「SameSite属性対応 & ブログ全体のSSL化につきまして」というアナウンスがありました

「SameSite属性対応 & ブログ全体のSSL化につきまして」というアナウンスがありました

FC2ブログのあれこれ
2020/07/22
5
vanillaice (Akira)
vanillaice (Akira)
SSLAOSSLFC2ブログからのお知らせ

避けて通れるはずもない SSL化 (o'ω')ノ
運営側も強制執行のタイミングを見計らっている、という感じでしょうか。

【重要】【ブログ】 SameSite属性対応 & ブログ全体のSSL化につきまして

【重要】【ブログ】 SameSite属性対応 & ブログ全体のSSL化につきまして

平素は、FC2 (fc2.com) をご利用いただき、誠にありがとうございます。このたび FC2ブログ (blog.fc2.com) では、各ブラウザーで予定されている Cookie の SameSite属性の変更への対応を完了いたしました。今回の対応は、各ブラウザーで SameSite=Lax がデフォルトとなることで、独自ドメインのブログを閲覧したり編集したりする際にFC2ブログへのログイン状態が引き継がれなくなる という問題へ対処したものです。ただし、この...

注意すべきは独自ドメインと新規ドメイン

SameSite属性 がなんなのか、は後述します。FC2ブログで注意が必要なのは

  • 独自ドメインを取得している
  • fc2.com 以外のドメイン(.net など)

です。あとは別サービスですが FC2カート というのがありますよね。一番大変なのはこのサービスではないかと思います。

注意する、といってもユーザーがすべきこと・できることは 自身のブログをSSL化すること だけです。他には何もできません。SSL設定をopt in(有効化)する以外のことは運営に任せるしか方法なし。なので必要以上に身構える必要はないと思います。何もできないわけなので(笑)

独自ドメインだけではなく 新興ドメイン も対象です。該当しそうなのは 他サービスから移転した人 が多いかな、と思います。ちょうど時期的に重なりますし、今後FC2ブログを開設する方ももしかするとURL内の fc2 の文字を避けたい人が居るかもしれない(笑)

で、疑問としては「独自ドメインはさておき、.net なども関係するのは何故か。同じサービス内なのに何故なのだ。」という点ではないかと思います。

同じサービスなのに何故?その理由

FC2ブログの代表ドメイン(トップドメイン)はあくまでも fc2.com です。管理画面 など全てのページがこのドメインで統一されています。

.net のような新興ドメインは読んで字の如く fc2.com ではないわけですよね。要するに同サービス内であっても、利用条件・環境などが元のドメインと全く同じであってもそれは 別ドメイン であり、クロスドメイン である、ということです。

ですから利用環境を除けば独自ドメインと新興ドメインの立場は全く同じなんですね。やれ有料だ、やれこんな機能があるとかいう話ではなく等しく fc2.com じゃない という点で同じ。

これはFC2だけの問題ではなくてですね、大手ブログの大半がこの クロスドメイン問題 で困っているという状況です。Livedoorなんかは旧ドメインについて作業を半ば放棄したような格好に見えます(笑)

「開設時にドメインが選べますよ」といったサービスの場合、この落とし穴が待っていた、というわけです。とはいえこの問題に対処するのはあくまでも運営ですから、ユーザーは見守るだけ。

で、クロスドメイン なんですが、「ドメイン間を行ったり来たり」という意味です。例えば

管理画面 - https://admin.blog.fc2.com/control.php?

遷移

自分のブログ - https://xxx.blog.net/

これもうクロスドメインですね。ドメイン違いのページへ行ったり来たり。あるいは

ログインページ - https://fc2.com/login.php?ref=blog

遷移

自分のブログ - https://xxx.blog.net/

これもそうですね。クロスドメインです。

SameSite属性とは

簡単に言えば クッキー情報の制限 に関係します。

クッキーというのは例えば「ログインする → ブログ記事を書く」といった一連の動作で、記事を書く際にはログイン状態が保持されていなければいけませんよね。「ブログを書くページ」に移動したらログインが解除される、なんてことがあればブログ運営できません。あるいはコメントを書くとか、自分のブログにコメントしたら自動でプロフィール画像が付くとか(テンプレートによります, 管理人かそうでないかの見分けが行われます)。これらは全てクッキーが大きな役割を果たしています。

一番わかりやすい例は Amazon など ECサイト と呼ばれるサービスです。Amazonが本件の対象という意味ではなく、「web上で何かを売っているサービス」という例で出しただけです。

こういったサイトではサービス提供側のページとは別に商品提供者の専用ページが別ドメインであったり、カート・購入手続きページが別ドメインであったりで、それらを頻繁に行き来します。そこで「ドメインが違ったらクッキーを発行しない」となれば「これまでの行動履歴を失う」ことになりますので カートに入れた商品が消えてしまう ですとか、ページを移動するたびに再ログインを要求される なんてことが起こってしまいます。ですからクッキー情報というのは非常に大事なんですね。

滞在ページでクッキーが発行されますが、別のドメインに移動する場合にそのクッキー情報を保持するのかどうかの指定、それが今回の SameSite属性 です。セキュリティの観点から言えば別ドメインのページに元ページの情報を渡すというのは危険な行為ですから、それを阻止しようという動きですね。

SameSite属性 の値は none lax strict の3つあります。緩い順です。

今回の騒動(?) はGoogle Chromeが「SameSite属性の初期値を Lax にします」というものですね。Lax値は「厳格, 同ドメインでもクッキー受け渡しが出来ない場合もある」です。strictはさらに厳格。

SameSite属性はhtmlではなくphpで処理しますので、一部「独自変数」として開放されてはいますが、原則FC2ブログでphpを操れるのは運営スタッフのみです。なのでユーザーは何もできないし、しない (´・ω・`)

何某かの属性というのは必ず 初期値 というのがあり、何も書かなければ(属性自体も書かなければ)自動的に初期値が適用されます。今回Chromeが行うのは 明示が無ければ自動的に Lax を初期値とする というものです。

初期値が変更されるというのはものすごく大きなことで、全てのことが変わってします。例えば「今度からdiv要素のdisplay初期値はblockからnoneに変更になります」なんてことがあればブログに何も表示されなくなりますので 修正必須要件 です。わかりやすい例として出しただけですよ。念の為(笑)

現存する多くのサイトがSameSite「未記入」「明示なし」という状態が多く、未記入の場合Noneを想定していたものが自動的にLaxに変わるわけですから、それはもう大変なことですよね。そしてその対処を今回FC2が行いましたよ、ということです。明示及びメソッド変更だろうと思います。

SSL化必須

ここのところwebの大きな流れは セキュリティの確保 で、本件もその一環です。そして重要なのはアナウンスにあるように ユーザーによる自主的なSSL化が必須 という点。

SSL対応なしの場合と対応ありの場合で対処が違いますので、今回FC2は「SSL対応あり」として対処を行っています。ですから「SSL対応をしていないブログの場合には害が生じますよ、早くやってくださいよ、そのうち強制的にSSL化を執行しますよ」というアナウンス内容になっています。

FC2ブログのようにユーザーの自由度が高い、ユーザーの自己責任率が高いブログで運営が問答無用で強制的にSSL化、なんてことをやってしまうとFC2ブログ全体で大混乱になります。なので猶予期間(ユーザーによる任意設定)を設け、いよいよとなれば強制SSL化、という流れで進んでいますが、これは正解だと思います。

やっぱりこういう大きな変更では
再三のアナウンス → 強制執行
という形を取るのが良策です。そのセオリーに従ってやっている、と。

やれウィジェットがhttpだから、やれ外部直リンク画像のURL修正がめんどうだから、なんてもう言っていられません。利用している某のウィジェット・ブログパーツなどがSSL非対応なのであれば すっぱり切り捨てる。これしか道は無し。もうそんなことで悩んでいる段階ではありません (´・ω・`)

まとめ

えっとですね、独自ドメインの方、新興ドメインの方は末尾 dctanalyzer.php となっているファイルが自動的に適用されているはずです。このファイルはクッキーが関係しており、非常に重要なファイルです ので、削除したり阻害するなどは行わないよう注意してください。

fc2.com で運営している人は特に何もありませんので(もちろんSSL化しているのが絶対条件)、もしブログ仲間の方が「コメントおかしい」「履歴おかしい」など生じていましたら 「SSL化していないからかもよ」と助言すると良いかもですね。もちろん別の原因かもしれないけど(笑)

Related post

Comments  5

mochi
2020/07/22 (Wed) 21:42

SameSite属性の解説ありがとうございます

こんにちは。Akiraさん。
お久しぶりです (^^)/
昨晩ぼっちんさんとのコメントで、ちょうど「SameSite属性って何じゃらほい?」と呟いていたところでした(笑)
SameSite属性単体で理解しようとするものではなくて、クロスドメインやSSLも一緒に考える必要があるんですね。
なるほど。なぜ独自ドメインやfc2.netなどの新興ドメインが影響するのか? 当該対応のFC2インフォメーションでどうしてSSLの話も出てきていたのか? が理解できてスッキリしました。
いつも丁寧で分かりやすい解説記事ありがとうございます (*^^*)

vanillaice (Akira)
Akira
2020/07/23 (Thu) 00:00

To mochiさん

mochiさん、こんばんは。ご無沙汰しております ('0')/

かなり大雑把な説明なのでどうかと思いましたが、そう言って頂けて安心しました(笑)
今新規開設だとどうでしょうね。.netの方を選ぶ人の方が多いのかしら。「FC2」のキャラクタを避けたい気持ちはわからないでもない ^^;

こん
2020/07/23 (Thu) 09:35

丁寧な解説をありがとうございます

Akiraさん、こんにちは~。
どんなにお忙しくてもFC2ユーザーにとって重要なインフォメーションは分かりやすく解説してくださることには本当に頭が下がります。心より感謝申し上げまするm(__)m。

自分は実際に不具合を被ったので、あ~あれがこれか、とある程度容易に理解できましたけど、そうでなければSameSite属性、なんじゃいそれ?で終わっていました(爆。

で、早速「dctanalyzer.php」を探してみたところ、テンプレートでは見つからなくて、ブログのsourceで見つかりました(自動挿入だから当然でしたねvv)。
これまた以前Akiraさんが解説していらした独自ドメインやクロスドメインとFC2との紐づけの部分ですね。

<script type="text/javascript" charset="utf-8" src="https://admin.blog.fc2.com/dctanalyzer.php" defer></script>

SSL化が強制的に行われることになれば、もれなく付いてくるこのWarning問題も遠からず解決されるかな~だといいな~(笑。
Warning: The charset attribute on the script element is obsolete.

ではではとりあえず御礼まで。お忙しいでしょうがどうぞくれぐれもご自愛くださいませ。

vanillaice (Akira)
Akira
2020/07/24 (Fri) 20:39

To こんさん

こんさん、こんばんは ('0')/

このファイル挿入によるwarningなんですけども、SSLとは関係なく、htmlのバージョンに関係していますので解消はされないと思います。
html5テンプレートでwarningになることよりも、html5以外(xhtmlなど)のテンプレートでerrorになる方がより問題なので、仕方がないんですね。FC2がこの機会に旧式のテンプレートを分けて格納するとか思い切って提供を辞める、となればきれいに調整できると思うんですが、中国のアクセスを考慮する、という方針が揺るぎないようなのでたぶん無理 ^^;

こん
2020/07/25 (Sat) 08:15

To Akiraさん

Akiraさん、こんにちは~(^^)/。
お忙しいところ、お返事をいただきましてありがとうございます。

なるほど、SSL化を進めるのとhtml5への統一は次元が違う話なのですね~。ついでという訳には行きませんか(苦笑。

確かに製作者さんとのやり取りなどを考えるとかなり煩雑そうですものねvv。自分もつい2年ほど前までは何も考えずに旧式のテンプレートを、しかも大事に愛着を持って使っていましたし(汗。加えて中国からのアクセスにも配慮しているのですか。それって「大人のサイト」さんですかね(笑。

真っ赤なErrorが出ない限り良しとしなければなりませんね。それでも半年前とはエライ違いですからね( ̄ー+ ̄)。
それもこれもAkira師匠のおかげです。いつも本当にありがとうございますm(__)m。

コメントに関する注意事項
  • テンプレートに関するご質問は各テンプレート専用記事でのみ受付致します。また、よくある質問をまとめているページも事前にご参照ください。
  • 専門的なご質問の場合、記事内容と明らかに関連の無い内容はお控えください(雑談の場合はその限りではありません)
  • 第三者が不快と感じる内容や論調でのコメントはお控えください(性的,高圧的,暴力的など)