米Googleは2月6日、Webブラウザ「Google Chrome」において、「混合コンテンツ」のダウンロードを2020年3月から順次禁止すると発表した。2020年3月から、安全でない接続(http~)で読み込まれたすべてのコンテンツに警告が出され、2020年10月には、すべての混合コンテンツが自動的にブロックされるようになる。
混合コンテンツとは、安全な接続(HTTPS接続)で読み込まれたページの中で、別のリソース(画像や動画、音声、スクリプトなど)が安全でない接続(HTTP接続)で読み込まれること。混合コンテンツが発生すると、HTTPSの安全性が弱まり、攻撃者が狙う脆弱性になりうる。Googleでは、例えば株価のHTTPSページで、チャート画像がHTTPで読み込まれる混合コンテンツでは、チャートの画像が改ざんされ投資家を欺く、といったことがあるかもしれないと例を挙げている。
Googleでは、2019年10月に混合コンテンツを順次ブロックしていくと発表していたが、今回、より具体的なスケジュールを公開した。
現在、Chromeの最新バージョンはChrome 80だが、2020年4月にリリース予定のChrome 82から、混合コンテンツに関する警告を強め、最終的にすべての混合コンテンツのダウンロードをブロックする。デスクトッププラットフォーム(Windows、macOS、Chrome OS、Linux)から始まり、最もリスクの高い実行ファイルが最初に影響を受けるという。デスクトップ向けChromeの混合コンテンツへの対応予定は、以下の通り。
Chrome 81(2020年3月リリース)以降:すべての混合コンテンツに警告
Chrome 82(2020年4月にリリース):実行ファイル(.exeなど)の混合コンテンツに警告
Chrome 83(2020年6月にリリース):混合コンテンツの実行ファイルをブロック。アーカイブ系(.zipや.isoなど)について警告
Chrome 84(2020年8月にリリース):実行ファイルやアーカイブ系をブロック。画像、音声、動画、テキスト以外(.pdfや.docxなど)の混合コンテンツに警告
Chrome 85(2020年9月にリリース):画像、音声、動画、テキストの混合コンテンツに警告。画像、音声、動画、テキスト以外のすべての混合コンテンツをブロック
Chrome 86(2020年10月リリース)以降:混合コンテンツをすべてブロック