混在コンテンツのブロック

(『安全でないコンテンツがセキュリティに及ぼす影響』からリダイレクトしました)

Firefox は、安全に見えるウェブページ上の潜在的に有害で安全でないコンテンツをブロックすることにより、ユーザーを攻撃から保護します。この記事の続きを読んで混在コンテンツについて学び、それがブロックされたとき、Firefox がどのように知らせるかを学んでください。

混在コンテンツとは何か?

HTTP は、Web サーバからブラウザへ情報を転送するシステムです。HTTP は安全ではなく、HTTP プロトコルで配信されているページを訪れた場合、そのサイトとの接続は盗聴や 攻撃 に対して開放されています。ほとんどの Web サイトは、HTTP 経由で配信されていますが、取り扱いに注意が必要な情報を渡したり扱ったりすることがないため、安全な接続をする必要がありません。

銀行のサイトなど、ページ全体が HTTPS プロトコルで配信されている Web サイトを訪れた場合、アドレスバーに緑色の錠前アイコンが表示されます (詳しくは、Web サイトへの接続が安全か確認するには をご覧ください)。そのサイトとの接続は、認証を受けて暗号化されているため、盗聴や中間者攻撃から護られています。

しかしながら、訪れた HTTPS のページに HTTP で配信されたコンテンツが含まれている場合、メインのページが HTTPS で配信されていても、それに含まれる HTTP のコンテンツは攻撃者に読まれたり変更されたりする恐れがあります。私たちは、HTTPS のページに含まれる HTTP で配信されたコンテンツを「混在コンテンツ」(mixed content) と呼びます。訪れたページの一部分だけが暗号化されていると安全な接続であるように表示されますが、実際はそうではありません。

補足: 混在コンテンツ (アクティブおよびパッシブ) についての詳しい情報は、こちらのブログ記事 をご覧ください。

混在コンテンツにはどんな危険性がありますか?

攻撃者は、あなたが訪れたページ上の HTTP コンテンツを置き換えることができるため、あなたの信頼情報を無断で借用したり、アカウントを乗っ取ったり、あなたの個人情報を入手したり、ページのコンテンツを変更したり、あなたのコンピュータにマルウェアのインストールを試みたりすることができます。

ページに混在コンテンツが含まれていることを知るには?

アドレスバー内のアイコンを見て、ページに混在コンテンツが含まれていないか確かめてください。

mixed content icon url 42

混在コンテンツなし: 安全です

  • green lock 42 : 安全なページの場合、緑色の錠前アイコンが表示されます。

混在コンテンツをブロックしました: 安全です

  • blocked secure 42 : Firefox がページ上の安全でない要素をブロックした場合、緑色の錠前アイコンに灰色の警告アイコンが付きます。これは、ページの今の状態は安全であることを意味します。アイコンをクリックして コントロールセンター を開き、このページのセキュリティの詳細を表示してください。

混在コンテンツはブロックされていません: 安全ではありません

  • unblocked mixed content 42 : 赤線が引かれた錠前アイコンが表示されている場合、Firefox は安全でない要素をブロックしておらず、盗聴や攻撃に対して無防備であり、あなたの個人データはサイトから盗まれる可能性があります。次のセクションで説明する混在コンテンツのブロック解除をしない限り、このアイコンが表示されることはないでしょう。
  • orange triangle grey lock 42 : 灰色の錠前アイコンにオレンジ色の警告アイコンが付く場合、Firefox は安全でないパッシブコンテンツをブロックしていません。攻撃者はページの一部を改変することが可能です。たとえば、誤解させるコンテンツや不適切なコンテンツを表示することはできますが、攻撃者がユーザーの個人データをサイトから盗むことはできません。

混在コンテンツのブロックを解除する

安全でない要素のブロックを解除することは避けるべきですが、必要であれば可能です:

  1. アドレスバー内の錠前アイコンをクリックします。
  2. コントロールセンターの右矢印をクリックします。
    unblock mixed content 42
  3. 今すぐ保護を無効にする をクリックしてください。
    disable protection 42

保護を有効にするには、上記の手順を繰り返し、保護を有効にする をクリックしてください。

警告: 混在コンテンツのブロックを解除すると、攻撃者に対して無防備な状態になります。
開発者向け: あなたのウェブサイトで、安全でないコンテンツが原因でセキュリティエラーが発生する場合は、こちらの MDN の記事をご覧ください: How to fix a website with mixed content

この記事は役に立ちましたか? しばらくお待ちください...

この記事の貢献者: marsf, dskmori, yassan138, c-bou。あなたも手助けしませんか?- 貢献するにはこちらから