• IT

chromeがHTTPSサイトへのセキュリティを強化します

神戸市で医療機関向けホームページ制作ブランド「スマートドクター」では、兵庫県や大阪、京都といった近畿地方に限定せず、日本全国の医療機関様にホームページを中心とした、「新患増患」増のサポートのお手伝いをしております。また、IT関連に興味をお持ちの先生方へ情報発信を行っております。
今回は医療広告ガイドラインについてお伝えします。

GoogleがHTTPS化への推進をさらに進めます

GoogleはWEBサイトのセキュリティ強化を重視しています。暗号化され、セキュリティに強いHTTPS(SSL化)への移行を強く促していますが、その方針をさらに強める発表を行いました。2019年12月にリリース予定のChrome 79以降、段階的にHTTPの混在コンテンツをブロックするとのことです。

混在コンテンツとは、サイト自体はHTTPS(SSL化)であって、そこに読み込む画像や動画、スクリプト(Java ScriptやJQuery)などが暗号化されていないHTTPで提供されているもののことです。

Googleによると、すでにChromeを使用しているユーザーはネット閲覧時間の90%以上をHTTPS上で費やしているとのことです。つまり、インターネット全体の大部分がHTTPS化(SSL化)されているのです。また、Chromeではすでに、HTTPSではないサイトを表示するとアドレスバーに「保護されていない」との注意が表示されるようになっています。

スマートドクターブログ記事「iPhone・Macのブラウザで「安全ではありません」と表示されるようになりました。あなたのHPは大丈夫?

ただし、混在コンテンツに関しては、一部のデフォルトでブロックされているもの以外はそのまま読み込みを行います。これを悪用すると、HTTPSサイトであっても悪意のあるスクリプトを組み込んだりといったことが可能になってしまいます。

これを防ぐため、Chrome 79以降では混在コンテンツを段階的にブロックするようになります。

まず2019年12月にリリースされるChrome 79では、現在デフォルトでブロックしているiframeなどを、サイト毎にブロック解除できる設定が追加されます。その後、2020年1月のChrome 80では、動画や音声などの混在コンテンツを自動的にHTTPS経由で読み込みよう試みます。これに失敗した場合にはそのコンテンツはブロックされますが、先の設定により解除は可能です。また、画像については、引き続き表示されますが、HTTP経由のものが混在する場合には、アドレスバーに「保護されていない」との注意が表示されます。

そして、Chome 81では、動画や音声と同様に、混在画像についてもHTTPS経由での取得を試み、失敗した場合にはブロックするようになります。

ユーザー側からすると、通信が暗号化されているかどうかを気にする必要がなくなるのが大きなメリットでしょう。ただし、錠マーク(HTTPS経由で保護されている通信)が出ているからといって、そのサイト自体が安全かどうかは別の話。フィッシングサイトの多くがHTTPSを利用しているとの調査結果もあるので、個人情報を入力するようなシーンでは、引き続き注意が必要です。