危険な“混合フォーム（mixed forms）”にご用心 ～「Google Chrome 86」から警告措置

公式ブログ“Chromium Blog”

　Webページがセキュア（HTTPS接続）であっても、それに含まれるWebフォームの送信がHTTPS接続ではなくHTTP接続の場合、つまり“混合フォーム（mixed forms）”では、悪意のある第三者がデータを盗聴・改竄できてしまう可能性を排除できない。そこで米Googleは8月17日（現地時間）、「Google Chrome」における“混合フォーム”の扱いを変更する方針を明らかにした。“混合フォーム”の送信に関わるリスクをユーザーに伝え、開発者にHTTPSへの完全な移行を促したい考えだ。

　“混合フォーム”のあるWebサイトを現行版の「Chrome」で開くと、HTTPSで接続されていてもアドレスバーに“鍵”アイコンは表示されない。しかし、これでは“混合フォーム”が安全ではないことはユーザーに十分伝わらないだろう。

現行版の「Chrome」で“混合フォーム”のあるWebサイトを開いた様子。アドレスバーには“鍵”アイコンの代わりに“!”アイコンが表示される

　そこで「Chrome 86」（M86）以降では、以下の3点の改善が行われる。

• “混合フォーム”では自動入力が無効になる。ただし、パスワードマネージャーによるログイン情報の補完は“混合フォーム”のログイン画面でも引き続き利用可能。パスワードマネージャーを使わず、同じパスワードを使いまわすよりは安全だからだ
• “混合フォーム”への入力を開始すると、Webフォームが安全でないことを警告するテキストが表示される
• “混合フォーム”を送信しようとすると、潜在的なリスクを警告する案内ページに遷移し、送信するかどうかの最終的な確認を行う

　この機能は現在、Canary版「Google Chrome」（Chrome Canary）で実際に試すことが可能。「Chrome 86」は今のところ10月6日の安定版リリースが予定されている。

“混合フォーム”では自動入力が無効に。Webフォームが安全でないことを警告するテキストが表示される。アドレスバーのアイコンはHTTPSページであることを示す“鍵”表示

警告ページにランディングして“混合フォーム”を送信するか最終的な確認を行う