Chrome 79 以降、Google はセキュリティを強化するために、安全でない HTTP サブリソースが HTTPS ページに読み込まれるのをブロックし始めます。
ユーザーを保護するために、Google は HTTP Web サイトに「安全ではない」というラベルを付け始めた 今年初めに Chrome 68 を使用しました。 この変更のおかげで、ユーザーは安全でない可能性のある Web サイトを閲覧していることを簡単に発見できるようになりました。 さらに、開発者は Web サイトを SSL 証明書で更新するよう促されました。 現在、Google はセキュリティをさらに強化するために、安全でない HTTP サブリソースが HTTPS ページに読み込まれるのを防ぐ取り組みを行っています。
最近の投稿では、 クロムブログ、同社は混合コンテンツを完全にブロックする手順を概説しました。 ご存じない方のために説明すると、HTTPS ページには一般に混合コンテンツが含まれており、一部のサブリソースが HTTP 経由で安全にロードされません。 ただし、ブラウザーはデフォルトで多くの種類の混合コンテンツをブロックしますが、画像、音声、ビデオの読み込みは引き続き許可されます。 これにより、攻撃者が混合コンテンツを改ざんし、ユーザーのセキュリティを侵害する可能性があります。
したがって、から始めて、 クロム79 それ以降、ブラウザはデフォルトですべての混合コンテンツをブロックするように段階的に移行します。 変更によるウェブサイトの破損を防ぐために、Google は混合リソースを HTTPS に自動アップグレードします。 ただし、ユーザーには特定の Web サイトでの混合コンテンツのブロックをオプトアウトするオプションが引き続きあります。 同社は、開発者が Web サイト上の混合コンテンツを見つけて修正できるようにするためのリソースも提供しています。
今年 12 月に安定版チャネルにリリースされる Chrome 79 では、Google は混合コンテンツのブロックを解除する新しい設定を導入します。 新しい設定は、Chrome が現在デフォルトでブロックしている混合スクリプト、iframe、その他の混合コンテンツに適用されます。 Chrome 80 では、オーディオとビデオの混合リソースが HTTPS に自動アップグレードされます。 リソースが HTTPS 経由でロードできない場合、リソースはブロックされます。 ただし、混合画像の読み込みは許可されますが、アドレスバーに「安全ではありません」というラベルが表示されます。
次の Chrome 81 アップデートでは、混合イメージも HTTPS に自動アップグレードされます。 また、HTTPS 経由でのロードに失敗した画像はブロックされます。 混合コンテンツを HTTPS に移行したい開発者は、以下にリンクされている公式投稿で利用可能なリソースを確認できます。
ソース: クロムブログ