サイト運営者は早めの対応を!Chromeで混合コンテンツはすべてデフォルトブロックへ

サイト運営者は早めの対応を!Chromeで混合コンテンツはすべてデフォルトブロックへGoogleは10月3日(現地時間)、“混合コンテンツ(Mixed Content)”のデフォルトブロックを「Google Chrome」で段階的に進めていく方針を明らかにしました。
現在のChromeでは混合コンテンツが表示されていますが、将来リリースされるChrome81では完全にブロックされてしまいます。
もし自社サイトや管理サイトが混合コンテンツ化されていることがわかっている、あるいは疑わしい、心当たりがあるという方は、早めの対策を。
混合コンテンツかわからないから調べておきたいという方も、ぜひこちらを読んでください。

 

混合コンテンツとは

サイト自体はHTTPS化されているサイトであっても、画像や動画、スクリプトなどが暗号化されていないHTTPで提供されている状態、これを混合コンテンツと呼びます。
今後Chromeの新しいバージョンでは混合コンテンツにあたる画像や動画、スクリプトが呼び出せなくなるため、ユーザーに対して不十分な情報しか提供できなくなってしまいます。
この対策をGoogleが進める理由は、HTTPSページにHTTPサブリソースが混在している状態では閲覧ページの安全が完全に保証されていないと判断しているからです。
この状態を放置すれば、Webサイトの攻撃者は、混合コンテンツの画像改ざんやロード中に追跡Cookieの挿入ができるため、将来的に危険であるとしています。

 

Chrome79から混合コンテンツを段階的にブロック

Google社は2019年10月3日にセキュリティブログで混合コンテンツをchrome79から段階的にブロックすると発表し、81にはすべての混合コンテンツを完全にブロックすると発表しました。
発表では、まず2019年12月にchrome79のリリースされる予定です。chrome79では、chrome78には存在していたアドレスバーの横に表示されていた混合コンテンツのブロックを解除できるアイコン(盾のマーク)を外すとのことです。
同じく2020年1月にリリース予定のChrome80では、自動的に混合コンテンツの動画や音声をhttpsで接続し、読み込めない場合にはそれをブロックする措置が取られます。
そのあと2月にリリースされるChorme81では、画像も自動的にhttps接続し、読み込めない場合はブロックされます。

 

混合コンテンツの確認方法

気になる混合コンテンツの確認方法ですが、やり方は簡単です。
httpsのWebページにChromeブラウザを使ってアクセスして、URLバー(アドレスバー)をご確認してみてださい。
鍵マークが表示されていれば混合コンテンツではありません。
鍵マークが表示されていない、または盾マークが表示されている場合には、混合コンテンツと判断されます。

 

対策

まずは混合コンテンツの場所を特定しましょう。Chromeデベロッパーツールを使えば自動的に混合コンテンツ箇所が示されます。
特に気をつけたいポイントは「画像・動画を読み込むURL」「CSSを読み込むURL」「JavaScriptを読み込むURL」の3つです。
いずれの場合でも、http://から始まるコンテンツを外部から呼び出すよう”絶対パス”で指定しているケースが多くなっています。
これをhttps://で始まるコンテンツを外部から呼び出すように絶対パスで指定するよう変更したり、https:の記述を省略したり、あるいは相対パスなどで指定するといった形に変更すると良いでしょう。

 

まとめ

今後リリースされる「Google Chrome 81」では、HTTP接続による読み込みコンテンツは全てブロックされてしまい、画像等が表示されなくなります。また、安全でないサイトとみなされる可能性もあり、SEOにも影響します。
ブロックされて慌てる前に、Web運営者は事前に監理するサイトが混合コンテンツとなっていないか確認し、早めの対応をお勧めします。

  • このページを共有する