機密性の高い通信を扱わないウェブサイトであっても、常に HTTPS を使用して保護する必要があります。HTTPS は、ウェブサイトとユーザーの個人情報の両方に重要なセキュリティとデータの整合性を提供するだけでなく、多くの新しいブラウザ機能、特にプログレッシブ ウェブアプリに必要な機能にも要件となります。
まとめ
- 侵入者は、悪意も無害も、ウェブサイトとユーザーの間で保護されていないすべてのリソースを悪用します。
- 多くの侵入者は、集まった行動を見てユーザーを特定します。
- HTTPS はウェブサイトの不正使用をブロックするだけではありません。また、多くの最新機能や、Service Worker などのアプリのような機能を実現するテクノロジーの要件でもあります。
HTTPS はウェブサイトの完全性を保護
HTTPS は、侵入者がウェブサイトとユーザーのブラウザ間の通信を改ざんするのを防ぎます。侵入者には、意図的に悪意のある攻撃者や、ページに広告を注入する ISP やホテルなど、合法だが煩わしい企業が含まれます。
侵入者は、保護されていない通信を悪用して、ユーザーをだまして機密情報を提供したり、マルウェアをインストールさせたり、リソースに独自のアドバタイズを挿入したりします。たとえば、一部のサードパーティは、ユーザー エクスペリエンスを損なったり、セキュリティの脆弱性を引き起こす可能性がある広告をウェブサイトに注入することがあります。
侵入者は、ウェブサイトとユーザーの間を行き来する、保護されていないあらゆるリソースを悪用します。画像、クッキー、スクリプト、HTML など、すべて悪用可能です。侵入は、ユーザーのマシン、Wi-Fi アクセス ポイント、侵害された ISP など、ネットワーク内のあらゆるポイントで発生する可能性があります。
HTTPS はユーザーのプライバシーとセキュリティを保護
HTTPS は、侵入者がウェブサイトとユーザー間の通信を受動的にリッスンするのを防ぎます。
HTTPS に関するよくある誤解は、HTTPS を必要とするウェブサイトは、機密性の高い通信を処理するウェブサイトのみであるというものです。保護されていない HTTP リクエストからは、ユーザーの行動や ID に関する情報が漏洩する可能性があります。保護されていないウェブサイトに 1 回アクセスするだけでは問題ないように思えるかもしれませんが、侵入者はユーザーの閲覧アクティビティ全体の情報を調べて、ユーザーの行動や意図を推測し、身元を匿名化します。たとえば、従業員が保護されていない医療記事を読んだだけで、機密性の高い健康状態を雇用主に開示してしまう可能性があります。
HTTPS はウェブの未来
強力な新しいウェブ プラットフォーム機能(getUserMedia() を使用した写真の撮影や音声の録音、Service Worker によるオフライン アプリ エクスペリエンスの有効化、プログレッシブ ウェブアプリの構築など)を実行するには、事前にユーザーからの明示的な許可が必要です。また、Geolocation API など、古い API の多くは実行権限を必要とするように更新されています。HTTPS は、これらの新機能と更新された API の両方の権限ワークフローにとって重要なコンポーネントです。