避けて通れるはずもない SSL化 (o'ω')ノ
運営側も強制執行のタイミングを見計らっている、という感じでしょうか。
【重要】【ブログ】 SameSite属性対応 & ブログ全体のSSL化につきまして
平素は、FC2 (fc2.com) をご利用いただき、誠にありがとうございます。このたび FC2ブログ (blog.fc2.com) では、各ブラウザーで予定されている Cookie の SameSite属性の変更への対応を完了いたしました。今回の対応は、各ブラウザーで SameSite=Lax がデフォルトとなることで、独自ドメインのブログを閲覧したり編集したりする際にFC2ブログへのログイン状態が引き継がれなくなる という問題へ対処したものです。ただし、この...
注意すべきは独自ドメインと新規ドメイン
SameSite属性 がなんなのか、は後述します。FC2ブログで注意が必要なのは
- 独自ドメインを取得している
- fc2.com 以外のドメイン(.net など)
です。あとは別サービスですが FC2カート というのがありますよね。一番大変なのはこのサービスではないかと思います。
注意する、といってもユーザーがすべきこと・できることは 自身のブログをSSL化すること だけです。他には何もできません。SSL設定をopt in(有効化)する以外のことは運営に任せるしか方法なし。なので必要以上に身構える必要はないと思います。何もできないわけなので(笑)
独自ドメインだけではなく 新興ドメイン も対象です。該当しそうなのは 他サービスから移転した人 が多いかな、と思います。ちょうど時期的に重なりますし、今後FC2ブログを開設する方ももしかするとURL内の fc2 の文字を避けたい人が居るかもしれない(笑)
で、疑問としては「独自ドメインはさておき、.net なども関係するのは何故か。同じサービス内なのに何故なのだ。」という点ではないかと思います。
同じサービスなのに何故?その理由
FC2ブログの代表ドメイン(トップドメイン)はあくまでも fc2.com です。管理画面 など全てのページがこのドメインで統一されています。
.net のような新興ドメインは読んで字の如く fc2.com ではないわけですよね。要するに同サービス内であっても、利用条件・環境などが元のドメインと全く同じであってもそれは 別ドメイン であり、クロスドメイン である、ということです。
ですから利用環境を除けば独自ドメインと新興ドメインの立場は全く同じなんですね。やれ有料だ、やれこんな機能があるとかいう話ではなく等しく fc2.com じゃない という点で同じ。
これはFC2だけの問題ではなくてですね、大手ブログの大半がこの クロスドメイン問題 で困っているという状況です。Livedoorなんかは旧ドメインについて作業を半ば放棄したような格好に見えます(笑)
「開設時にドメインが選べますよ」といったサービスの場合、この落とし穴が待っていた、というわけです。とはいえこの問題に対処するのはあくまでも運営ですから、ユーザーは見守るだけ。
で、クロスドメイン なんですが、「ドメイン間を行ったり来たり」という意味です。例えば
管理画面 - https://admin.blog.fc2.com/control.php?
↓
↓遷移
↓
自分のブログ - https://xxx.blog.net/
これもうクロスドメインですね。ドメイン違いのページへ行ったり来たり。あるいは
ログインページ - https://fc2.com/login.php?ref=blog
↓
↓遷移
↓
自分のブログ - https://xxx.blog.net/
これもそうですね。クロスドメインです。
SameSite属性とは
簡単に言えば クッキー情報の制限 に関係します。
クッキーというのは例えば「ログインする → ブログ記事を書く」といった一連の動作で、記事を書く際にはログイン状態が保持されていなければいけませんよね。「ブログを書くページ」に移動したらログインが解除される、なんてことがあればブログ運営できません。あるいはコメントを書くとか、自分のブログにコメントしたら自動でプロフィール画像が付くとか(テンプレートによります, 管理人かそうでないかの見分けが行われます)。これらは全てクッキーが大きな役割を果たしています。
一番わかりやすい例は Amazon など ECサイト と呼ばれるサービスです。Amazonが本件の対象という意味ではなく、「web上で何かを売っているサービス」という例で出しただけです。
こういったサイトではサービス提供側のページとは別に商品提供者の専用ページが別ドメインであったり、カート・購入手続きページが別ドメインであったりで、それらを頻繁に行き来します。そこで「ドメインが違ったらクッキーを発行しない」となれば「これまでの行動履歴を失う」ことになりますので カートに入れた商品が消えてしまう ですとか、ページを移動するたびに再ログインを要求される なんてことが起こってしまいます。ですからクッキー情報というのは非常に大事なんですね。
滞在ページでクッキーが発行されますが、別のドメインに移動する場合にそのクッキー情報を保持するのかどうかの指定、それが今回の SameSite属性 です。セキュリティの観点から言えば別ドメインのページに元ページの情報を渡すというのは危険な行為ですから、それを阻止しようという動きですね。
SameSite属性 の値は none lax strict の3つあります。緩い順です。
今回の騒動(?) はGoogle Chromeが「SameSite属性の初期値を Lax にします」というものですね。Lax値は「厳格, 同ドメインでもクッキー受け渡しが出来ない場合もある」です。strictはさらに厳格。
SameSite属性はhtmlではなくphpで処理しますので、一部「独自変数」として開放されてはいますが、原則FC2ブログでphpを操れるのは運営スタッフのみです。なのでユーザーは何もできないし、しない (´・ω・`)
何某かの属性というのは必ず 初期値 というのがあり、何も書かなければ(属性自体も書かなければ)自動的に初期値が適用されます。今回Chromeが行うのは 明示が無ければ自動的に Lax を初期値とする というものです。
初期値が変更されるというのはものすごく大きなことで、全てのことが変わってします。例えば「今度からdiv要素のdisplay初期値はblockからnoneに変更になります」なんてことがあればブログに何も表示されなくなりますので 修正必須要件 です。わかりやすい例として出しただけですよ。念の為(笑)
現存する多くのサイトがSameSite「未記入」「明示なし」という状態が多く、未記入の場合Noneを想定していたものが自動的にLaxに変わるわけですから、それはもう大変なことですよね。そしてその対処を今回FC2が行いましたよ、ということです。明示及びメソッド変更だろうと思います。
SSL化必須
ここのところwebの大きな流れは セキュリティの確保 で、本件もその一環です。そして重要なのはアナウンスにあるように ユーザーによる自主的なSSL化が必須 という点。
SSL対応なしの場合と対応ありの場合で対処が違いますので、今回FC2は「SSL対応あり」として対処を行っています。ですから「SSL対応をしていないブログの場合には害が生じますよ、早くやってくださいよ、そのうち強制的にSSL化を執行しますよ」というアナウンス内容になっています。
FC2ブログのようにユーザーの自由度が高い、ユーザーの自己責任率が高いブログで運営が問答無用で強制的にSSL化、なんてことをやってしまうとFC2ブログ全体で大混乱になります。なので猶予期間(ユーザーによる任意設定)を設け、いよいよとなれば強制SSL化、という流れで進んでいますが、これは正解だと思います。
やっぱりこういう大きな変更では
再三のアナウンス → 強制執行
という形を取るのが良策です。そのセオリーに従ってやっている、と。
やれウィジェットがhttpだから、やれ外部直リンク画像のURL修正がめんどうだから、なんてもう言っていられません。利用している某のウィジェット・ブログパーツなどがSSL非対応なのであれば すっぱり切り捨てる。これしか道は無し。もうそんなことで悩んでいる段階ではありません (´・ω・`)
まとめ
えっとですね、独自ドメインの方、新興ドメインの方は末尾 dctanalyzer.php となっているファイルが自動的に適用されているはずです。このファイルはクッキーが関係しており、非常に重要なファイルです ので、削除したり阻害するなどは行わないよう注意してください。
fc2.com で運営している人は特に何もありませんので(もちろんSSL化しているのが絶対条件)、もしブログ仲間の方が「コメントおかしい」「履歴おかしい」など生じていましたら 「SSL化していないからかもよ」と助言すると良いかもですね。もちろん別の原因かもしれないけど(笑)
There are no comments yet.