グーグル「Chrome」、HTTPSページでの安全ではないダウンロードを段階的にブロックへ

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-02-07 10:56

 Googleが他のブラウザーメーカーに向けて投げかけたある提案について、米ZDNetは2019年4月に報じた。

Google
提供:Google

 この提案は、HTTPSプロトコルを用いてロードされたウェブページ上で、ユーザーがHTTP経由でファイルのダウンロードを試みた場合、ブラウザー側で当該ダウンロードをブロックするというものだった。

 そしてGoogleは米国時間2月6日、2019年のこの提案を公式なものとして推進し、「Google Chrome」に実装していくと発表した

 発表されたスケジュールによると、6月にリリース予定の「Google Chrome 83」を皮切りに、「リスクの高いダウンロード」をブロックし始めるという。

 ただし、同社はHTTP経由でのすべてのダウンロードを禁止するわけではなさそうだ。Googleは2019年に、Chromeでは既に、セキュリティが十分でないサイトにアクセスした際、オムニボックス上に「Not Secure」(安全ではない)というメッセージを表示してユーザーに警告するようになっているため、HTTPプロトコルを用いてロードしたページからの、HTTP経由でのダウンロードをブロックする意向はないと述べていたようだ。

 今回の計画は、セキュアだと考えられる(HTTPSプロトコルを用いてロードした)サイトからのセキュアではないダウンロード、つまり(HTTP経由での)ダウンロードをブロックするというものだ。

 Googleが述べたところによると、サイトのURLがhttps://から始まっている場合、ユーザーはそのサイトからのダウンロードもHTTPS経由になると考えてしまうものの、一部のサイトではそのようになっていないという。

 Googleは同日、HTTPSプロトコルを用いてロードしたサイトからのHTTP経由でのダウンロードを漸次禁止していくための6段階からなる計画を公表した。

Chrome 提供:Google

 Chrome 81(2020年3月)混在コンテンツをダウンロードしようとした場合、その種類にかかわらずコンソール上に警告メッセージを表示する。

 Chrome 82(2020年4月)ダウンロードしようとする混在コンテンツが実行可能ファイル(例えば.exeファイル)である場合、警告を表示する。

 Chrome 83(2020年6月)ダウンロードしようとする混在コンテンツが実行可能ファイルである場合、当該ダウンロードをブロックする。また、混在コンテンツがアーカイブファイル(.zipファイル)やディスクイメージ(.isoファイル)である場合、警告を表示する。

 Chrome 84(2020年8月)ダウンロードしようとする混在コンテンツが実行可能ファイルやアーカイブファイル、ディスクイメージである場合、当該ダウンロードをブロックする。また、混在コンテンツがこれら以外の形式である場合(ただし画像/音声/動画/テキストの場合を除く)、警告を表示する。

 Chrome 85(2020年9月)ダウンロードしようとする混在コンテンツが画像/音声/動画/テキストである場合、警告を表示する。また、混在コンテンツがこれら以外の形式である場合、当該ダウンロードをブロックする。

 Chrome 86(2020年10月)すべての混在コンテンツのダウンロードをブロックする。

 Googleは、イントラネットなどの管理された環境では、HTTPダウンロードのリスクが低い場合もあることを理解しているとしている。このような場合、Chromeのポリシー(「InsecureContentAllowedForUrls」)によって、管理された環境でのHTTPダウンロードをサイト単位で許可できるとGoogleは説明している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]