セキュリティ一覧

サイトをhttps(SSL)に対応させました

 タイトルだけで終わっちゃう報告事なんだけど、せっかくだからもう少し。

 SSLってのはセキュリティに関係します。httpではなくhttpsから始まるサイトに入ると、GoogleChromeはURL欄左端に緑色で鍵のマークとともに「保護された通信」と表示されます。
Firefoxだと同じくURLの左に緑色の鍵アイコンが付きます。「保護された通信」の文字はないです。
MicrsoftEdigeはURLの左側に無職の鍵アイコンが付きます。「保護された通信」の文字はないです。
Internet Explorerは..おっと、もうすでに私のパソコンにInternet Explorerはありませんでしたのでわかりませんw

 いつの世にも規制をかいくぐる人(≠頭が良い人)はいますが、
いまのところSSL(https)は安全なサイトの目印になります。
 サイトそのものが安全ってわけではないですが。
 SSLを使うことで、サイトから送信されるデータが暗号化され盗み見されないということになります。ショッピングサイトとか商用サイトでIDやらパスワードやら使うところでは必須な仕組みだと思いますが、私のところみたいな読むだけのブログで本当に必要なのかよくわかんないです。

 Googleも検索順位にこのSSLを重視するようですし、7月リリース予定の「Chrome 68」からはSSL未対応なサイトはそれをブラウザ上に警告を出すと言ってます。いまはSSL対応の時だけ「保護されている通信」と出ます。7月からはSSLが当たり前でそうじゃないサイトは逆に「保護されていません」と出るらしいです。ホワイトリストとブラックリストの違いと同じですね。らしい、じゃなくてすでに公式アナウンスがあります。「Google SSL」で検索すればなんのことかわかります。

 私のブログなんかごく少数の人しか来ない辺境の弱小ブログではありますが、Googleからの流入はかなりのパーセンテージになります。検索で入ってくるって意味ね。Googleに邪険にされるとおもしろくないw

 このSSL対応にするには実は費用がかかります。安全だと証明(認証)してもらうのですから当然と言えば当然。ウチあたりでそこまで費用をかけてSSL対応にするのはさすがにつらいです。本格的に使うと年間で数万円単位。簡易なものでも年間で数千円。やっぱり無理。

 うちは非対応サイトのままでいいやと思っていたところ、レンタルしてるサーバー会社(ページ最下部のフッター左側にあるinetdです)からお知らせが。簡易な物を無料で提供することになったと。この「なかのさんち」を独自に認証してくれるわけではなく、サーバー会社がまとめて認証を受けてその配下で利用するってことみたいです。ウチにはそれで十分なんだよね。なんにしても「無料!」なんだし、これは大きい。Googleで警告が出なければ当面それでいいですからw

 早速手続きをしまして、さらっと対応サイトになったんですが、実はそこからが大変だった。httpsでもアクセスできるようになっただけで、肝心な「保護された通信」にならないんです。逆にURLの左側に[!]が追加で出て「書き換えられてるかも知れないから気をつけて」的な内容に。つまり見た目だけhttps使って目くらましをしてるって言われてるような。
 さてどうしたもんか。サーバー会社(inetd)に問い合わせても、SSLを利用するなら最低限の知識は持ってるはずというニュアンスです。まあ当たり前でしょう。わけわからず使われたらあっちだって困る。わからないならレンタルブログを使ってねと言われてもおかしくない。独自ドメイン使ってサーバーにブログを設置するならそれくらいわかって当然的なw (そう言われたわけではないですよ、私だったらそう思うだろうなってこと)
 ページを表示するときに読み込まれるコンテンツに問題があるかも、というアドバイス(ヒント)はいただけましたのでそれを手がかりにお勉強です。泥棒を捕らえて縄を綯う、そのまんまです。

 わかりました。表示されたページに「他のサイトの画像がリンクされ、そのリンク先URLがhttp」だとアウトです。単純にリンクを張ってるだけならいいんですが、画像へのリンクはページの表示時にそれを読み込みますでしょ。読み込み先がセキュアじゃないと警告なんですよ。これまたわかってみれば当然のこと。どんなに自分とこがセキュアにしても読み込んで表示するものがセキュアじゃなかったら意味ないわけです。ただのリンクは踏む人の責任ですが、画像は有無を言わさず表示しちゃいますからね。

 このブログ、かなり古いというかhttpsなんてどこにもなかった(あったかもだけど知らない)時代からやってます。ツイッターにしてもブログ村にしても、はたまた借りてるレンタルサーバにしてもhttpsじゃなかった時代から。ウィジェットなどで利用してます。つまりそこらへの画像付きリンクがすべてhttpへのリンクのままだった。リンク切れになってるわけじゃないので全然問題に思わなかったです。ブログ内リンクはこのブログサイトそのものの設定をhttpsに設定しなおしましたから無問題。

 メニューバーやフッターに置いてる物はそれぞれ一つだけ修正すれば完了です。修正して確認。うーーん、まだ「保護された」となるページと「!」が出るページがある。しばし悩んで答えを発見。記事ごとに挿入してる「ブログ村」へのリンク。うわー、これ大変です。ブログの機能を使ってリンクしてるわけじゃなくて記事内に書き込んだ画像リンクだから自動変換はされないんですね。

 しかたないのでこまめに記事ごとに編集で差し替えて行き、これも終了。一応なんとか全部対応したと思いますが、全部で400以上の記事があるので見落としもあると思います。が、まあ少しくらい残ってても気にしないことにします。

 なお、ブログそのものをレンタルしてる人は関係ないです。心配しないでくださいね。それらはブログレンタルの大元でSSL対応させれば完了ですから。まだなら待ってればいずれそうなります。

 うちはブログをレンタルしてるのではなく、サーバーをレンタルしてそこに自分でブログ(WordPress)を設置してますけど、もういまの歳だと無理かも。10数年前、まだまだ現役オタクだったからこそ出来たことだと思う。

日本ブログ村
にほんブログ村 病気ブログ 1型糖尿病へ
にほんブログ村


ブログの管理モードに入れなくなって焦った

wp-blue-640x960
 うちのブログ、WordPressを使って自分で構築してるブログなので、レンタルブログのようにワンタッチでメニューから入れる管理画面ってのはありません。

 管理モードに入るためには管理用ディレクトリにあるログイン用のファイルにアクセスする必要があります。
 一度ログインするとしばらく継続してくれ、ログイン認証を経由しないでブログの画面から入れます。ですが、ずーーっとってわけではなく、何日だろう...10日か2週間くらいかな、勝手にログアウトして再度ログインしないといけません。

 さきほど、その「勝手にログアウト」になり管理画面に行くメニューが画面から消えました。で、いつものようにログインしとくためにアクセス。
 エラーで弾かれました。パスワードで弾かれるとかの段階ではなく、アクセスできないエラーになります。どうやっても「そのURLは存在しない」旨のエラーが。パスワードの画面までいかないのです。

 FTPで入って確かめると、ちゃんと管理ディレクトリもファイルもあるし、日付等その他いろいろ確認してもいじられた形跡はない。つまり不正ログインの結果なにかをおかしくされた形跡はない。

 さあここからが泥沼です。最近アップデートしたプラグインがおかしいのかとバックアップから戻してみたりしたけど変化無し。ブログ全体のバックアップもあるけど、月一回しかやってないのでそこまで戻すのはなるべくしたくないなぁ、とか。

 そうこうしてるうち、やっと気づきました。アクセスエラーなわけですよ。なぜそのエラーが出るのか。なぜってセキュリティのために自分でそう設定してたからです。もうわかってみれば大笑い。

 ブログの管理画面への不正アクセス攻撃ってかなり多いんです。ほぼ100%外国からですが、とにかく多い。WordPressはフリーで公開されてるわけで、だれでも管理画面へのアクセスURLはわかる。

 その画面でパスワードが防波堤になってるだけです。まあ、普通そうですけど。なので、パスワードをランダムに変えつつ自動連続アクセスしてくるのがあります。アクセスログを見ると、こんなローカルなたいしたことないブログなのにびっくりするほど多い。著名ブログとか政府のとか推して知るべしのすごさだろうなと思います。

 うちはお仕着せのパスワードだけじゃなく、コメント書くときの認証をこっちにも使ってるんで二重ですからそう簡単には破れないと思うんですが。

 さらに、このブログを始めたころいろいろやったアクセス制限の知識を利用して、ブログの管理ディレクトリそのものに .htaccess でアクセス制限をかけています。こいつをもうすっかり忘れてました。いや、サーバの管理会社から、そうしてくれと言われて自分でしたんだか、管理下のブログ全部をそうしますと言われて向こうでやってくれたんだか、言われたときにはすでにそうしてあったんだか、ちょっと記憶が曖昧。

 実は最近プロバイダを変えたのです。私は外からブログの管理をする気はないので、家のプロバイダでさえ管理モードに入れればいいわけですので、それを指定してます。つまりプロバイダ変わったんだから、そこを書き換えなければ弾かれて当然。これで弾かれてなかったらなんのために設定してるんだか意味が無い。もう三年以上前なんでとっさに頭に浮かばなかった。一度やればずっとそのままってのは、若いときには忘れない自信あったけど、もうだめですね....

 思い出して解決出来たんだからいいか。

 とまあ、そういうわけでブログのセキュリティ対策はしっかりできてるな、というお話でありました(笑)

 たぶん、大手のレンタルブログを利用している人は自分で心配しないで良い問題だと思います。ここらの防御はレンタルブログ運営会社でやるものだから。


WindowsXPからのアクセス:その後

5月12日に書いた「XPでアクセスしてくるユーザーは減ったのか?」の続編です。

 すっかり忘れていたのですが、ネットニュースで「XPのシェアが増加している」ってのを読みまして、そんなことないよなあと思い出したのであります。

6月1日~30日までのアクセス状況を集計してみました。

6-OS
 Windowsが全体の57.18%(前回57.40%)、そのうちXPは6.10%(前回11.03%)です。XP率が若干減ったということですね。

6-ブラウザ
IEのバージョンもそこのニュースサイトの割合とかなり違う。うちのブログを見に来る人のIEは圧倒的に11ユーザーが多い。

 想像としては、中国と韓国が未だにXP健在なわけですよね。健在というかWindows8への乗り換えを拒否してるらしい。だから世界的な割合は一気にXPが多くなるし、XPの標準ブラウザとしてIE8もまた高確率になるのではないかしら。

 さらに、ニュースサイトのXP率は「XPを使っているユーザー数」で、うちの「XPで通信しているユーザー」の割合とは意味が違うんでしょう。

 このブログのアクセス数はたいして多くないですが(月間で1万そこそこ。いわゆるPVだと3万弱くらい)、ほとんど(割合でいうと85%程度)が検索して入ってくる新規ユーザーで、そのほぼすべてが日本国内からのアクセスです。少ないなりに「日本で通信してるユーザー」の統計としてはそんなにとんでもない偏りはないと思います。

 いずれにしても、この日本における少数のXPユーザーはパソコンが物理的に壊れるまでこのままだと思います。世の中には「OSってなに?」の人もいるんです。Windowsって?MACって?の人も。もちろんブラウザといわれても「?」です。だから自分がいま使ってるパソコンがWindowsXPで動いてるなんてわかってないので、パソコンが使えるのに乗り換えるわけがないのです。