フィッシング対策協議会は4月1日、Google Chrome における混在コンテンツのブロックについて報告した。混在コンテンツとは、「https(暗号通信)」 でアクセスできるWebサイトのページ内に、「http(暗号化されない平文通信)」で読み込まれるコンテンツが存在していることを指し、混在コンテンツがある場合は、ブラウザのアドレスバーに「保護されていない通信」と表示される。Google社では、ユーザーを安全でないコンテンツのダウンロードから保護するためにChrome 84 から Chrome 87 で段階的に警告を表示し、最終的に Chrome 88 以降でブロック、この警告は、「https(暗号化された)」Webサイト上にある「http(暗号化されていない平文の)」ファイルをダウンロードする際に表示される。サーバ管理者は、管理運営するサイトが Chrome でエラーや警告が出ていないことを確認するよう呼びかけている。Webサイトが「https」であってもページ内のリンク先に「http」でアクセスするファイルがある場合、改ざんされたファイルが送信されても検知できず、悪意ある第三者にマルウェアなどへ差し替えられる可能性があり、これらの脅威からユーザーを保護することを目的に Google社ではChrome における段階的な混在コンテンツの制限を行っている。同会では、警告表示やブロックを回避するために、すべてのコンテンツを「https」化しWebサイトすべてを常時 SSL 化するよう呼びかけている。
全ての HTTP トラフィックに「安全性の低さ」を表示させる計画を Chrome の開発者たちが立案~ブラウザは我々が安全なとき「安全」と伝えるが、無防備なときには何も言わない(The Register)2014.12.22 Mon 8:30
