Google Chromeの開発者版で「スクリプト混合の脆弱性」をブロック

Google Chromeのカナリアビルド14では、「スクリプト混合」と呼ばれる危険な状態をデフォルトで防止する。

[鈴木聖子，ITmedia]

　米Googleは開発者向けに公開しているWebブラウザChromeの「カナリアビルド」次期バージョンで、「スクリプト混合」（mixed scripting）と呼ばれる、危険な状態をデフォルトで防止する措置を取ったことを明らかにした。

　同社では、HTTPSを使って通信を暗号化しているWebページが、スクリプトやCSS、プラグインリソースなどを安全ではないHTTPを介して読み込むことにより発生する状態を「スクリプト混合の脆弱性」と定義している。

　この問題を突いて中間者攻撃を仕掛ければ、HTTPリソースを傍受して、そのリソースが読み込まれているWebサイトにフルアクセスできてしまう恐れがあるという。この状態では、まったくHTTPSを使っていないのと同然になりかねないとGoogleは解説する。

　さらに、HTTPSを使っているWebページで画像、iFrame、フォントなどがHTTP経由で読み込まれている場合も、「ディスプレイ混合」（mixed display）の脆弱性が発生するとした。ただし、こちらはそれほど深刻ではないと位置付けている。

　Chromeでは現在、スクリプト混合状態のWebページはURLバーの鍵マークの上に赤いバツ印を、「http」の上には赤い斜線を表示して注意を促している。また、ディスプレイ混合のWebページについては鍵マークの上に黄色い三角印が表示される。

　カナリアビルド版のアップデートとなる「14.0.785.0」ではこの措置を一歩進め、試験的に、スクリプト混合がデフォルトでブロックされるようにした。この場合、「安全でないスクリプトをブロックしました」というメッセージが表示される。

　現時点ではユーザーがブロックを解除してWebサイトを再読み込みできるオプションも用意しているが、いずれそのオプションはなくしたい意向だとして、開発者からのフィードバックを募っている。