とのことです。

外部参考サイト:Chrome81のリリースと混合コンテンツについて(英語)

e-shopsカートSを利用する場合の必要な対応について

e-shopsカートSでは、WordPressやホームページ編集ソフト、ツールなどを使用し、独自に自作サイトを構築して運用されているショップ様が多いので、ショップ様ご自身で混合コンテンツの見直し・修正を行っていただく必要が充分にあります。e-shopsカートSのページ自動生成(CMS)でネットショップを公開されている方も、各コンテンツのご指定はショップ様ご自身で行っていただいておりますので、確認をしておくと確実です。

要するに、「https」から始まるURLの画像やCSS、JS等の読み込みに統一しておくことで「http」混合コンテンツにおける制限強化に伴う弊害は避けることができる、というわけです。ネットショップの常時SSL化の際にご対応いただいている方が大半かと思います。

外部参考サイト:混合コンテンツとは?

外部参考サイト:混合コンテンツの防止

TLS1.0/1.1による暗号化通信無効化

Chrome81で古い暗号化方式はサポート外に

2020年2月~3月にかけてまた更に公開予定のChrome81からは、TLS 1.0/1.1がChromeのサポート外となるようです。サーバで対応している暗号化方式を確認してみましょう。古い暗号化方式のTLS 1.0/1.1などとなっている場合には1.2以降に対応したレンタルサーバを使用すべきです。

なぜなら、対応を行わない場合、Chromeでサイト接続した時に警告画面が表示され、Webサイトへのアクセスが遮断されてしまうからです。

e-shopsカートSを利用する場合の必要な対応について

e-shopsカートSのご提供サービスはショッピングカートもレンタルサーバもTLS 1.2に対応していますので、安心してご利用いただけます。既にe-shopsカートSをご利用中の方は、TLS1.0/1.1のサポート停止による必要な作業は何もありません。

早急にネットショップを常時SSL化しなくてはいけない理由

Webブラウザシェア情報からもGoogle Chromeは世界で57%以上のシェア率となっています。そのため、「http」でネットショップを公開・運営していくには本格的に不向きな時代に突入し、「https」でのサイト公開が当たり前になってきました。

GoogleはこれからもChromeをアップデートし続け、「https」化に向けた制限はより強化されていくものと考えられています。しかし、その理由はすべて「購入者様(ユーザ)が利用しやすい安全な環境を提供すること」が根底にあります。

e-shopsカートSでも、数年前から常時SSL化を推進してきましたので、以下の記事をご参考にとにかく最優先事項としてネットショップの常時SSL化をお考え下さると幸いです。

ご購入者様のために、早急に「https」対応しましょう!!!

e-shopsカートSのお問い合わせ窓口

常時SSLに関するサポートで不明な点がございましたら、下記お問合せ窓口へ!サポートスタッフが全力でサポートいたします!

電話番号:0570-666-370

受付時間:平日10時~12時、13時~17時(土日祝日は除く)

E-MAIL:cart2@e-shops.jp

お問合せフォーム

ページのトップへ戻る