私が大阪府産業デザインセンターでデザイン相談員として担当しているホームページ無料診断の診断項目を解説するシリーズ第12弾!
今回は、セーフブラウジングについて書きます。
過去記事はこちら
- ブログのタイトルは何文字がいいか知ってる?
- メタ・ディスクリプション(概要文章)はちゃんと設定してる?
- 常時SSLじゃなくて、時々SSLになってるところ一定数ある説
- ホームページのスマホ対応の方法はレスポンシブウェブデザインだけじゃない
- ページが無い時に表示されるエラーページもちゃんとせなあかんよ
- 今、絶対に取り組むべきはページ表示スピードの改善です
- ユーザーの使いやすさに配慮しよう! コアウェブバイタル
- ページのアドレスはちゃんと正規化できてる??
- HTMLのエラーを侮ることなかれ
- リンクエラーはめっちゃもったいないって
- ホームページ(ブログ)は定期的に更新せんとあかんよ
セーフブラウジングとは
診断でチェックしている項目
現在の状況
防ぐ設定がされているか
- strict-transport-security
- x-content-type-options
- x-frame-options
- x-xss-protection
- Content Security Policy
チェック項目の説明
strict-transport-securityは、サーバがブラウザに対して、現在閲覧しているドメインのアクセスを次回以降HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構です。
x-content-type-optionsは、ファイルダウンロード時にファイル形式をブラウザに誤認させてJavascriptを実行させてしまうような攻撃(XSS攻撃)を防ぐことができます。
x-frame-optionsは、ブラウザがページを <frame>, <iframe>, <embed>, <object> の中に表示することを許可するかどうかを示すために使用され、クリックジャッキング攻撃を防ぐために使用することができます。
x-xss-protectionは、ブラウザの「XSS フィルタ」の設定を有効にし、クロスサイト・スクリプティング攻撃のブロックを試みる機能が有効になります。
Content Security Policyは、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティの設定です。
英語で書かれていて、専門用語も多く出てくるので、なんだかよく分かりにくいと思いますが、ハッキングに対抗するために必要な基本的な設定なんです。
基本的な項目で設定にもそれほど手間がかからないにもかかわらず、私が診断させていただく多くのホームページで、ほとんどの項目が設定されていない状況です。
最後に
制作会社はホームページを作るところなので、作るだけで終わりでいいのでしょうか?
私は、ホームページを作ったら、作ったなりの責任が発生すると思っています。
しかし現状では、今回ご紹介したような安心してホームページが利用できる環境づくりがされていなかったり、SSLも常時ではなく時々SSLになっていたり、UXだの、使いやすさだのと言っているにもかかわらず、今絶対に取り組むべきページ表示スピードの改善に全く対処していなかったりと、散々な状況のホームページが少なからず存在しています。
こんな状況下で、正しく設定され、最新の仕様にも最適化されたホームページ制作を行ってくれる会社を見つけるのは至難の業だと思います。
だって、どこもかしこも、全部できるって書いてありますから(笑)
ページの表示スピードの対策でも取り組むレベルが制作会社によって全然変わりますから。
今、ちゃんとしたホームページを作ってくれるところって、意外と少ないです。
簡単でいいから、安く...となると、ほぼどこかに欠陥があります(たぶんw)
うちのホームページはちゃんとできてるんかなあとか、今度ホームページをリニューアルするから仕様などを知っておきたいという方は、私が大阪府で担当しているホームページ無料診断をご利用ください。
大阪府下の企業さんは無料でご利用できます。
それ以外の地域の方は、私の会社の方にご相談ください。
新規のホームページ制作であっても、ホームページのリニューアルであっても、ネット集客コンサルティングのみのお問い合わせであっても、最初に必ずホームページの診断をさせていただきますので。