Chrome 56 が正式リリース、SSL で保護されていないページにパスワード入力欄があるとアドレスバーで警告する

Chrome 56 が正式にリリースされましたが、このバージョンでは、SSL で保護されていないページにパスワード入力欄がある場合、アドレスバーに警告が表示されるようになりました。

Google Chrome

Google Chrome の最新版となる、Chrome 56 が正式にリリースされました。

このバージョンでは、HTTP で接続した (SSL で保護されていない) ページにパスワード入力欄 (input type="password") が存在する場合、アドレスバーに 「このページは保護されていませんよ」 という警告を出すように変更されています。

Firefox が去年の年始に、Firefox 46 以降で採用した方法 (下記参考記事) と同じ警告の仕方ですが、Firefox でも先日正式リリースされた Firefox 51 ではこの警告がデフォルトで有効になっているほか、次の Firefox 52 ではもう少し明確な警告を出すようになる (後述) など主要ブラウザではセキュアでない接続におけるパスワード入力に対する警告がスタンダードになってきました。

アドレスバーで警告

Google Chrome 56

ということで、試しにわざと SSL で保護されていない場所にパスワード入力欄を作成して、Chrome 56 でアクセスしてみましたが、下記のようにアドレスバーで警告が表示されました。

SSL 保護されていないページにあるパスワード入力欄に対する Chrome 56 アドレスバーでの警告

サーチコンソールからも警告が

この Chrome 56 における変更に伴い、サーチコンソール (Google Search Console) からも警告が来るようになっています。SSL で保護されていないページにパスワード入力欄があるページが見つかると、下記のようなメールが届くようです。

サーチコンソール (Google Search Console) から送られた警告メール例

Firefox でも同様の警告が

前述した参考記事でも書きましたが、Firefox では昨年の 2月に Aurora Channel としてリリースされた Firefox 46 以降で、同様の警告を出すように変更が加えられていましたが、その時点では about:config を開いて security.insecure_password.ui.enabled の値を true にしない限りは有効になっていませんでした。

しかし、先日正式版としてリリースされた Firefox 51 からは、この設定がデフォルトで有効になっていますので、下記のように SSL 保護されていないページにログインフォームなど、パスワード入力欄があると警告されるようになっています。

Firefox 51 でログインフォームにHTTPで接続した例。打ち消し線の付いた鍵アイコンが表示され、安全でないと警告されます。

一方で SSL で保護されたログイン画面を表示してみると、下記のように警告は消えました。

ログインフォームに HTTPS で接続した場合、警告は表示されません。

なお、次のリリースとなる Firefox 52 においては、下記のようにアドレスバーでの警告に加え、パスワード入力欄自体に警告を表示するようになる予定です。

Firefox 52 以降で予定されている、パスワード入力欄における警告の例

SSL で保護されていないページにログインフォームなどを置くケースは基本的にはないと思いますが、もし該当するページがある場合は早めの対策が必要かと思います。

関連エントリー