ニュース
危険な“混合フォーム(mixed forms)”にご用心 ~「Google Chrome 86」から警告措置
セキュアなHTTPSページにも盗聴・改竄の危険があるHTTPで送信するWebフォームが含まれることも
2020年8月19日 11:00
Webページがセキュア(HTTPS接続)であっても、それに含まれるWebフォームの送信がHTTPS接続ではなくHTTP接続の場合、つまり“混合フォーム(mixed forms)”では、悪意のある第三者がデータを盗聴・改竄できてしまう可能性を排除できない。そこで米Googleは8月17日(現地時間)、「Google Chrome」における“混合フォーム”の扱いを変更する方針を明らかにした。“混合フォーム”の送信に関わるリスクをユーザーに伝え、開発者にHTTPSへの完全な移行を促したい考えだ。
“混合フォーム”のあるWebサイトを現行版の「Chrome」で開くと、HTTPSで接続されていてもアドレスバーに“鍵”アイコンは表示されない。しかし、これでは“混合フォーム”が安全ではないことはユーザーに十分伝わらないだろう。
そこで「Chrome 86」(M86)以降では、以下の3点の改善が行われる。
- “混合フォーム”では自動入力が無効になる。ただし、パスワードマネージャーによるログイン情報の補完は“混合フォーム”のログイン画面でも引き続き利用可能。パスワードマネージャーを使わず、同じパスワードを使いまわすよりは安全だからだ
- “混合フォーム”への入力を開始すると、Webフォームが安全でないことを警告するテキストが表示される
- “混合フォーム”を送信しようとすると、潜在的なリスクを警告する案内ページに遷移し、送信するかどうかの最終的な確認を行う
この機能は現在、Canary版「Google Chrome」(Chrome Canary)で実際に試すことが可能。「Chrome 86」は今のところ10月6日の安定版リリースが予定されている。