Googleが他のブラウザーメーカーに向けて投げかけたある提案について、米ZDNetは2019年4月に報じた。
提供:Google
この提案は、HTTPSプロトコルを用いてロードされたウェブページ上で、ユーザーがHTTP経由でファイルのダウンロードを試みた場合、ブラウザー側で当該ダウンロードをブロックするというものだった。
そしてGoogleは米国時間2月6日、2019年のこの提案を公式なものとして推進し、「Google Chrome」に実装していくと発表した。
発表されたスケジュールによると、6月にリリース予定の「Google Chrome 83」を皮切りに、「リスクの高いダウンロード」をブロックし始めるという。
ただし、同社はHTTP経由でのすべてのダウンロードを禁止するわけではなさそうだ。Googleは2019年に、Chromeでは既に、セキュリティが十分でないサイトにアクセスした際、オムニボックス上に「Not Secure」(安全ではない)というメッセージを表示してユーザーに警告するようになっているため、HTTPプロトコルを用いてロードしたページからの、HTTP経由でのダウンロードをブロックする意向はないと述べていたようだ。
今回の計画は、セキュアだと考えられる(HTTPSプロトコルを用いてロードした)サイトからのセキュアではないダウンロード、つまり(HTTP経由での)ダウンロードをブロックするというものだ。
Googleが述べたところによると、サイトのURLがhttps://から始まっている場合、ユーザーはそのサイトからのダウンロードもHTTPS経由になると考えてしまうものの、一部のサイトではそのようになっていないという。
Googleは同日、HTTPSプロトコルを用いてロードしたサイトからのHTTP経由でのダウンロードを漸次禁止していくための6段階からなる計画を公表した。
提供:GoogleChrome 81(2020年3月)混在コンテンツをダウンロードしようとした場合、その種類にかかわらずコンソール上に警告メッセージを表示する。
Chrome 82(2020年4月)ダウンロードしようとする混在コンテンツが実行可能ファイル(例えば.exeファイル)である場合、警告を表示する。
Chrome 83(2020年6月)ダウンロードしようとする混在コンテンツが実行可能ファイルである場合、当該ダウンロードをブロックする。また、混在コンテンツがアーカイブファイル(.zipファイル)やディスクイメージ(.isoファイル)である場合、警告を表示する。
Chrome 84(2020年8月)ダウンロードしようとする混在コンテンツが実行可能ファイルやアーカイブファイル、ディスクイメージである場合、当該ダウンロードをブロックする。また、混在コンテンツがこれら以外の形式である場合(ただし画像/音声/動画/テキストの場合を除く)、警告を表示する。
Chrome 85(2020年9月)ダウンロードしようとする混在コンテンツが画像/音声/動画/テキストである場合、警告を表示する。また、混在コンテンツがこれら以外の形式である場合、当該ダウンロードをブロックする。
Chrome 86(2020年10月)すべての混在コンテンツのダウンロードをブロックする。
Googleは、イントラネットなどの管理された環境では、HTTPダウンロードのリスクが低い場合もあることを理解しているとしている。このような場合、Chromeのポリシー(「InsecureContentAllowedForUrls」)によって、管理された環境でのHTTPダウンロードをサイト単位で許可できるとGoogleは説明している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
