ニュース

HTTP接続サイトは“安全でない”サイト扱いに ~「Google Chrome 68」が正式公開

“iframe”リダイレクトを悪用する広告をブロックする仕組みも。脆弱性修正は42件

すべてのHTTP接続サイトが“安全でない”サイト扱いになった「Google Chrome 68」

 米Googleは7月24日(現地時間)、Webブラウザー「Google Chrome」の最新安定版v68.0.3440.75を公開した。「Google Chrome 68」におけるトピックは、すべてのHTTP接続サイトが“安全でない”サイト扱いになったことだ。

 HTTP接続で読み込んだWebサイトには、途中で誰かに盗聴され、内容を改ざんされる危険がある。そこで同社は、HTTP接続のサイトを段階的に“安全でない”サイトとして扱う方針を明らかにして、WebサイトのHTTPS移行を強力に推し進めてきた。その一環として、「Google Chrome 68」でHTTP接続サイトを閲覧すると、アドレスバー左端に“保護されていません”という注意ラベルが表示され、接続が安全でないことが明示されるようになる。

HTTP接続サイトを閲覧すると、アドレスバー左端に“保護されていません”という注意ラベルが表示される

 この取り組みは今後も強化されていき、10月にリリースされる「Google Chrome 70」では、ユーザーがHTTPサイトでパスワードを入力しようとすると赤い警告ラベルが表示されるようになるという。

「Google Chrome 70」ではユーザーがHTTPサイトでパスワードを入力しようとすると赤い警告ラベルが表示されるように

 加えて、“iframe”リダイレクトの仕組みを悪用してユーザーを不審なサイトへ誘導する悪質な広告をブロックする機構が導入された。「Google Chrome 68」では、“iframe”コンテンツが別のドメインへのリダイレクトを要求すると、それをポップアップブロックと似た仕組みでブロックする。リダイレクトが不正なものでなければ、ユーザー側のアクションでそれを許可することも可能だ。

勝手に不審サイトへ飛ばすタイプの悪質な“iframe”広告をブロック

 そのほかにも、支払いフローを統一して業者ごとに固有な支払いフォームを不要にする“Payment Handler API”や、タブを開く・バックグラウンドへ移行する・アクティブになる・閉じるといったWebページのライフサイクルを標準化して、システムのリソースをより効率的に利用できるようにする“Page Lifecycle API”が新たに導入される。

 なお、本バージョンでは42件の脆弱性が修正されているので注意。脆弱性の深刻度の内訳は、同社基準で4段階中上から2番目の“High”が5件、上から3番目の“Medium”が22件、最低の“Low”が5件などとなっている。

 「Google Chrome」はWindows/Mac/Linuxに対応するフリーソフトで、現在、同社のWebサイトからダウンロード可能。Windows版は64bit版を含むWindows 7/8/8.1/10で利用できる。「Google Chrome」は自動更新機能を備えているが、長期間起動したままで利用している場合や、アップデートを自分で管理している場合は、最新版への更新を怠らないようにしたい