安全でない方法でダウンロードされたファイルへの警告
これまでの取り組みで
混合ダウンロードを廃止しましたが、それを発展させて、安全でない接続を通してリスクの高いファイルをダウンロードする前に、Chrome に警告を表示するようにします。ダウンロードされたファイルには、Chrome のサンドボックスなどの保護をバイパスする悪意のあるコードが含まれている可能性があります。そのため、安全でない方法でダウンロードすると、ネットワーク攻撃者にコンピュータを攻撃する好機を与えてしまいます。この警告の目的は、ユーザーにリスクを知らせることです。リスクを許容できるなら、ファイルをダウンロードできます。HTTPS ファースト モードが有効になっていない場合は、画像、オーディオ、ビデオなどのファイルを安全でない方法でダウンロードしても、警告が表示されることはありません。これらのファイル形式は比較的安全です。この警告は、9 月中旬より表示されるようになる予定です。
|
安全でない方法でファイルをダウンロードすると、Chrome に通知が表示される。 |
HTTPS ファースト モードの保護対象ユーザーの拡大
私たちの最終的な目標は、すべてのユーザーが HTTPS ファースト モードを利用することです。これを実現するため、HTTPS ファースト モードの保護機能をいくつかの新しい領域に拡張します。
- Google の高度な保護機能プログラムに登録済みで、Chrome にログインしているユーザーに対して、HTTPS ファースト モードを有効にしました。これらのユーザーは、提供されている最強の保護を Google に求めています。ユーザーが直面しているのは安全でない接続がもたらす現実的な脅威であり、HTTPS ファースト モードは、そういった脅威を回避するために役立ちます。
- 近日中にシークレット モードのデフォルトで HTTPS ファースト モードを有効にし、ブラウジング体験をさらに安全なものにしたいと考えています。
- 現在、Chrome では、通常はユーザーが HTTPS でアクセスすると認識されているサイトを対象に、HTTPS ファースト モードの保護を自動的に有効化する試験運用を行っています。
- さらに、HTTP をほとんど使っていないユーザーに対して、HTTPS ファースト モードを自動的に有効化することを検討しています。
試してみる
HTTPS のアップグレードや安全でないダウンロードに対する警告がすべてのユーザーにロールアウトされる前に試してみたい方は、
chrome://flags
で [HTTPS Upgrades] フラグと [Insecure download warnings] フラグを有効にすると、すぐに試すことができます。さらに保護を強化したい場合は、Chrome のセキュリティ設定(
chrome://settings/security
)で [常に安全な接続を使用する] を有効にして、HTTPS ファースト モードをオンにすることもできます。
デベロッパーおよび企業向けの情報
デベロッパーの皆さんは、HTTPS を使い、HTTP でしかアクセスできないコンテンツをホストしないようにすることで、ユーザーに警告が表示されたり、サイトのアップグレードが失敗したりすることを回避できます。お勧めの方法は、完全に HTTPS を採用し、すべての HTTP URL を HTTPS にリダイレクトすることです。サイトに個人情報が含まれていないと考えていても、HTTP を使っていれば、ネットワーク攻撃者によってブラウザに悪意のあるコンテンツが挿入されるリスクが高まります。悪意のあるネットワーク攻撃者は、セキュリティで保護されていないサイトを足がかりとして、ユーザーを攻撃します。ユーザーが安全でないウェブサイトにアクセスすることでもたらされるリスクを軽減するため、その他の方法も模索しています。たとえば、HTTP でアクセスできる Cookie の有効期間の短縮などです。今のうちに HTTPS に切り替えておけば、今後の変更によってユーザーのエクスペリエンスに影響が及ぶことはなくなります。まだ HTTPS に対応できない場合は、サーバーがポート 443 のリクエストにまったく応答しないようにするか、HTTPS から HTTP にリダイレクトすると、確実にサイトにアクセスできるようになります。
企業や教育機関のネットワークに独自のニーズがあることは承知しています。
HttpsOnlyMode、
HttpsUpgradesEnabled、
HttpAllowlist、
InsecureContentAllowedForUrls の各ポリシーを使うと、以上の機能を早い段階でオンにしたり、カスタマイズしたり、完全にオフにしたりできます。
継続的な取り組みの一環