Google ChromeはまもなくHTTPSページでの安全でないダウンロードをブロックします

最近の Google セキュリティ ブログ投稿によると、Google Chrome は Chrome 83 以降、安全な HTTPS ページでの安全でないダウンロードをまもなくブロックする予定です。

最近グーグル Chrome 80を発表 Android とデスクトップの安定アップデート。 アップデートの一環として、Google は自動アップグレード混合コンテンツ機能を含む多くの新機能を導入しました。 10月に知りました 去年。 この新機能は Google の機能の一部です ウェブを保護する計画を立てる HTTPS を使用します。 現在、HTTPS ページの安全性をさらに高めるために、Google Chrome も間もなく安全なページへの安全でないダウンロードをブロックする予定です。

Googleはブログ投稿の中で、安全でないファイルのダウンロードはユーザーのプライバシーとセキュリティに対するリスクであると主張している。 このようなファイルは、攻撃者によって簡単にマルウェアと交換される可能性があり、また、盗聴者によって読み取られる危険性もあります。 これらのリスクに対処するために、同社は最終的に Google Chrome での安全でないダウンロードのサポートを削除する予定です。 HTTPS ページでの安全でないダウンロードのブロックは、Google がこの対策に向けて講じている最初のステップです。 現在 Chrome は、安全なページにコンテンツをダウンロードしているときにプライバシーとセキュリティが危険にさらされていることをユーザーに通知しないため、これは非常に重要です。

2020 年 4 月にリリースされる予定の Chrome 82 から、Chrome は混合コンテンツのダウンロードについて (上記のように) ユーザーに徐々に警告し始めます。 これらのダウンロードは後の段階で完全にブロックされます。 この変更は、まず実行可能ファイルなど、ユーザーに最もリスクをもたらすファイル タイプに影響を及ぼし、その後のリリースではさらに多くのファイル タイプに対応します。 Googleは、段階的な公開は「最悪のリスクを迅速に軽減し、開発者にサイトを更新する機会を提供し、Chromeユーザーに表示される警告の数を最小限に抑えることを目的としている」と主張している。

Google はまず、Chrome 81 以降、デスクトップ プラットフォームでの混合コンテンツのダウンロードに対してこれらの制限を導入します。 デスクトップ プラットフォームに対する制限の詳細なタイムラインは次のとおりです。

  • Chrome 81 (2020 年 3 月リリース) 以降:
    • Chrome は、すべての混合コンテンツのダウンロードについて警告するコンソール メッセージを出力します。
  • Chrome 82 (2020 年 4 月リリース) の場合:
    • Chrome は、混合コンテンツのダウンロードまたは実行可能ファイル (.exe など) について警告します。
  • Chrome 83 (2020 年 6 月リリース) の場合:
    • Chrome は混合コンテンツの実行可能ファイルをブロックします
    • Chrome は、混合コンテンツ アーカイブ (.zip) とディスク イメージ (.iso) について警告します。
  • Chrome 84 (2020 年 8 月リリース) の場合:
    • Chrome は混合コンテンツの実行可能ファイル、アーカイブ、ディスク イメージをブロックします
    • Chrome は、画像、音声、ビデオ、テキスト形式を除く、その他すべての混合コンテンツのダウンロードに対して警告を発します。
  • Chrome 85 (2020 年 9 月リリース) の場合:
    • Chrome は、画像、音声、ビデオ、テキストの混合コンテンツのダウンロードについて警告します
    • Chrome は他のすべての混合コンテンツのダウンロードをブロックします
  • Chrome 86 (2020 年 10 月リリース) 以降では、Chrome はすべての混合コンテンツのダウンロードをブロックします。

これらの制限は、Android および iOS ユーザーに対するリリースが 1 つ遅れて、Chrome 83 から警告が開始されます。 Googleは、モバイルプラットフォームには悪意のあるファイルに対するネイティブ保護が強化されているため、開発者はこの遅延により、ユーザーが影響を受ける前にWebサイトの更新に向けて有利なスタートを切ることができると主張している。 開発者は、ユーザーにダウンロードの警告を表示したくない場合に備えて、ダウンロードに HTTPS のみを使用するように設定できます。

さらに、Chrome Canary の現在のバージョン、またはリリース後の Chrome 81 では、開発者は次の警告をアクティブにすることもできます。 「安全でない接続を介した危険なダウンロードをアクティブな混合コンテンツとして扱う」を有効にすることで、すべての混合コンテンツをテスト用にダウンロードします。 フラグ。 Googleは将来、Google Chromeでの安全でないダウンロードをさらに制限する予定であり、そのため同社は開発者に対し、制限を回避するためにHTTPSに完全に移行するよう促している。


ソース: Google セキュリティ ブログ