Googleは、デフォルト設定のChromeで、混合コンテンツのブロックを徐々に進めていくと発表しました。
混合コンテンツとは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのリソース(画像、動画、スクリプトなど)が読み込まれている状態のことです。
Googleは以下のような例を紹介して、その危険性を強調しています。
- ハッカーが株価サイトに侵入し、SSLじゃない株価チャート画像を書き換える可能性
混合コンテンツを放置すると、混合コンテンツの画像改ざんだけでなく、ロード中の追跡Cookie挿入などの攻撃を受ける可能性もあるとのことです。
Google Chromeの混合コンテンツブロック強化を回避するためには、以下の対応が必須になります。
- 2019年12月:動画・音声コンテンツの完全HTTPS化
- 2020年1月:画像コンテンツの完全HTTPS化