SSL/TLSコラム

Chrome81で混合コンテンツ(Mixed Content)をブロックしていく方針を発表!

Google社は、2019年12月リリース予定のChrome79から段階的に混合コンテンツ(Mixed Content、ミックスコンテンツ)をブロックしていくと発表していましたが、2020年02月リリース予定のChrome81からは、完全にブロックしていくと発表しています。

■Google社セキュリティブログ
https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html

このブログでは、「安全な通信を行うhttpsでも通信が暗号化されていないhttpからサブリソースが読み込まれている、混合コンテンツ(Mixed Content)の状態ではユーザーのプライバシーとセキュリティが脅かされる」と指摘しています。この混合コンテンツの状態だと、攻撃者は混合コンテンツの画像の改ざんやロード中に追跡Cookieの挿入ができるとしています。

混合コンテンツ(Mixed Content)とは?

混合コンテンツとは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのサブリソース(画像、動画、スクリプトなど)が読み込まれている状態を指します。
具体的には、ページのソース内に以下のようなリンクが記述されている場合は、混合コンテンツとなります。

「http://ドメイン名」
「http://ドメイン名/****.png」

混合コンテンツには「アクティブ」と「パッシブ」の 2種類があります。
「アクティブ」な混在コンテンツは「画像」「動画」「音声」、「パッシブ」な混在コンテンツは「スクリプト(JS)」「スタイルシート」「iframe」Flash」などが該当します。

混合コンテンツ(Mixed Content)の確認方法と対策

httpsのWebページにアクセスして、ChromeのURLバー(アドレスバー)をご確認ください。
アドレスバーに鍵マークではなく「!」が表示されていれば混合コンテンツと判定されています。
※スマホのアドレスバーには表示されません。

【対策】
Chromeデベロッパーツールで混合コンテンツ箇所を探し出し問題の箇所を修正することで、混合コンテンツの状態は解消されます。

Chromeデベロッパーツール(Chromeをアクティブにしキーボードの[F12]を押す)で混合コンテンツ箇所が示されます。
該当箇所のHTMLを修正すると混合コンテンツの状態は解消されます。

以下は、修正例です。

修正前
<"http://ssl-secure.jp/js/jquery.js">

修正後
<"https://ssl-secure.jp/js/jquery.js">
(http://で始まるリンクをhttps://へ修正)

ページ上部へ戻る