sakazuki.info

たまに近況が更新されたりします

就活SWOTの常時SSL化について

calendar

今月から、就活SWOT(swot.jp)を常時SSL化しています。

個人情報をやりとりするサイトならSSL化することは当然ですが、
「常時SSL化するかどうか」は意見もわかれるところです。

◎非SSLページを混在させるよりも、わかりやすく管理しやすい

SSL化されたページと、SSL化されていないページが
同サイト内で混在している場合、開発者としては色々と気を使う部分があります。

多くのサイトではログインページや会員登録ページだけSSL化していたりしますが、
SSL化していないページでCookieの情報をやりとりしていれば、
同じネットワークを使うユーザーからセッションハイジャックされる危険性があります。

同じネットワークを使っているユーザーがその気になれば
通信している内容を傍受することは技術的に可能ですので、
特に外出先の無線LANなどを使ってインターネットするユーザーが多い場合は
かなり問題となります。

そうならないためには、
「ログインしているユーザーはSSL化されたページに飛ばす」などの設定が必要になるのですが、
それなら最初からログインしていないユーザーも常時SSL化してしまう方が運用上わかりやすいのです。

「このページは、SSL化するべきか?もししない場合、この機能は外して…」
など、あれこれ考える手間がなくなり、スッキリしました。

周囲でも意見を聞いてみたところ、
「全ページ暗号化されている方が、なんとなく安心」という意見もありました。

◎httpからhttpsへのリダイレクトをhtaccessにて設定

基本的に今まではHTTP~のURLで告知したり、検索エンジンにインデックスされているため
新しいHTTPS〜のページにリダイレクトさせる必要があります。

常時SSL化させるのであれば、
一番上の階層にhtaccessで下記を書くだけ。簡単です。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

◎同サーバ内のコンテンツを表示させる際は、相対パスで指定(もしくはHTTPS〜で)
◎外部サイトのコンテンツを表示させる際には、HTTPSで

これはデメリットというよりも手間がかかる点ですが、
SSL化するページにおいては、
<img src=”http://swot.jp/img/image.jpg”>
のような画像を入れてはいけません。

アクセスするウェブサイト自体のURLがHTTPSになっていたとしても
そこからアクセスする画像を取得する際の通信が暗号化されていないので
完全なSSL通信になっていないのです。

また、CSSやjsファイルも、相対パスで参照するか、
https~でリンクする必要があります。
(ハイパーリンクはOKです)

また、CSS内で参照する画像ファイルに関しても
相対パスかhttps://〜 でなくてはいけません。

もし、絶対パス指定でhttp://~のURLを参照すると
「セキュリティで保護されていないコンテンツが表示されています」という
表示が出てしまい、ブラウザによってはその表示が結構大げさな感じになるため
ユーザーに不安感を持たせることになってしまいます。

ユーザーに安心して利用してもらうことが目的なのに、
むしろ余計な不安を持たせることになっては意味が無いので
せっかく常時SSL化するのであれば、そのようなページが出ないようにしなければいけません。

ログインページや会員登録ページだけどSSL化するのであれば作業も簡単ですが
全ページをSSL化するのであれば、チェック・修正するのも手間です。

また、どうしても消すわけにいかない参照先もあり、
そこがSSL通信に対応していない場合もあります。

就活SWOTの場合でも一部、絶対パスで記載されているサイト内での画像参照先を
書き換えられない部分があり、そこはまだ修正途中になっています。

◎GoogleAdsenseの収益減

さて、画像やCSS、JSファイルはなんとかなるとして、
1つ問題が生じます。

実は2013年9月現在、SSL接続しているサイトではGoogleAdsenseが表示されません。
(ブラウザによって多少動きは違うかもしれませんが、Googleも公式に「対応していない」と表明しています。)
Google自身はサイトを常時SSL化しているのに
GoogleAdsenseを載せるためには常時SSL化するわけにいかない、というのは
矛盾を感じる部分もありますが、
GoogleAdsenseを載せたいサイトは、常時SSL化できないという事になります。

→ちょうどこの記事を書いている途中に、SSL対応されました。
 ただし、SSL対応していない広告は除外されるため、収益性が低くなるとのことでした。

SSL 対応の AdSense 用広告コード – AdSense ヘルプ

就活SWOTの場合は、「自社広告の収益 >> GoogleAdsenseの収益」であるため
swot.jp内からはGoogleAdsenseを減らし、自社コンテンツへの誘導を強化する方針に転換しました。
GoogleAdsenseの収益は減るものの、
自社コンテンツの閲覧・コンバージョン数が増えるのであれば、全体の収益はむしろ増えるかもしれません。

(もしプレースメントを使って就活SWOTのAdsense枠に広告出稿してくださっている方がいらっしゃったら大変申し訳無いのですが、これを機に直接出稿をご検討いただければと思います。)

なお、job.swot.jpドメインで運用している「転職SWOT」や
ひとりぐらし白書(hitorigurasi.info)、中古物件購入ナビ(adu.jp)に関しては
常時SSL化させていないため、引き続きGoogleAdsenseを利用していく予定です。

なお、バリューコマースやA8ネットなどのアフィリエイト広告でも同じ問題が生じるのですが、これらのサイトについては「メルマガ用」の広告コードを使うことでなんとかなります。