【Chrome】HTTPSサイトの混在コンテンツを段階的にブロック強化！

Googleは米現地時間10月3日、HTTPSに完全に移行していないWebサイトに対する「Google Chrome」の動作を2020年から強化していくことを発表しました。

2019年12月にリリース予定のGoogle Chrome 79以降、段階的にHTTPの混在コンテンツをブロックするとしています。

Googleはインターネットのセキュリティを重視していて、暗号化されセキュリティに強いHTTPSへの移行を強く促していますが、その方針をさらに強める発表となっています。

「混在コンテンツ」とは、サイト自体はHTTPSであって、そこに読み込む画像や動画、スクリプトなどが暗号化されていないHTTPで提供されているもののことを言います。

このHTTP経由とHTTPS経由のリソースがページ内に混在している「混在コンテンツ」は、WebサイトがHTTPSへの移行を開始した当初から問題となっていました。

Googleによると、すでにChromeユーザーはWeb全体の大部分がHTTPS化されていて、全てのメジャーなプラットフォームでブラウジング時間の90%以上をHTTPS上で費やしていると言います。

また、Chromeではすでに、HTTPSではないサイトを表示するとアドレスバーに「保護されていない」との注意が表示されるようになっています。

ただし「混在コンテンツ」に関しては、一部のデフォルトでブロックされているもの以外はそのまま読み込みを行います。これを悪用すると、HTTPSサイトであっても悪意のあるスクリプトを組み込んだりといったことが可能になってしまいます。

これを防ぐためにChrome 79以降では混在コンテンツを段階的にブロックするようになるというわけです。

まず2019年12月にリリースされるChrome 79では、現在デフォルトでブロックしている「iframe」などを、サイト毎にブロック解除できる設定が追加されます。

さらに2020年1月のChrome 80では、動画や音声などの混在コンテンツを自動的にHTTPS経由で読み込むように試みます。これに失敗した場合にはChrome 80でそのコンテンツはブロックされますが、先の設定により解除は可能です。

Chrome 80において、画像は引き続き表示されますが、HTTP経由のものが混在する場合にはアドレスバーに「保護されていない」との注意が表示されます。

そしてChome 81では、動画や音声と同様に混在画像についてもHTTPS経由での取得を試み、失敗した場合にはブロックするようになります。

Chome 81においてはユーザー側からすると、通信が暗号化されているかどうかを気にする必要がなくなるのが大きなメリットでしょう。Chrome 81は2020年2月に初期リリースチャンネルに搭載される予定です。

ただし、錠マーク（HTTPS経由で保護されている通信の意味）が出ているからといって、そのサイト自体が安全であるわけではなく、フィッシングサイトの多くがHTTPSを利用しているとの調査結果もあるので、個人情報の入力は引き続き注意が必要です。