Chrome はあらゆるタイプの非 HTTPS 混合コンテンツのダウンロードをブロックしますか?

記事の背景:

今年 10 月、Google は Chrome ブラウザの新しいバージョン 86 の公式アップデートをリリースしました。これは、Chrome がすべてのブラウザをブロックすることを意味します。非 HTTPS 混合コンテンツのダウンロードの種類。

ブラウザのセキュリティ防御をさらに強化するために、世界シェア 71% を誇るブラウザの優位性は「壊れた」と言ってもよい Chrome は今年 2 月の時点で、Google から次の順序で発表されました。ユーザーのダウンロード保護エクスペリエンスを強化するために、Chrome はハイパーテキスト転送プロトコル セキュアではない混合コンテンツのダウンロードを段階的にブロックし、HTTPS セキュア ページが安全なファイルのみをダウンロードするようにします。

HTTPS ページの HTTP リソースのダウンロードがブロックされる理由

HTTPS 混合コンテンツ エラーは、Web サイトが HTTPS 暗号化を推進する上で常に大きな障害となってきました。 HTTPS 混合コンテンツ エラーは、最初の Web ページが安全な HTTPS リンクを通じて読み込まれているが、ページ内の他のリソース (画像、ビデオ、スタイルシート、スクリプトなど) が安全でない HTTP リンクを通じて読み込まれている場合に発生します。つまり、安全でない要素です)。 。 Google の報告によると、Chrome ユーザーはすべての主要なプラットフォームで閲覧時間の 90% 以上に HTTPS を使用していますが、これらの安全なページは安全でない HTTP サブリソースを読み込むことがよくあります。

初期の頃、Chrome のブロックは安全なページの安全でないダウンロードから始まりました。 Chrome には現在、プライバシーとセキュリティが侵害されていることをユーザーに示す方法がないため、この状況は特に懸念されます。安全でないファイルのダウンロードは、ユーザーのセキュリティとプライバシーを脅かします。たとえば、攻撃者は HTTP 経由でダウンロードしたプログラムを悪意のあるプログラムに置き換えたり、盗聴者は HTTP 経由でダウンロードしたユーザーの銀行取引明細書を読み取ったりする可能性があります。これらのリスクに対処するために、Google は最終的に Chrome での安全でないリソースの読み込みを無効にする予定です。昨年発表された計画の継続として、Chrome は「安全なページ」上のすべての「安全でないサブリソース」へのアクセスをブロックします。

混合コンテンツをブロックするための Chrome の 6 段階の計画

2020 年 4 月の Chrome 82 以降、Chrome ブラウザはユーザーに警告する措置を講じ、セキュリティをさらに確保しました。 、最終的に「混合コンテンツのダウンロード」（安全なページでの非HTTPSダウンロード）サポートをブロックするまで。ユーザーに最大のリスクをもたらすファイル タイプ (実行可能ファイル) が最初に影響を受け、後続のバージョンではさらに多くのファイル タイプがカバーされる予定です。

Google は、混合コンテンツのダウンロードに対する制限を、まず Windows、macOS、ChromeOS、Linux デスクトップ プラットフォームで展開する予定です。 Chrome チームは、このプロセスを 6 つのステップに分けています。

☞Chrome 81 (2020 年 3 月): ブラウザーは、すべての混合コンテンツのダウンロードを警告するコンソール メッセージをポップアップ表示します。

☞ Chrome 82 (2020 年 4 月): ブラウザーは混合コンテンツのダウンロード (.exe などの実行可能ファイル) について警告します;

☞ Chrome 83 (2020 年 6 月): Warning.zip アーカイブおよび .iso ディスクからの混合コンテンツのダウンロード画像;

☞ Chrome 84 (2020 年 8 月): 画像、音声、ビデオ、テキスト以外の混合コンテンツのダウンロードに関する警告;

☞ Chrome 85 (2020 年 9 月):画像、オーディオ、ビデオ、テキストなどの混合コンテンツのダウンロード;

☞ Chrome 86 (2020 年 10 月): あらゆる種類の混合コンテンツのダウンロードをブロックします。

段階的なロールアウトは、モバイル プラットフォームが悪意のあるファイルに対するネイティブ保護を強化していることを考慮して、重大なセキュリティ リスクを迅速に軽減し、開発者にアップデートを提供することを目的としています。安全でないウェブサイトが Chrome のユーザー エクスペリエンスに影響を与えるのを防ぎます。

あなたのウェブサイトのコンテンツは混在していますか?

あなたのウェブサイトのコンテンツは混在していますか?ほとんどの Web サイト管理者は、自分の Web サイトにどのような混合コンテンツが含まれているかを把握していないと思います。Chrome 86 バージョンのメジャー アップデートは、すべての HTTP Web サイトが安全ではないことをユーザーに理解させるのに役立ち、Web サイト管理者はユーザーを保護するためにサイトをより安全な HTTPS プロトコルにアップグレードする必要があります。 . プライバシーとデータのセキュリティ。

対策

① Web サイト上の混合コンテンツや安全でないリンクを確認し、Web サイトに読み込まれているファイルを確認し、すべてのファイルが HTTPS 経由でのみダウンロードされていることを確認します。証明書管理ツールのヘルプ HTTPS の安全でない (外部リンク) 問題については、Web サイトをリアルタイムで監視し、専門的な評価レポートを取得して、展開する HTTPS Web サイトが本当に安全かどうかを検出します。

#② Web サイトにはフルサイト HTTPS 暗号化を実装することをお勧めします。個人情報を盗聴や漏洩から守ります。

③ フルサイト HTTPS がクラウド サーバーの CPU リソースをより多く消費し、遅延が増加するのではないかと心配ですか?フルサイト HTTPS アクセラレーションのためのパフォーマンス最適化ソリューションを開発できます。

関連する推奨事項: Web サイトのセキュリティ チュートリアル

以上がChrome はあらゆるタイプの非 HTTPS 混合コンテンツのダウンロードをブロックしますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。