市町村区(地方自治体)のサイト一覧を作った上で情報をまとめてみた

/ ソウタロウ

前回、地方自治体のサイト一覧の情報をまとめた記事を書いたが、
ちゃんとしていなかった。

※前回記事
https://glorificatio.org/archives/3264

まず移転したページがあった。
301リダイレクトなどをしてくれていたら良かったのだが、『移転しました』とかいうページを表示するだけで満足しているサイトもあった。
中にはドメインが失効していて、別の変なサイトに使われている自治体もあった。

今回は、リダイレクトだけでなくmetaタグでrefreshして移動するサイトはちゃんと移動するようにしたし、移転ページが表示されるようなところはそれほど多くないので、検知後に手動でURLを変更して対応してみた。

それで一応すべての正しいURLをまとめ上げられたと思う

httpとhttpsの比率

前回の記事はhttpとhttpsとの比率だったけれども、両方アクセスできるサイトというのがある。
だから、両方アクセスできるかどうかも同時に確認して、そういう場合はhttp/httpsとして計上してみた。

常時TLSが進んでいる現在にしては、地方自治体のサイトたちはまだまだ遅れている。
殆どがhttpのみのアクセスだし、両立させていサイトも多い。
常時TLSなんて7%しかない。

そもそも両立させているサイトって意味があるのか?
正直言ってhttpなんてどんなhttpsの脆弱性のあるプロトコルより悪い状態なわけだ。
それだけのアクセスを認めるならば開き直った感はあるけれども、
httpsを認めつつ、httpも認めるというなんてホント意味がない。
お金出して証明書買ってhttpsで施した安全性を自ら意味なくさせるルートを用意させているということだ。
無駄という意味に置いてhttpのみアクセスサイトより意味がないサイトだと思う。

さらにだhttpsでアクセスするとリダイレクトさせてhttpにするサイトもまあまああった。
証明書はちゃんとしたお金出して買うような奴で、最近更新したような日付だった。
お金出してhttpsを用意したのに、httpにリダイレクトするなんて何の意図があってそうしているのか、意味がわからない。

そういうわけでchromeでhttpが警告出るようになった現在でも半分以上がhttpのみというのが地方自治体サイトの現状のようだ

TLSのバージョン

普通にアクセスしたときに選択されるTLSのバージョンはどのようなものかをまとめた

ほとんど1.2だけれどもまあまあの多さで1.0がある。

これは、httpとhttpsを併用しているサイトでおおい。
httpのアクセスを許しているから、httpsについてはあまり気にしていないということなのか。

CipherSuiteは何が使われているか

httpsでアクセスできるサイトで、どのCipherSuiteが選択されているかを統計をとった。
クライアントは何でも対応できる状態なので、ここにあるのはそれぞれのサーバーが対応できる優先度が一番高い物になっていると思われる。

1位や2位は、まあ今風の不安のないものが選択されている。

でも3位を見てみて欲しい
AES256-SHAがランクインしている。

これはSSLv3時代に使われていたCipherSuiteだ。
まあ、現状これで怒られるような脆弱性のあるものじゃないが、
今ではあまり見ないものだ。
これは鍵交換はRSAで行われている。
RSAは未来においても鍵の解析をされない安心はない。
つまりはちょっと古いということだ。

現時点では脆弱性はあるものじゃないが、これが何を意味しているのかというと、
時代が変わってもそれに合わせて一番いいものを選択するよううな運用をしていないということだ。
問題がなければ現状そのままということだ。

これが1番多くでたのはhttpとhttpsが併用しているサイトだったので、
httpでアクセスできるのでどんな暗号も意味はないけれども、
つまり常時TLSにしないという気持ちがあるので、httpsのほうもあまりメンテをしていないということなのだろう。
これで常時TLSにするということになったときに、こういうサイトはそのままの設定でhttpsだけにしないか心配だ。
最新の1番安全なものを選択しない運用ではそのうち失敗をおかしそうだ。

地方自治体一覧のCSVを公開した

githubに地方自治体一覧を公開した。

https://github.com/Sturnus-cineraceus/MunicipalityList/

ライセンスはパブリックドメイン

この一覧を作った方法は、
情報の古い地方自治体URL一覧を公開している人がいたので、それを元にアクセスしていった。

アクセス出来なかったら(ステータスが200以外だったら)、グーグルで手動で検索して新しいURLを探し、
301や302リダイレクトをしているならば、リダイレクト先を新しいURLとした。
ほかにもmetaタグを使ったリダイレクトも検知してリダイレクト先を新しいURLにした。

それでも、ちゃんとアクセスできているのに古いページということもある。
『移転しました』とだけ書かれているページになっていたり、ドメインが別の人に使われている場合もある。

こういう場合は探しづらい。
タイトルを目grepしておかしなページを探したり、bodyの容量の小さいものは確認しにいったりした。

これで1916件全部は一応正しいと思われる。

スポンサードリンク

関連コンテンツ