画像提供:マイナビニュース

写真拡大

Google Chromeチームは10月3日(米国時間)、「Google Online Security Blog: No More Mixed Messages About HTTPS」において、ChromeではHTTPS/HTTP混在ページにおけるHTTPをデフォルトでブロックの対象としていくと伝えた。挙動の変更は年末から2020年第1四半期にわたってリリースされるChromeで順次行われる。

予定されている挙動変更のスケジュールは次のとおり。

Webブラウザでは、HTTPSで提供されているページからHTTPでコンテンツを引っ張ってきていることがある。対象はJavaScript、iframe、画像、動画、音声などさまざま。HTTPSで提供しているページからHTTPで提供されているリソースを読み込むことはセキュリティ上好ましくないとされており、現在ではJavaScriptやiframeといったセキュリティ上の懸念が強いコンテンツはデフォルトブロックの対象となっている。

Googleはこの対象範囲を広げて、動画や画像といったコンテンツに関してもデフォルトでブロックするように変更していく。

画像や動画などのコンテンツは危険性が低いと考える人もいるかもしれないが、株価のチャート画像などが差し替えられた場合、投資家を誤った投資へ導くことが可能になる。また、混在リソースに対してトラッキングクッキーを忍ばせることもできる。

さらに、HTTPSからHTTPのリソースを取得している場合、ユーザーに対してそのページが安全か安全ではないのかを提示することが難しいという問題も存在している。

HTTPSページにおける全HTTPブロックが機能するようになった場合、これまで表示されていた画像や動画が表示されなくなる可能性がある。リソースの提供元がHTTPS経由でのアクセスを提供している場合は、これまで通りのコンテンツが表示される。新しい挙動は年始ごろから利用するユーザーが増えると考えられ、それまでに確認やHTTPSへの移行などを実施することが望まれる。