SEOコンサルタントの運営するSEO最新情報・SEOのサイトです。SEO最新情報、SEO業者の紹介など。運営者はSEOコンサルタント・白石竜次(「世界一わかりやすいSEO対策 最初に読む本(技術評論社)」他)です。お気軽にお問合せください。

SEOコンサルタント.com

Chromeは「http:」のブロックをデフォルトで開始

投稿日:

完全版を表示する

Chromeは「http:」のブロックをデフォルトで開始

HTTPSに関するこれ以上の混合メッセージ

No More Mixed Messages About HTTPS[Google security blog]

【Google翻訳】
October 3, 2019

HTTPSに関するこれ以上の混合メッセージ
投稿者:Emily StarkおよびCarlos Joan Rafael Ibarra Lopez、Chromeセキュリティチーム
本日、Chromeはhttps://ページが安全なhttps://サブリソースのみをロードできるようにすることを徐々に開始することを発表しました。以下に概説する一連の手順で、混合コンテンツ(https://ページの安全でないhttp://サブリソース)のブロックをデフォルトで開始します。この変更により、Web上のユーザーのプライバシーとセキュリティが向上し、より明確なブラウザーセキュリティUXがユーザーに提供されます。
過去数年間で、WebはHTTPSへの移行で大きな進歩を遂げました。Chromeユーザーは、すべての主要なプラットフォームで、閲覧時間の90%以上をHTTPSに費やしています。現在、ウェブ全体のHTTPS設定が安全で最新のものであることを確認することに注意を向けています。
HTTPSページは一般に、ページ上のサブリソースがhttp://経由で安全にロードされない混合コンテンツと呼ばれる問題に悩まされます。ブラウザは、スクリプトやiframeなど、多くの種類の混合コンテンツをデフォルトでブロックしますが、画像、音声、動画の読み込みは引き続き許可されており、ユーザーのプライバシーとセキュリティを脅かしています。たとえば、攻撃者は株価チャートの混合画像を改ざんして投資家を欺いたり、追跡Cookieを混合リソース負荷に挿入したりできます。混合コンテンツを読み込むと、ブラウザのセキュリティUXが混乱し、ページが安全でも安全でもないが、その中間に表示されます。
Chrome 79以降の一連の手順で、Chromeはデフォルトですべての混合コンテンツのブロックに徐々に移行します。破損を最小限に抑えるために、混合リソースをhttps://に自動アップグレードするため、サブリソースがhttps://で既に利用可能な場合、サイトは引き続き機能します。ユーザーは、特定のWebサイトで混合コンテンツのブロックをオプトアウトする設定を有効にできます。以下では、開発者が混合コンテンツを見つけて修正するのに役立つリソースについて説明します。

タイムライン

すべての混合コンテンツを一度にブロックする代わりに、一連の手順でこの変更を展開します。
2019年12月に安定したチャンネルにリリースするChrome 79では、特定のサイトで混合コンテンツのブロックを解除する新しい設定を導入します。 この設定は、混合スクリプト、iframe、およびChromeが現在デフォルトでブロックしている他の種類のコンテンツに適用されます。 ユーザーは、https://ページのロックアイコンをクリックして[サイトの設定]をクリックすることにより、この設定を切り替えることができます。 これにより、以前のバージョンのデスクトップChromeで混合コンテンツのブロックを解除するために、アドレスバーの右側に表示されるシールドアイコンが置き換えられます。

ユーザーがChrome 79で混合コンテンツの読み込みをブロック解除できるサイト設定へのアクセス。
Chrome 80では、オーディオとビデオの混合リソースはhttps://に自動アップグレードされ、Chromeはhttps://での読み込みに失敗した場合、デフォルトでそれらをブロックします。 Chrome 80は、2020年1月に早期リリースチャネルにリリースされます。ユーザーは、上記の設定で影響を受けるオーディオおよびビデオリソースのブロックを解除できます。
また、Chrome 80でも混合画像の読み込みは許可されますが、Chromeはアドレスバーに「安全でない」チップを表示します。 これはユーザーにとってより明確なセキュリティUIであり、Webサイトが画像をHTTPSに移行する動機になると予想されます。 開発者はupgrade-insecure-requestsまたはblock-all-mixed-contentコンテンツセキュリティポリシーディレクティブを使用して、この警告を回避できます。

Chrome 80で混合画像を読み込むウェブサイトのオムニボックス処理。
Chrome 81では、混合画像はhttps://に自動アップグレードされ、Chromeはhttps://での読み込みに失敗した場合、デフォルトでそれらをブロックします。 Chrome 81は、2020年2月に早期リリースチャネルにリリースされます。
開発者向けのリソース
開発者は、警告と破損を回避するために、混合コンテンツをすぐにhttps://に移行する必要があります。 以下にリソースを示します。
コンテンツセキュリティポリシーとLighthouseの混合コンテンツ監査を使用して、サイト上の混合コンテンツを発見して修正します。
サーバーをHTTPSに移行する際の一般的なアドバイスについては、このガイドを参照してください。
CDN、Webホスト、またはコンテンツ管理システムで、混合コンテンツをデバッグするための特別なツールがあるかどうかを確認してください。 たとえば、Cloudflareは、混合コンテンツをhttps://に書き換えるツールを提供し、WordPressプラグインも利用できます。

木村賢氏

SEOコンサルタントのまとめ

Chromeで「http:」のブロックを開始するようです。ただ、解除の方法もあるようです。

  • B!