混合コンテンツとは何ですか?
混合コンテンツは、最初の HTML がセキュリティで保護されている HTTPS 接続を介して読み込まれていても、他のリソース(画像、動画、スタイルシート、スクリプトなど)がセキュリティで保護されていない HTTP 接続を介して読み込まれる場合に起こります。HTTP と HTTPS の両コンテンツが同じページに読み込まれて表示されており、最初のリクエストが HTTPS 経由でセキュリティで保護されていたため、混合コンテンツと呼ばれます。
セキュリティで保護されていない HTTP プロトコルを使用してサブリソースをリクエストすると、ページ全体のセキュリティが弱まります。これらのリクエストは、攻撃者がネットワーク接続を盗聴し、2 者間の通信を閲覧または変更する、パス上攻撃に対して脆弱であるためです。攻撃者はこれらのリソースを使用して、ユーザーを追跡し、Web サイト上のコンテンツを置き換えることができます。そしてアクティブな混合コンテンツの場合であれば、セキュリティで保護されていないリソースだけでなく、ページを完全に制御できます。
多くのブラウザはユーザーに混合コンテンツの警告を報告しますが、これが発生すれば手遅れです。セキュリティで保護されていないリクエストはすでに実行されており、ページのセキュリティが危険にさらされてしまっています。
これが、ブラウザが混合コンテンツをますますブロックしている理由です。サイトに混合コンテンツが存在する場合は、それを修正することで、ブラウザがより厳密になってもコンテンツが引き続き読み込まれるようすることができます。
2 種類の混合コンテンツ #
混合コンテンツには、アクティブとパッシブの 2 種類があります。
パッシブ混合コンテンツとは、ページの他の部分と対話しないコンテンツを指します。したがって、中間者攻撃は、そのコンテンツを傍受または変更した場合に実行できることに制限されます。パッシブ混合コンテンツは、画像、動画、およびオーディオコンテンツとして定義されます。
アクティブ混合コンテンツとは、ページ全体と対話し、攻撃者がページに対してほぼすべてのことを実行できるコンテンツを指します。アクティブ混合コンテンツには、スクリプト、スタイルシート、iframe、およびブラウザがダウンロードして実行できるその他のコードが含まれます。
パッシブ混合コンテンツ #
パッシブ混合コンテンツは問題が少ないと見なされていますが、それでもサイトとユーザーにセキュリティ上の脅威をもたらします。たとえば、攻撃者はサイト上の画像に対する HTTP リクエストを傍受し、これらの画像を交換または置換する可能性があります。攻撃者が保存ボタンと削除ボタンの画像を入れ替えれば、ユーザーが意図せずにコンテンツを削除する可能性があり、製品のダイアグラムをわいせつなコンテンツに置き換えれば、サイトの信用を傷つけてしまいます。または、商品の写真を他のサイトや商品の広告に置き換える可能性もあります。
攻撃者がサイトのコンテンツを変更しなくても、攻撃者は混合コンテンツのリクエストを介してユーザーを追跡できます。攻撃者は、ブラウザが読み込む画像やその他のリソースに基づいて、ユーザーがどのページにアクセスし、どの製品を閲覧しているかを知ることができます。
パッシブ混合コンテンツが存在する場合、ページ自体は HTTPS 経由で読み込まれた場合であっても、ほとんどのブラウザはページがセキュリティで保護されていないことを URL バーに示します。この動作は、パッシブ混合コンテンツの例を含むこちらのデモで観察できます。
最近まで、パッシブ混合コンテンツがすべてのブラウザに読み込まれていました。これらのコンテンツをブロックすると、多くの Web サイトが機能しなくなっていたでしょう。そのような状態は現在変化し始めており、サイト上の混合コンテンツのインスタンスを更新することが重要となっています。
Chrome は現在、可能な限り、パッシブ混合コンテンツの自動アップグレードを展開しています。自動アップグレードとは、アセットが HTTPS 経由で利用可能であっても HTTP としてハードコーディングされている場合、ブラウザは HTTPS バージョンを読み込むことを意味します。セキュリティで保護されたバージョンが見つからない場合、アセットは読み込まれません。
混合コンテンツを検出するか、パッシブ混合コンテンツを自動アップグレードするたびに、Chrome は詳細メッセージを DevToolsの [Issues] タブに記録して、特定の問題を修正する方法を案内します。
![Chrome DevTools の [Issues] タブには、特定の混合コンテンツの問題とその修正方法に関する詳細情報が表示されます。](/images/image/tcFciHGuF3MxnTr1y5ue01OGLBn2/HNxoomaHi2ksvYHGuNiE.jpg)
アクティブな混合コンテンツ #
アクティブな混合コンテンツは、パッシブな混合コンテンツよりも大きな脅威をもたらします。攻撃者はアクティブなコンテンツを傍受して書き換えることができるため、ページ、さらには Web サイト全体までも、完全に制御できます。これにより、攻撃者は、まったく異なるコンテンツの表示、ユーザーパスワードやその他のログイン資格情報の盗用、ユーザーセッション cookie の盗用、別のサイトへのユーザーのリダイレクトなど、ページに関するあらゆる情報を変更できます。
この脅威の深刻さにより、ほとんどのブラウザはユーザーを保護するためにこの種のコンテンツをデフォルトですでにブロックしていますが、機能はブラウザのベンダーとバージョンによって異なります。
このもう 1 つのデモには、アクティブな混合コンテンツの例が含まれています。例を HTTP 経由で読み込んで、 HTTPS 経由で例を読み込む際にブロックされるコンテンツを確認します。ブロックされたコンテンツは、[Issues] タブでも詳しく説明されます。
![Chrome DevToolsの [Issues] タブには、特定の混合コンテンツの問題とその修正方法に関する詳細情報が表示されます。](/images/image/tcFciHGuF3MxnTr1y5ue01OGLBn2/xRG5zpKLr0Z3OwfYpn2H.jpg)
混合コンテンツ仕様 #
ブラウザは、 オプションでブロック可能なコンテンツとブロック可能なコンテンツのカテゴリを定義する混合コンテンツ仕様に従っています。
仕様から、リソースは「混合コンテンツとしての使用を許可するリスクが Web の大部分を破壊するリスクよりも重要である場合」、オプションでブロック可能なコンテンツとして適格です。これは、上記のパッシブ混合コンテンツカテゴリのサブセットです。
オプションでブロック可能でないすべてのコンテンツはブロック可能と見なされ、ブラウザでブロックする必要があります。
近年、HTTPS の使用は劇的に増加し、Web の明確なデフォルトになっています。このため、ブラウザは、混合コンテンツ仕様でオプションでブロック可能として定義されているサブリソースタイプであっても、すべての混合コンテンツをブロックすることを検討できるようになりました。これが、Chrome がこれらのサブリソースに対してより厳格なアプローチを取っている理由です。
古いブラウザ #
Web サイトへのすべての訪問者が最新のブラウザを使用しているわけではないことを覚えておくことが重要です。ブラウザベンダーとバージョンごとに、混合コンテンツの処理方法は異なります。最悪の場合、古いブラウザやバージョンでは混合コンテンツがまったくブロックされないため、ユーザーにとって非常に危険です。
混合コンテンツの問題を修正すると、コンテンツが新しいブラウザに表示されるようになります。また、古いブラウザでブロックされていない危険なコンテンツからユーザーを保護するのにも役立ちます。