is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
ニュース

ホームページの一部が表示されない、それは「混在コンテンツ」かも

2021/02/02

グーグルは1月19日(米国時間)、Webブラウザの最新版「Chrome 88」を公開しました。拡張機能の新しい仕様「Manifest V3」が導入されたほか、「混在コンテンツ」への対応がすべてのファイル形式に拡大されました。

最近、ホームページ上に何も表示されない空白のエリアがあったり、ホームページのデザインが崩れたりすることはないでしょうか。それは、Webブラウザの「混在コンテンツ」対応の影響かも知れません。ここでいうコンテンツとは、ホームページに含まれる文字や画像、ファイルなどのことです。

「混在コンテンツ」とは、「HTTPSサイト(ホームページ)の中にHTTPコンテンツが混在していること」を意味します。HTTPSやHTTPは、WebブラウザとWebサーバの通信に使用されるプロトコル(規格)です。これによりホームページを表示したり、ホームページに書き込んだ内容を送信したりします。

以前はHTTPが一般的に使われていましたが、HTTPでは通信の内容がそのまま送受信されます。つまり、ユーザがホームページにパスワードを入力した場合、入力した文字列がそのまま(平文)送信されてしまいます。もし、通信経路の途中で第三者がその内容を見ることができたら、パスワードを知られてしまう可能性があります。

そこで、HTTPSが登場しました。HTTPSでは、送受信される通信内容がすべて暗号化されます。これにより、第三者が通信を盗み見たとしても内容を分からなくすることができます。HTTPSでは、通信を暗号化するとともに、通信内容が改ざんされていないことも証明できるため、Googleを中心にHTTPS対応(SSL化)が推進されています。
(HTTPSはそのサイトの信憑性を評価しているものではありません。アドレスバーに鍵マークが表示されますが、HTTPS対応済みの不正サイトも存在しているため惑わされないようにしましょう。)

しかし、ホームページは必ずしも1つのサーバからコンテンツが提供されるとは限りません。画像やファイルなどを別のサーバから読み込むことも多くあります。そうすると、ホームページはHTTPS化されていても、そこに表示される画像などはHTTPとなっている場合もあります。この状況を「混在コンテンツ」と呼びます。

「Chrome」では、混在コンテンツを段階的に制限してきました。最初は「.exe」などの実行ファイル、次には「.zip」などの圧縮ファイル、その次は「.pdf」などの文書ファイルといった具合です。HTTPのサイトは改ざんされやすいので、マルウェアなどを仕込まれたり、情報漏えいにつながったりする可能性があるためです。なお混在コンテンツ対策は、マイクロソフト「Edge」や、アップル「Safari」、Mozilla「Firefox」など、他のブラウザでも実施されています。

今回公開された最新版「Chrome 88」では、混在コンテンツ対策の対象がすべてのファイルに拡大されました。これまでのファイルに加え、「.png」などの画像ファイル、「.mp3」などの音声・動画ファイルも対象となりました。そのため、HTTPサイトから読み込まれるこれらのファイルが表示されなくなることで、ホームページ上に空白ができたり、デザインが崩れたりします。


図:Chromeの混在コンテンツ対応(Googleのブログより )

図:Chromeの混在コンテンツ対応(Googleのブログより )


混在コンテンツを放置しておくと、検索結果や訪問数、売上などにも影響がおよぶ可能性があります。対応が済んでいないサイトの運営者は、混在コンテンツが残っていないかどうか確認を行いましょう。

■混在コンテンツの有無確認方法(Chromeの場合)
アドレスバーの右側にある「クロームの設定(縦に並んでいる三つの点)」
 ↓
「その他のツール」
 ↓
「デベロッパーツール」
 ↓
「Console」のタグを選択し、「Mixed Content」の警告が表示された場合は混在コンテンツが残っています。

関連情報(外部サイトへリンク)
  • FCTV
  • mitene
FCTV
mitene