最新のお知らせ
11.212019
Chrome81で混合コンテンツ(Mixed Content)をブロックしていく方針を発表!
Google社は、2019年12月リリース予定のChrome79から段階的に混合コンテンツ(Mixed Content、ミックスコンテンツ)をブロックしていくと発表していましたが、2020年02月リリース予定のChrome81からは、完全にブロックしていくと発表しています。
■Google社セキュリティブログ
https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html
このブログでは、「安全な通信を行うhttpsでも通信が暗号化されていないhttpからサブリソースが読み込まれている、混合コンテンツ(Mixed Content)の状態ではユーザーのプライバシーとセキュリティが脅かされる」と指摘しています。この混合コンテンツの状態だと、攻撃者は混合コンテンツの画像の改ざんやロード中に追跡Cookieの挿入ができるとしています。
混合コンテンツ(Mixed Content)とは?
混合コンテンツとは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのサブリソース(画像、動画、スクリプトなど)が読み込まれている状態を指します。
具体的には、ページのソース内に以下のようなリンクが記述されている場合は、混合コンテンツとなります。
「http://ドメイン名」
「http://ドメイン名/****.png」
混合コンテンツには「アクティブ」と「パッシブ」の 2種類があります。
「アクティブ」な混在コンテンツは「画像」「動画」「音声」、「パッシブ」な混在コンテンツは「スクリプト(JS)」「スタイルシート」「iframe」Flash」などが該当します。
混合コンテンツ(Mixed Content)の確認方法と対策
httpsのWebページにアクセスして、ChromeのURLバー(アドレスバー)をご確認ください。
アドレスバーに鍵マークではなく「!」が表示されていれば混合コンテンツと判定されています。
※スマホのアドレスバーには表示されません。
【対策】
Chromeデベロッパーツールで混合コンテンツ箇所を探し出し問題の箇所を修正することで、混合コンテンツの状態は解消されます。
Chromeデベロッパーツール(Chromeをアクティブにしキーボードの[F12]を押す)で混合コンテンツ箇所が示されます。
該当箇所のHTMLを修正すると混合コンテンツの状態は解消されます。
以下は、修正例です。
修正前 <"http://ssl-secure.jp/js/jquery.js"> 修正後 <"https://ssl-secure.jp/js/jquery.js"> (http://で始まるリンクをhttps://へ修正)