【IT】Google Chrome、HTTPS/HTTPの混在禁止 - 年末年始までに対応を

Google Chromeチームは10月3日(米国時間)、「Google Online Security Blog: No More Mixed Messages About HTTPS」において、ChromeではHTTPS/HTTP混在ページにおけるHTTPをデフォルトでブロックの対象としていくと伝えた。挙動の変更は年末から2020年第1四半期にわたってリリースされるChromeで順次行われる。

予定されている挙動変更のスケジュールは次のとおり。

Ver. 内容
79 HTTPS/HTTP混在ページにおいて現在ブロックされているJavaScriptやiframeなどのコンテンツのブロックを解除する設定画面を追加
80 HTTPで提供されているオーディオデータやビデオデータなどは自動的にHTTPSへアップグレードされ、HTTPSで提供されていない場合はブロックされる。ただし、Chrome 79で導入される設定画面を通じて個別にブロックを解除することが可能
81 HTTPで提供されている画像を自動的にHTTPSへアップグレードし、HTTPSで提供されていない場合はブロックされる

Webブラウザでは、HTTPSで提供されているページからHTTPでコンテンツを引っ張ってきていることがある。対象はJavaScript、iframe、画像、動画、音声などさまざま。HTTPSで提供しているページからHTTPで提供されているリソースを読み込むことはセキュリティ上好ましくないとされており、現在ではJavaScriptやiframeといったセキュリティ上の懸念が強いコンテンツはデフォルトブロックの対象となっている。

Googleはこの対象範囲を広げて、動画や画像といったコンテンツに関してもデフォルトでブロックするように変更していく。

画像や動画などのコンテンツは危険性が低いと考える人もいるかもしれないが、株価のチャート画像などが差し替えられた場合、投資家を誤った投資へ導くことが可能になる。また、混在リソースに対してトラッキングクッキーを忍ばせることもできる。

さらに、HTTPSからHTTPのリソースを取得している場合、ユーザーに対してそのページが安全か安全ではないのかを提示することが難しいという問題も存在している。

HTTPSページにおける全HTTPブロックが機能するようになった場合、これまで表示されていた画像や動画が表示されなくなる可能性がある。リソースの提供元がHTTPS経由でのアクセスを提供している場合は、これまで通りのコンテンツが表示される。新しい挙動は年始ごろから利用するユーザーが増えると考えられ、それまでに確認やHTTPSへの移行などを実施することが望まれる。
https://news.mynavi....cle/20191007-904196/

まともなサイトならとっくに対応してるがな

>>2
まともなサイトが少ないから対応するんだろｗ

改ざんされたら意味ないがな

検索汚染がやばい

特にスマホゲーによる汚染がやばい

阿部寛のホームページは大丈夫？

日本の役所のサイトとかほぼhttpだろ
どうすんの？

大和証券のHPもいまだにhttp

httpがダメなんじゃなくてhttpsなのにhttpでスクリプトだのを引っ張ってきてるのがダメだって読めませんか

httpページは昔のラブライブのページの様に改竄される

>>8
これは、ページはhttpsで提供してるのに、ページ内の個別エレメント（つまり、imgタグとか）はhttpで提供しているサイトをブロックするという意味
こうした作りのサイトは意外に多い

そもそも、誤字脱字デマうそステマなページだらけなのに、その情報を保護して見る意味が分からない
くだらなすぎる
本当に必要なところだけhttpsを義務づけろ

一部だけsにしてたりsじゃなかったりはゴロゴロあるわなw
そして、そんなつくりしてるとこが対応するわけない罠w

どうでも良いバナー画像とかproxyにcacheさせたいだろ

・検索サイトを押さえる
・Webブラウザを提供する
・バリデーションチェッカーとかSEOツールとか無償で出し、自分たち基準を作る
→縛りから抜けられなくする

・メールもWebAPIもスマホOSもなにもかも無償提供
→便利さから抜けられなくするする

徐々に有償化。
プラットフォーム企業は強いね。

いまだにhttpで配布されてるadblock filter、domain list、hosts fileは全滅か

はぁ
Chromeがネットの規則を決めていくわけだな

僕の肛門のSも

通販とか複雑なサイトがhttpsで文字と画像のみのシンプルなサイトがhttpだと思ってた

ちなみに阿部寛のホームページが未だにhttpな件

混在じゃなければいい
むしろあのHPは永遠にhttpでいい

Firefoxの俺様、ｃｈろめ厨を見物。

FirefoxならまだWaterfoxの方がわかる
アドオンを切り捨てたFirefoxはまだ使えるレベルにない

ぼくの肛門はセキュアです

>>17
ブラウザはmozillaやgoogle,microsoftが共闘して割りとオープンに物事を決めていってるけど
androidやiosなんて自社のルールで決められていってるよ
ソッチのほうが嫌なんだけど

Chrome使ってないと問題ないんだろ

Chromeのシェアが大きいからウェブマスター側には大問題

>>25
他のブラウザもこういうのは歩調を合わせる

サイトはhttpsでもメールは全く暗号化しないよな
銀行からのメールも暗号化もしてないとか頭悪い
そのくせサイトじゃ定期的にパスワード変えろって一昔前のセキュリティ対策載せてるし

メールだけは平文全開

さすがに暗号化は難しいだろうが、署名はデフォになってほしいところだよな。

いやメールは普通に暗号化してるだろ
今どきIMAP/POP/SMTP over TLS使えないサービスなんて場末のフリーメール以外無いんじゃないか

>>28が言ってるのはS/MIMEとかのレイヤーだと解釈したが。

>>28
証明書の意味わかってないだろ

全部自鯖ならできるけど、cdnとか外のやつはコントロールできないし

今どきの事業者が提供するWEBサーバーは一括でSSL保護に対応しているけれど
企業内のWEBサーバーで公開しているところはダメそうだね

そもそもこれ、IEは結構前から警告出してたのにChromeが今まで対策してなかったのが驚き。

>>36
いやChromeでも昔から混在の場合は暗号化されてないよマークになるぞ