Google Chromeは、すでにウェブ上の特定の種類の「混合コンテンツ」をブロックしています。現在、Googleはさらに深刻化していると発表しています。2020年初頭から、Chromeはデフォルトですべての混合コンテンツをブロックし、既存のページの一部を破壊する予定です。ということなのです。

こんごうぶつは何ですか？

ここでは、安全で暗号化されたHTTPS接続で配信されるコンテンツと、暗号化されていないHTTP接続で配信されるコンテンツの2種類があります。HTTPSを使用すると、伝送中にコンテンツを盗み見たり改ざんしたりすることができないため、金融情報や個人データを扱う場合は、サイトが暗号化を提供することが極めて重要です。

ウェブは安全なHTTPSサイトへ移行しています。暗号化されていない古いHTTPサイトに接続すると、Google Chromeはこれらのサイトが「安全ではない」ことを警告するようになりました。Googleは現在、デフォルトで安全なサイトであるべきだとして、「https://」インジケータさえ非表示にしました。これは、サイトがデフォルトで安全であるべきだからです。新しいHTTP/3規格では、暗号化が組み込まれる予定です。

一部のウェブページは安全なHTTPS接続で配信されますが、暗号化されていないHTTP接続で画像、スクリプト、その他のリソースを取り込みます。このようなページは、完全にセキュリティが確保されていないため、「ミックスコンテンツ」と呼ばれます。ウェブページ自体は改ざんできませんが、スクリプトや画像、iframe（他のウェブページの「フレーム」内のページ）を引き込んで、改ざんされる可能性があります。

ミックスコンテンツがダメな理由

コンテンツが混在していると混乱する。安全でありながら、安全でないWebページをご覧になっています。例えば、通常安全なウェブページは、JavaScriptファイルをHTTPで取り込むことができます。例えば、公共のWi-Fiネットワークで、キーストロークの監視からクッキーの**追跡まで、ウェブページ上で信頼できない厄介なことをたくさんしている場合、スクリプトが変更される可能性があります。

スクリプトやiframeなどの「アクティブコンテンツ」が最も危険ですが、画像、動画、音声が混在するコンテンツも危険です。例えば、安全な株取引サイトを閲覧しているときに、HTTPで銘柄の履歴を画像で取得するとします。画像は安全ではなく、送信中に改ざんされ、誤った内容を表示する可能性があります。また、暗号化されていない回線で配信されるため、通信中のデータを盗み見ると、どんな銘柄を見ているのかがわかってしまいます。

このようにコンテンツを混在させるのは良くないことです。Web ページが HTTPS を使用している場合、そのリソースもすべて HTTPS で引き込まれる必要があります。ウェブが HTTP で始まり、サイトが徐々に HTTPS にアップグレードしていったのは、歴史的な偶然に過ぎません。あるいは、当時HTTPSをサポートしていなかったサードパーティのリソースに依存した可能性もあります。

Googleや他のブラウザープロバイダーがコンテンツの混合をより難しくし、イライラさせるようになった今、ウェブサイトはこのコンテンツをクリーンアップして、自分たちのページがデフォルトで機能し続けるようにしなければならなくなります。

クロムは一体何が変わるのか？

Chromeは現在、混合スクリプトとiframeをブロックしています。2020年1月に早期リリースチャンネルにリリースされるchrome 80は、技術的に混合オーディオおよびビデオリソースをブロックし、安全なHTTPS接続を介してそれらをロードしようとし、それができない場合はブロックされます。混合画像は読み込まれますが、Chromeはページが「安全ではありません」と表示されます。Chrome 81では、混合画像の読み込みを停止します。ユーザーは、混合コンテンツの読み込みを許可することができますが、デフォルトでは許可されません。

すべては、ウェブをより安全にするための一環です。Googleのブログ記事によると、"安全でない "情報は、"ウェブサイトが画像をHTTPSに移行する動機になる "と予想しているそうです。

クロームで混合コンテンツのブロックを解除する方法

Chromeはすでに、アドレスバーにブロックアイコンを表示し、「安全でないコンテンツをブロックする」というメッセージを表示して、特定の種類の混合コンテンツをブロックしています。その仕組みは、Googleが作成したコンテンツが混在するページの例で確認できます。例えば、ミックスコンテンツスクリプトのブロックを解除するには、"Load unsafe scripts" というリンクをクリックする必要があります。

混合コンテンツの実行に同意された場合、ページは安全なものから安全でないものに変更されます。

Googleは、2019年12月にリリースするChrome 79でこれを簡略化する予定です。ページアドレスの左側にある鍵のアイコンをクリックし、「サイト設定」をクリックして、サイトの混在するコンテンツのブロックを解除する必要があります。

このオプションはより分かりにくくなりますが、ここで重要なのは、ほとんどの人がサイトのハイブリッドコンテンツを有効にする必要がないということです。Web開発者は、リソースを安全に配信するためにサイトを修正する必要があります。このオプションにより、ハイブリッドコンテンツが誰にでも無効になったとしても、旧ビジネスサイトを使用している人は、引き続きアクセスすることができます。

このようなサイトが必要な方、ご安心ください。Googleは、Chromeで混合コンテンツを読み込むオプションを削除する日をまだ発表していません。Googleのウェブブラウザは、デフォルトですべての混合コンテンツをブロックしますが、当面の間、混合コンテンツを有効にするオプションを提供し続ける予定です。

他のブラウザではどうでしょうか？

Chromeだけでなく、Firefoxでもスクリプトやiframeなどの混在コンテンツをブロックし、「保護を一時的に無効にする」設定をクリックして、再度有効にするよう求めています。MozillaがGoogleに追随してくれることを期待しています。AppleのSafariも、混合コンテンツを積極的にブロックしています。

もちろん、Microsoftの新しいEdgeブラウザは、googlechromeのベースとなるChromeのコードをベースにしており、Chromeと同様の動作をする予定です。

関連記事：Google ChromeがWebサイトを "安全でない "と表示する理由とは？