メインコンテンツまでスキップ
pdf?stylesheet=default
Blackboard Help

ブラウザのセキュリティおよび混合コンテンツ

Google ChromeおよびMozilla FireFoxでは、混合コンテンツのブロックプロセスが実装されています。この結果、セキュリティ保護されたページの参照先である、セキュリティ保護されていないコンテンツ経由のセキュリティ攻撃から、コンピュータが保護されるようになりました。

セキュリティ : Webサイトページ内の混合コンテンツ

混合コンテンツとは何か、混合コンテンツが問題となる理由

ユーザ名やパスワードなどの機密情報の入力を要求するWebサイトの多くは、セキュリティ保護された (https) 接続を使用して、ユーザのコンピュータとの間でコンテンツを送受信します。セキュリティ保護された接続でサイトにアクセスしている場合、Google ChromeおよびFirefoxでは、Webページ上のコンテンツが安全に送信されたかどうかが検証されます。どちらのブラウザでも、セキュリティ保護されていない (http) チャンネルから送信された特定のタイプのコンテンツをページ上で検出すると、自動的にコンテンツのロードを停止し、アドレスバーに盾のアイコンを表示します。

コンテンツおよび可能性のあるセキュリティの欠陥をブロックすることにより、ChromeおよびFirefoxは、ページ上の情報が悪意のあるユーザに渡らないよう保護します。

混合コンテンツのタイプ

ユーザのWebページ表示に影響する混合コンテンツには2つのタイプがあり、さまざまなレベルのリスクがあります。

混合パッシブコンテンツまたは表示コンテンツ

混合パッシブコンテンツは、Webページのドキュメントオブジェクトモデル (DOM) を変更できない、HTTPS Webサイト上のHTTPコンテンツです。簡単に言うと、パッシブなHTTPコンテンツのHTTPS Webサイトへの影響は限定的であるということです。たとえば、HTTPで送信された画像が、攻撃者によって不適切な画像や誤解を招くメッセージに入れ替えられる可能性があります。しかし、攻撃者はWebページのその他の部分に影響を及ぼすことはできません。影響を受けるのは、ページ内で画像がロードされたセクションに限られます。

攻撃者は、ユーザに表示されている画像を監視することで、ユーザに表示されているページを導き出し、ユーザのブラウジングアクティビティに関する情報を推測できます。また、画像をやり取りするために送信されたHTTPヘッダーを監視することにより、攻撃者はユーザエージェント文字列や、画像がリクエストされたドメインに関連付けられているクッキーを参照することもできます。メインのWebページと同じドメインからコンテンツが送信されている場合、ユーザアカウントに提供されているHTTPSのセキュリティ保護が回避され、セッション情報が漏えいする可能性があります。

パッシブなコンテンツには、画像、音声、動画のロードなどが挙げられます。

混合アクティブコンテンツまたはスクリプトコンテンツ

アクティブコンテンツは、HTTPSページのドキュメントオブジェクトモデル (DOM) の全部または一部にアクセスしたり影響を与たりすることができるコンテンツです。このタイプの混合コンテンツは、HTTPSページの動作を改ざんできるだけでなく、ユーザの機密データを盗み出すこともできます。前述の混合パッシブコンテンツのリスクに加え、混合アクティブコンテンツは多方面からのさまざまな攻撃にもさらされます。

例 : 中間者 (MITM) 攻撃では、攻撃者はHTTPのアクティブコンテンツリクエストを傍受できます。そして、悪意のあるJavaScriptコードが組み込まれた応答を返します。悪意のあるスクリプトは、ユーザの資格情報を盗み出し、ユーザに関する機密データを取得したり、(ユーザがインストールした脆弱性のあるプラグインを利用するなどして) マルウェアをユーザのシステムにインストールしようとしたりします。

アクティブコンテンツには、JavaScript、CSS、オブジェクト、XHRリクエスト、iFrame、フォントなどが挙げられます。

ユーザによるブラウザ制御の不要化

ユーザがコンテンツを制御する必要性をなくすには、パッシブコンテンツもアクティブコンテンツもHTTPS経由で送信する必要があります。

ブラウザ別の混合コンテンツのブラウザ管理

以下のセクションでは、Google ChromeおよびMozilla Firefoxブラウザで混合コンテンツにアクセスする際の、ブラウザの制御を管理する方法について説明します。

https://people.mozilla.org/~tvyas/mixedcontent.htmlのサンプルページでは、ユーザの閲覧に対する混合コンテンツの影響を確認し、ブラウザの設定がページのレンダリングに与える影響を理解することができます。

混合コンテンツのブロックに対する考え方は、どのブラウザも似ています。混合コンテンツのブロックをサポートするブラウザ間の主な違いは、アクセス管理と情報のレベルです。

詳細については、ご使用のブラウザに該当するセクションを参照してください。