混在コンテンツのブロック

(『安全でないコンテンツがセキュリティに及ぼす影響』からリダイレクトしました)
注記: 最新の機能を利用するには、 Firefox を新しいバージョンに更新してください

安全なようで、実際は安全でないコンテンツが含まれる Web ページを訪れると、安全でないコンテンツはブロックされ、アドレスバーに盾のアイコンが表示されます。この記事では、混在コンテンツとは何か、なぜ Firefox がそれをブロックするのか、およびユーザの選択肢について説明します。

Insecure1 34 - Win

Insecure1 39 - Lin en

混在コンテンツとは何か?

HTTP は、Web サーバからブラウザへ情報を転送するシステムです。HTTP は安全ではなく、HTTP プロトコルで配信されているページを訪れた場合、そのサイトとの接続は盗聴や 攻撃 に対して開放されています。ほとんどの Web サイトは、HTTP 経由で配信されていますが、取り扱いに注意が必要な情報を渡したり扱ったりすることがないため、安全な接続をする必要がありません。

銀行のサイトなど、ページ全体が HTTPS プロトコルで配信されている Web サイト (アドレスバーに 緑色の錠前アイコン が表示されます) を訪れた場合、そのサイトとの接続は、認証を受けて暗号化されているため、盗聴や中間者攻撃から護られています。

しかしながら、訪れた HTTPS のページに HTTP で配信されたコンテンツが含まれている場合、メインのページが HTTPS で配信されていても、それに含まれる HTTP のコンテンツは攻撃者に読まれたり変更されたりする恐れがあります。私たちは、HTTPS のページに含まれる HTTP で配信されたコンテンツを「混在コンテンツ」(mixed content) と呼びます。訪れたページの一部分だけが暗号化されていると 安全な接続 であるように表示されますが、実際はそうではありません。

補足: 混在コンテンツ (アクティブおよびパッシブ) についての詳しい情報は、こちらのブログ記事 をご覧ください。

混在コンテンツにはどんな危険性がありますか?

攻撃者は、あなたが訪れたページ上の HTTP コンテンツを置き換えることができるため、あなたの信頼情報を無断で借用したり、アカウントを乗っ取ったり、あなたの個人情報を入手したり、ページのコンテンツを変更したり、あなたのコンピュータにマルウェアのインストールを試みたりすることができます。

防護するための選択肢は?

ほとんどの Web サイトは、あなたが何もしなくても通常の動作をします。

混在コンテンツの読み込みや表示、実行を許可する必要がある時でも、簡単に許可できます:

  • アドレスバー内の 盾アイコン Mixed Content Shield をクリックして、オプション をクリックし、今すぐ保護を無効にする を選択してください。
Insecure2 34 - Win

Insecure2 39 - Lin en

  • アドレスバーのアイコンがオレンジ色の警告マーク Warning Identity Icon に変わり、安全でないコンテンツが表示されていることを知らせます。

安全でないコンテンツが表示されていると、盾アイコンに赤い斜線が表示されます。混在コンテンツを再びブロックするには、盾アイコンをクリックして、オプション をクリックし、保護を有効にする を選択します。

Insecure3 34 - Win

Insecure3 39 - Lin en 現在のタブ内で別の Web サイトへ移動して元のページへ戻った場合や、その Web サイトを新しいタブで開いた場合、安全でないコンテンツは、再び自動的にブロックされるようになります。

灰色の警告アイコンが表示される場合

Mixed passive content

Mixed passive content fx39 Linux en 潜在的に有害な HTTP コンテンツのみがブロックされ、まだブロックされていない HTTP コンテンツ (画像や動画、音声など) があるかもしれません。この場合、Firefox と Web サイトの間の接続は部分的にしか暗号化されておらず、盗聴に対して安全と考えるべきではありません。そのため、灰色の警告アイコン が表示されます。

Firefox は、安全に見える Web ページ上の潜在的に有害で安全でないコンテンツをブロックすることにより、ユーザを攻撃から保護します。この記事の続きを読んで混在コンテンツについて学び、それがブロックされた時、Firefox がどのように知らせるかを学んでください。

混在コンテンツとは何か?

HTTP は、Web サーバからブラウザへ情報を転送するシステムです。HTTP は安全ではなく、HTTP プロトコルで配信されているページを訪れた場合、そのサイトとの接続は盗聴や 攻撃 に対して開放されています。ほとんどの Web サイトは、HTTP 経由で配信されていますが、取り扱いに注意が必要な情報を渡したり扱ったりすることがないため、安全な接続をする必要がありません。

銀行のサイトなど、ページ全体が HTTPS プロトコルで配信されている Web サイト (アドレスバーに 緑色の錠前アイコン が表示されます) を訪れた場合、そのサイトとの接続は、認証を受けて暗号化されているため、盗聴や中間者攻撃から護られています。

しかしながら、訪れた HTTPS のページに HTTP で配信されたコンテンツが含まれている場合、メインのページが HTTPS で配信されていても、それに含まれる HTTP のコンテンツは攻撃者に読まれたり変更されたりする恐れがあります。私たちは、HTTPS のページに含まれる HTTP で配信されたコンテンツを「混在コンテンツ」(mixed content) と呼びます。訪れたページの一部分だけが暗号化されていると 安全な接続 であるように表示されますが、実際はそうではありません。

補足: 混在コンテンツ (アクティブおよびパッシブ) についての詳しい情報は、こちらのブログ記事 をご覧ください。

混在コンテンツにはどんな危険性がありますか?

攻撃者は、あなたが訪れたページ上の HTTP コンテンツを置き換えることができるため、あなたの信頼情報を無断で借用したり、アカウントを乗っ取ったり、あなたの個人情報を入手したり、ページのコンテンツを変更したり、あなたのコンピュータにマルウェアのインストールを試みたりすることができます。

ページに混在コンテンツが含まれていることを知るには?

アドレスバー内のアイコンを見て、ページに混在コンテンツが含まれていないか確かめてください。

mixed content icon url 42

混在コンテンツなし: 安全です

  • green lock 42 : 安全でない要素を一切読み込まない安全なページの場合、緑色の錠前アイコンが表示されます。

混在コンテンツをブロックしました: 安全です

  • blocked secure 42 : Firefox がページ上の安全でない要素をブロックした場合、緑色の錠前アイコンに灰色の警告アイコンが付きます。これは、ページの今の状態は安全であることを意味します。アイコンをクリックしてコントロールセンターを開き、このページのセキュリティの詳細を表示してください。

混在コンテンツはブロックされていません: 安全ではありません

  • unblocked mixed content 42 : 赤線が引かれた錠前アイコンが表示されている場合、Firefox は安全でない要素をブロックしておらず、盗聴や攻撃に対して無防備であり、あなたの個人データはサイトから盗まれる可能性があります。次のセクションで説明する混在コンテンツのブロック解除をしない限り、このアイコンが表示されることは無いでしょう。
  • orange triangle grey lock 42 : 灰色の錠前アイコンにオレンジ色の警告アイコンが付く場合、Firefox は安全でないパッシブコンテンツをブロックしていません。攻撃者はページの一部を改変することが可能です。例えば、誤解させるコンテンツや不適切なコンテンツを表示することはできますが、攻撃者がユーザの個人データをサイトから盗むことはできません。

混在コンテンツのブロックを解除する

安全でない要素のブロックを解除することは避けるべきですが、必要であれば可能です:

  1. アドレスバー内の錠前アイコンをクリックします。
  2. コントロールセンターの右矢印をクリックします。
    unblock mixed content 42
  3. 今すぐ保護を無効にする をクリックしてください。
    disable protection 42

保護を有効にするには、上記の手順を繰り返し、保護を有効にする をクリックしてください。

警告: 混在コンテンツのブロックを解除すると、攻撃者に対して無防備な状態になります。
開発者向け: あなたの Web サイトで、安全でないコンテンツが原因でセキュリティエラーが発生する場合は、こちらの MDN の記事をご覧ください: How to fix a website with mixed content


この記事を共有する: http://mzl.la/1klqkmQ

この記事は役に立ちましたか? しばらくお待ちください...

この記事の貢献者: marsf, dskmori, yassan138。あなたも手助けしませんか?- 貢献するにはこちらから