Google Chrome は将来のアップデートで、標準のセキュリティ保証を提供しない HTTPS ページを表示する Web サイトを攻撃する予定です。確かに、HTTPS には多くの Web ページがありますが、HTTP プロトコルを使用してスクリプト、画像、その他のコンポーネントを介して安全でないコンテンツを読み込んでいます。多くの場合、これは悪意のあるコードでインターネット ユーザーをだますことを目的としています。
Google は、次のようなキャンペーンを行った企業の 1 つです。HTTPS標準の大量採用。今後、 "Chrome ユーザーはブラウジング時間の 90% 以上をこのプロトコルを使用したページに費やしています」。しかし、標準HTTPS はまだ絶対的なセキュリティ保証を提供していませんこれは、一見安全に見える一部のページが HTTP プロトコル経由でリソースを読み込み続けるためです。 Chromium ブログに公開されたメモの中で、Google は、このいわゆる「混合コンテンツ」の欠陥を示す Web ページをブロックするための新しい措置を発表しました。
の実践混合コンテンツインターネット ユーザーのセキュリティを損なう可能性のある HTTP コンテンツを含めながら、HTTPS ページ経由でサイトをロードすることで構成されます。現在、Web ページは安全なページと安全でないページの混合プールから Web コンポーネントを読み込むことが許可されているため、攻撃者はこの欠陥を悪用して、悪意のあるコードを挿入するまたはロードするマルウェアを含むダウンロード可能なコンテンツ、Googleの従業員が数か月前にWorld Wide Web Consortium(W3C)のメンバーに送ったメッセージで説明したように。
同社はこの現象を阻止するための攻撃計画を発表したところだ。あらゆるタイプの混合コンテンツを体系的にブロックする、進歩的なアプローチを採用します。Chrome 81から2020 年 2 月から 4 月の間に予定されています。Google はデフォルトで特定のスクリプトと iframe コンテンツをすでにブロックしていることに注意してください。柔軟性を高めるために、Chrome 79 では、ユーザーが信頼できると判断した特定のページのブロックを解除できるオプションが提供されます。その後、他の種類の混合コンテンツを段階的にブロックするプロセスが、2020 年初頭に予定されている Chrome 80 から開始されます。
ソース :グーグル
