Tutorials Brawte nfaq 0 Comments

Google Chromeは今年、HTTP経由のファイルダウンロード(.exeから.txtまで)をデフォルトでブロックする。これは私たちにとっては問題ない。

Table of Contents

Google Chromeは今年、HTTP経由のファイルダウンロード(.exeから.txtまで)をデフォルトでブロックする。これは私たちにとっては問題ない。

ウェブセキュリティというゴミ箱の火に難燃剤を投下し続けるGoogleは、木曜日、Chromeユーザーが安全でない、単純な、暗号化されていないHTTP経由でファイルをダウンロードすることをまもなく禁止すると発表した。

「安全でないダウンロードはすべてプライバシーとセキュリティに悪影響を及ぼします」と、Chromeセキュリティチームで働くジョー・デブラシオ氏はTwitterのスレッドで断言した。「盗聴者はユーザーが何をダウンロードしているのかを盗み見ることができ、攻撃者はダウンロード内容を悪意のあるものにすり替える可能性もあります。」

安全でないダウンロードをすべて阻止したいと考えていますが、Chromeは現在、HTTPSページでダウンロードが安全でないことをユーザーに通知していません。これはおかしいですね!ユーザーは安全なページでの操作は…そう、安全であることを期待しているのです!そこで、まずこれらのダウンロードをブロックします。

具体的には、Google は、安全な HTTPS リンク経由で提供されたウェブページから安全でない HTTP 接続経由で読み込まれる混合コンテンツ、つまりファイル、画像、スクリプトなどのリソースをターゲットにしています。

一貫して安全でないコンテンツ(HTTP ウェブサイトから HTTP 経由で提供されるファイル)は、この変更の影響を受けません(この場合、ユーザーには引き続き「安全ではありません」というアドレスバー バッジが表示されます)。HTTPS サイトのみが、Chrome ユーザーに HTTP 経由でファイルを提供できなくなります。

2020年4月にリリースされるChrome 82では、HTTP経由で提供される実行ファイル(例:.exe、.apx)をダウンロードしようとすると警告が表示されます。6月にリリース予定のChrome 83では、これらのファイルのダウンロードが一切ブロックされます。警告の表示対象は、安全でないアーカイブファイル(例:.zip、.iso)のダウンロード時のみとなります。

8 月の Chrome 84 では、安全でない実行ファイルとアーカイブはデフォルトでブロックされ、安全でない状態で提供されるその他の種類のファイル (.pdf、.docx など) にはダウンロードの警告が表示されます。

9月にリリースされるChrome 85では、混合コンテンツの警告が画像、音声、動画、テキスト(例:.png、.mp3)に変更され、その他のファイルについてはブロックがデフォルトの動作になります。2020年10月にリリースされるChrome 86では、警告が削除され、Chromeは混合コンテンツのダウンロードを拒否します。

デスクトップ オペレーティング システム(Linux、macOS、Windows)向け Chrome の展開スケジュールは以上です。Android および iOS 向けは、リリース サイクル 1 つ分遅れます。

教会での葬儀で赤いバラと棺を持つ女性

RIP FTP?Chrome 80でファイル転送プロトコルがデフォルトでオフに

続きを読む

Google は、オンライン セキュリティへの無関心から人々を救うために Chrome に介入させる計画を最初に検討したとき、「ユーザーは特定の Web サイトで混合コンテンツのブロックを無効にする設定を有効にできるようになる」と述べていた。

しかし、この件に関するGoogleの最新の投稿では、一般ユーザーについては言及されていない。「企業および教育機関のお客様は、InsecureContentAllowedForUrlsダウンロードを要求するページに一致するパターンを追加することで、既存のポリシーを通じてサイトごとにブロックを無効にすることができます。」Chromeを使用する一般ユーザーが利用できる機能については、明確にされていない。

しかし、The Registerは、Chrome利用者の一般大衆がGoogleの監視を無視できるようになると理解している。混合ダウンロードのブロックは他の混合コンテンツと同様に管理されるため、ユーザーはブラウザのアドレスバーにある鍵アイコンをクリックし、「サイト設定」を選択して「安全でないコンテンツ」の設定を「許可」に変更できるようになる。

それでも、Googleがサイトの機能停止をある程度予想していることは明らかです。バイオテクノロジー系スタートアップ企業Shield Diagnosticsのソフトウェア開発者、マーク・アメリー氏はTwitterで、ウェブ開発者への影響について懸念を表明しました。

「警告は良いことですが、特に非実行ファイルに関しては、完全にブロックするのは間違っていると思います」と彼は書いています。「自分が所有していないサイトで、そのサイトがホストするデータファイルにリンクしたい場合、魔法のようにHTTPSを導入することはできません。つまり、事実上、そのようなリソースへのハイパーリンクを一切張ることができないということです。」

デブラシオ氏は、ほとんどの人が警告メッセージを無視するため、警告メッセージはあまり役に立たないことを認めながらも、ウェブ開発者はサイトを修正する必要があると認めた。

「ウェブがHTTPSに移行するにつれて、これは大きな問題にはならないだろうと期待しています」と彼は答えた。「とはいえ、ウェブの大きな重要な部分は、基本的に更新されることのない静的コンテンツです。私たちはそうしたコンテンツが失われることを望んでいません。これは私たちが真剣に検討し、解決に取り組んでいる問題です。今後の展開にご期待ください。」®

Tutorials

Smart Recommendations

Discover More