具体的には、Chrome に以下の変更が行われ、混在フォームの送信に関連するリスクがユーザーに通知されるようになります。
- 混在フォームでは、自動入力が無効になります。
注: Chrome のパスワード マネージャーは、ログインとパスワードのプロンプトが表示されている混在フォームでも動作を継続します。Chrome のパスワード マネージャーは、ユーザーが一意なパスワードを入力するのをサポートします。安全でない形で送信されるフォームでも、パスワードを使い回すより、一意なパスワードを使う方が安全です。
- ユーザーが混在フォームへの入力を始めると、テキストによる警告でフォームが安全でないことが通知されます。
- ユーザーが混在フォームを送信しようとすると、潜在的なリスクを警告し、それでも送信するかどうかを確認する画面がページ全体に表示されます。
M86 以前では、混在フォームがあっても、アドレスバーの鍵アイコンが表示されなくなるだけでした。これはユーザーにとってわかりにくく、安全でないフォームでデータを送信するリスクが適切に伝わりませんでした。
デベロッパーの皆さんには、ユーザーを保護するため、
サイトのフォームを HTTPS に完全に移行することをお勧めします。ご質問があれば、security-dev@chromium.org までメールをお送りください。
Reviewed by
Eiji Kitamura - Developer Relations Team
