すでにご存知の方もいらっしゃると思いますが2019年10月3日Google Security Blogにて、今後Google Chromeでは混合コンテンツのブロックを強化していくことが発表されました。
個人法人にかかわらずホームページ(以下HP)やブログを持っている方はすべて対象になります。
では混合コンテンツとはなんでしょうか?
混合コンテンツとは
まず「コンテンツ」というものは「何?」から説明します。
コンテンツとは[画像、動画、スタイルシート、スクリプト等]を指します。私のこのブログも「コンテンツ」になります。そのコンテンツが【http】と【https】が混在するコンテンツが混合コンテンツとなります。
☆【http】と【https】
例えば私のブログでいうと昨日まではhttp://nikoou.com/になっていました。現在はhttps://nikoou.com/になっています。httpの後に「s」が付いたのはGoogleが[2017年10月までにサイトがhttps化されていない場合、特定の条件でGoogleChrome限定で「保護されていません」という表示をします]という警告をだしました。サイトのhttps化を行うことで、サイトデータ・ユーザーの個人情報が暗号化され保護されると共に、サイトとしての信頼性も向上します。
https化になり、なおかつhttpサイトが混在しない場合、Google Chromeではこういう表記になります。
赤丸の部分が南京錠になっています。これは上記にもある「サイトデータ・ユーザーの個人情報が暗号化され保護」されているということです。
反対にhttps化しているのにサイト内にhttpサイトが混在している場合は
赤丸の部分が!みたいなマークがつきます。これは「保護されていない」ということです。これを南京錠マークにする処理方法は後でお話します。
いつからブロック強化になるの?
Google Chrome では、段階的に混合コンテンツをブロックするとのことです。
現在既にブロックの対象とされている混合コンテンツのブロック解除設定追加
2020年01月 Chrome 80
動画と音声の混合コンテンツをブロック(ブロック解除設定あり)
2020年02月 Chrome 81
画像を含めた混合コンテンツをブロック
上記によれば混合コンテンツはGoogle Chromeでは2020年2月からはブロックされて見れなくなるということになります。「見たい」人にとっても「見せたい」人にとっても混合コンテンツではお互いにデメリットになり、特に無料ブログを運営されている方は作成したコンテンツにhttpサイトが入っている場合が多いので対策する必要があります。
対応策は?
サイトとユーザーを保護するためには、混合コンテンツの問題を見つけて修正することが非常に重要になってきます。Googleでは役立つツールとテクニックについて説明しているサイトがあるのでご紹介します。
※「混合コンテンツの防止」について
混合コンテンツを見つけて修正するのは、重要ですが、莫大な時間と労力がかかることがあります。長くブログを運営されていて数千、数万件という膨大な記事をひとつづつ探していくっていうのもあまり現実的とは思えません。ここを見てもらえれば解決できるヒントを見つけることができます。
まとめ
インターネット上のWebサービスでは、不特定多数の相手と情報のやり取りを行うのが一般的なため、重要なデータを扱う際には、昔から暗号化された通信である「https」を使うのが当たり前でした。しかし一般的な情報も途中の経路でデータの改ざんが可能な「http」通信が存在していると、第三者によって勝手に広告が挿入されたりする事案が発生しGoogle等の大きなWebサイトがまずhttps化しました。でも大手は出来ても一般的なWebサイトではコストがかかりすぎるということ等で導入に二の足を踏んでいました。
現在では私たちが何気なく見ているサイトでもマルウェアが入っていたりと身近に危険が迫っているのが現実です。「見たい」人にとっても「見せたい」人にとってもお互い安全であるためには「見せたい」側が安全策=https化することが最善策といえます。
次回は私のサイトでhttpからhttpsに変更する方法を書きたいと思います。