ニュース

Google、「Chrome」でHTTPSサイトにおけるHTTPダウンロードのブロックを開始

当初は警告のみ、実行ファイルのブロックは「Chrome 83」から。「Chrome 86」で全面禁止

「Google Chrome」で“混在コンテンツのダウンロード”がブロックされるように

 米Googleは2月6日(現地時間)、「Google Chrome」で“混在コンテンツのダウンロード(mixed content downloads)”を段階的に制限していく方針を明らかにした。セキュリティで保護されたHTTPSページからは、HTTPS以外のコンテンツをダウンロードできなくなる。

 この措置は、「Chrome 79」から実施されている混合コンテンツを廃止する取り組みの一環。WebページがHTTPSで暗号化されていても、コンテンツがHTTPのままでは改竄の可能性が排除しきれず、安全とはいいがたい。たとえば、ダウンロードプログラムがマルウェアに置き換えられてしまうと、機密情報を盗み取られたり、システムを乗っ取られてしまう。

 そうしたリスクを排除するため、2020年3月リリース予定の「Chrome 81」から、HTTPSページからHTTPコンテンツをダウンロードしようとすると警告が表示されたり、ダウンロードがブロックされるようになる。初めのうちは開発者ツールのコンソールに警告が表示されるだけだが、バージョンを重ねるにつれてユーザーにわかる警告、ダウンロードのブロックと対策は強化されていく予定。また、対象となるファイルも実行ファイルから書庫ファイル、ドキュメントファイル、メディアファイルといったように、徐々に拡大されていくとのこと。

 具体的なタイムラインは、図の通りとなる。ただし、これはデスクトップ版の場合で、モバイル版(iOS/Android)は1バージョンずつ遅れて実施されるとのこと。将来的には、安全でないダウンロードがさらに制限されていくという。

混在コンテンツのダウンロード廃止のタイムライン

 警告をユーザーに見せたくない場合は、ダウンロードコンテンツをHTTPS接続で配信すればよい。開発者は「Chrome 81」で試験フラグ(chrome://flags/#treat-unsafe-downloads-as-active-content)を有効化し、自分のWebサイトでどのようなエラーが表示されるのかをあらかじめ確認しておくべきだろう。なお、法人や教育機関で対応が間に合わない場合は、“InsecureContentAllowedForUrls”ポリシーにURLを追加することでブロックをWebサイト単位で無効化できる。