Google、「Chrome」でHTTPSサイトにおけるHTTPダウンロードのブロックを開始

「Google Chrome」で“混在コンテンツのダウンロード”がブロックされるように

　米Googleは2月6日（現地時間）、「Google Chrome」で“混在コンテンツのダウンロード（mixed content downloads）”を段階的に制限していく方針を明らかにした。セキュリティで保護されたHTTPSページからは、HTTPS以外のコンテンツをダウンロードできなくなる。

　この措置は、「Chrome 79」から実施されている混合コンテンツを廃止する取り組みの一環。WebページがHTTPSで暗号化されていても、コンテンツがHTTPのままでは改竄の可能性が排除しきれず、安全とはいいがたい。たとえば、ダウンロードプログラムがマルウェアに置き換えられてしまうと、機密情報を盗み取られたり、システムを乗っ取られてしまう。

　そうしたリスクを排除するため、2020年3月リリース予定の「Chrome 81」から、HTTPSページからHTTPコンテンツをダウンロードしようとすると警告が表示されたり、ダウンロードがブロックされるようになる。初めのうちは開発者ツールのコンソールに警告が表示されるだけだが、バージョンを重ねるにつれてユーザーにわかる警告、ダウンロードのブロックと対策は強化されていく予定。また、対象となるファイルも実行ファイルから書庫ファイル、ドキュメントファイル、メディアファイルといったように、徐々に拡大されていくとのこと。

　具体的なタイムラインは、図の通りとなる。ただし、これはデスクトップ版の場合で、モバイル版（iOS/Android）は1バージョンずつ遅れて実施されるとのこと。将来的には、安全でないダウンロードがさらに制限されていくという。

混在コンテンツのダウンロード廃止のタイムライン

　警告をユーザーに見せたくない場合は、ダウンロードコンテンツをHTTPS接続で配信すればよい。開発者は「Chrome 81」で試験フラグ（chrome://flags/#treat-unsafe-downloads-as-active-content）を有効化し、自分のWebサイトでどのようなエラーが表示されるのかをあらかじめ確認しておくべきだろう。なお、法人や教育機関で対応が間に合わない場合は、“InsecureContentAllowedForUrls”ポリシーにURLを追加することでブロックをWebサイト単位で無効化できる。