【 #5ちゃん親分加油 】混合コンテンツはすべてデフォルトブロックへ 〜「Google Chrome 79」から段階的に実施

1:2019/10/07(月) 17:42:41.97ID:sILaWZYQ9 混合コンテンツはすべてデフォルトブロックへ 〜「Google Chrome 79」から段階的に実施−サイト運営者もできるだけ早めの対応を
2019年10月7日 16:25

 米Googleは10月3日(現地時間)、“混合コンテンツ(Mixed Content)”のデフォルトブロックを「Google Chrome」で段階的に進めていく方針を明らかにした。

 “混合コンテンツ”とは、閲覧ページが安全なHTTPS接続で読み込まれているにもかかわらず、そのHTTPSページに含まれる他のリソース(画像、動画、スタイルシート、スクリプトなど)が暗号化されていない、安全ではないHTTP接続で読み込まれている状態、つまりHTTPSページにHTTPサブリソースが混在している状態をいう。この状態では閲覧ページの安全が完全に保証されているとはいいがたい。

 そのため、「Google Chrome」ではスクリプトや“iframe”など、とくに危険とみなされているリソースをブロックしてユーザーの安全を保護している。ブロックの通知はオムニバー左側の盾アイコンで行われ、ここからリソースのブロックを解除することが可能。ブロックを解除すると、オムニバー左端の鍵アイコンは“Not Secure”という警告アイコンに置き換わり、ユーザーに対し注意を促す。
しかし、画像や音声、動画といったリソースはHTTP接続から読み込まれたものであっても引き続き許可されていた。これはWebページの互換性を維持するための措置だが、たとえばHTTP配信されている株価チャートを改竄して投資家を欺いたり、混合コンテンツの読み込みに乗じて追跡Cookieを仕込んだりといった攻撃を許す余地がある。

 この状態を改善するため、「Google Chrome」ではすべての混合コンテンツがデフォルトでブロックされるようになる。混合コンテンツのデフォルトブロックは、以下の3つのステップに分けて段階的に実施される予定だ。

 まず「Google Chrome 79」では、混合コンテンツのブロックを解除するための新しいオプションが導入される。従来はオムニバー右側の盾アイコンで混合コンテンツのブロックが通知されていたが、「Google Chrome 79」ではサイト情報パネルの[サイト設定]メニューでブロックと解除をコントロールすることになる。この段階では、画像や音声、動画といったHTTPリソースはまだブロックされない。

次に「Google Chrome 80」では、音声や動画などのHTTPリソースを自動でHTTPS接続へアップグレードするようになる。HTTP接続で読み込むように指定されているリソースであっても、HTTPS接続でも利用できるのであれば、代わりにそれが読み込まれ、Webページは破損せずにこれまで通り表示される。もしHTTPS接続で読み込めないならば、コンテンツはブロックされ、サイト情報パネルからブロックを解除しない限り表示されなくなる。

 なお、画像リソースに関してはHTTP接続のものが混ざっていてもブロックされず、そのまま読み込まれる。ただし、その場合はオムニバーに“Not Secure”というラベルが表示される。この警告はかなり目立つため、HTTPS接続への移行と同様、サイト運営者に対応を強く促す効果があると期待できる。

 最終的には「Google Chrome 81」で、HTTPS接続による読み込みに失敗したコンテンツはすべてブロックされるようになる。画像コンテンツはHTTPS接続への自動アップグレードが行われる。

 ともあれ、サイト運営者はできるだけ早めの対応を行うべきだろう。同社はそのほかにも、TLS 1.0/TLS 1.1の廃止に備えて「Google Chrome」のUIに変更を加えることを発表している。
https://forest.watch.impress.co.jp/docs/news/1211/349/amp.index.html?__twitter_impression=true
https://i.imgur.com/VFjj9xC.jpg
https://i.imgur.com/eAEXut7.jpg
https://i.imgur.com/WmuggMh.jpg
https://i.imgur.com/CP32obn.jpg

25:2019/10/07(月) 18:40:58.70ID:+BLFzhB70

うわ、オレの弱小ブログも対応を迫られるのか
やれやれ

288 2019/10/08(火) 01:46:17.31ID:ANthxIGG0

今新築立ててる途中なんだ。頼むから三鷹は強風吹かないでくれ。前回ので被害が出て、予算がやばい。

19:2019/10/07(月) 18:08:59.13ID:7mOnps6o0

>>16
外部から読み込んでる系のプログラムは、ソース全部洗わないとダメだよね
難読化されてるとほぼお手上げだけどさ・・・・・・

17:2019/10/07(月) 17:59:56.34ID:9SN7Mrer0

>>12
専ブラ使えよ

28:2019/10/07(月) 19:02:55.30ID:1I7KuREn0

>>15
消してくれ、じゃなくてお前が消すんだよ

32:2019/10/07(月) 20:14:46.00ID:zHkeF+jU0

オレTwitterはChromeで見ることにしてるんだけど
今後問題ありそう?

31:2019/10/07(月) 19:30:23.47ID:RhXmWUI90

SSLゴリ押しで個人サイトがどんどん日陰に追いやられる

13:2019/10/07(月) 17:57:10.55ID:f7TwUFac0

つまり「ナチス」=「旭日旗」ってことか?

3:2019/10/07(月) 17:44:01.96ID:cpmhMlVl0

広告表示・非表示機能で独占しちゃう的な?

11:2019/10/07(月) 17:52:54.80ID:3QbltiRz0

見れないサイトってこれのせい?
なんかエラーがでてお試しくださいを試しても無理。
他のブラウザなら見れるから悪さしてるのはChromeなんだよね

18:2019/10/07(月) 18:00:34.47ID:NfUCGCXt0

最近クロームをまた使い出したけど、一番使いやすね

10:2019/10/07(月) 17:51:51.55ID:0tpjajvS0

「北の国から」みたいなタイトルつけてんじゃねえぞ。

12:2019/10/07(月) 17:55:06.02ID:91GSVMnF0

「北の国から」みたいなタイトルつけてんじゃねえぞ。

6:2019/10/07(月) 17:45:20.17ID:OV293XoG0

chrome重くなったなあ

16:2019/10/07(月) 17:59:39.90ID:b7ZMnI4J0

jsファイルがブロックされまくってサイト崩壊に一票

20:2019/10/07(月) 18:27:12.39ID:qTQrRJcy0

>>1
メリットが分からん

静的コンテンツを https にするメリットって何なんだ?

ヴァネバー・ブッシュやバーナーズ・リー、テッド・ネルソンの構想にそんなもの有ったか?

本質的だった理想が捻じ曲げられてきてる気がする

26:2019/10/07(月) 18:43:13.66ID:Owzj6dwG0

何か個人情報を一番抜くのがグーグルだな。

メモリは16GBに増設した。

created by melloblo

報告する

コメント

  1. この記事へのコメントはありません。

コメントするためには、 ログイン してください。

関連記事一覧