Google Chromeチームは8月17日(米国時間)、「Chromium Blog: Protecting Google Chrome users from insecure forms」において、Google Chrome 86から混合フォーム(Mixed forms)の挙動を変更すると伝えた。混合フォームにおける自動入力機能を無効にするほか、ユーザーが混合フォームへ入力を開始するとフォームが安全ではない警告テキストが表示されるようになる。

規制が強化される混合フォームの扱い - 資料: Google

HTTPSで提供されているページであっても、フォームのアクセス先がHTTPになっていることがある。このようなフォームは混合フォーム(Mixed forms)と呼ばれ、セキュリティ的に好ましくないと考えられている。HTTPS経由で送信されるデータは暗号化されているが、HTTP経由で送信されるデータは暗号化されない。このため、一見安全に見えるWebページで安全ではない通信が行われることになり、問題視されている。GoogleはChromeの挙動を変更することで、混合フォームに対する危機意識を高めることを狙っていると見られる。

Google Chrome 86は現在Devチャンネルの段階にある。安定版として公開されるのは2020年10月の上旬が予定されており、多くのユーザーは2020年10月頃から混合フォームに対する挙動の変化を体験することになると考えられる。

なお、混合フォームであってもログインおよびパスワード向けのフォームに関してはパスワードマネージャによる入力補助機能は動作するとされている。パスワードマネージャを使うことで、それぞれのサービスに向けてユニークなパスワードを使いやすくなるとされており、パスワードマネージャが使えなくなることで、同じパスワードが使い回されるユースケースが増えることを懸念していると見られる。