先日投稿したGoogle Chromeのセキュリティ仕様変更の記事↓
…に関連して、現行の主要ブラウザについて、以下の5パターンのページにアクセスした場合の挙動について検証してみました。
- 非SSLのページ
- 非SSLのページ(フォームあり)
- 非SSLのページ(パスワードフォームあり)
- SSLのページ
- SSLのページ(非SSLリソースの読み込みあり)
以下にその検証結果を公開します。
- [PC] Google Chrome (Windows / 59.0.3071.86)
- [PC] Mozilla Firefox (Windows / 53.0.3)
- [PC] Microsoft Edge (Windows / 40.15063.0.0)
- [PC] Microsoft Internet Explorer (Windows / 11.332.15063.0)
- [PC] Apple Safari (macos / 10.1)
- [iOS] Apple Safari (iPhone7 / iOS 10.3)
- [Android] Google Chrome (Android 5.1)
- おわりに
各ブラウザでの検証結果
[PC] Google Chrome (Windows / 59.0.3071.86)
- 非SSLのページ
-
- URL欄左側に"i"アイコン表示。
- "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という情報を表示。
- URL欄左側に"i"アイコン表示。
- 非SSLのページ(フォームあり)
-
- URL欄左側に"i"アイコン表示(※「非SSLのページ」と同様)。
- "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という情報を表示。(※「非SSLのページ」と同様)。
- 10月以降は、ユーザー入力フィールドのフォーカス時に「保護されていません」という警告が表示される予定。
- 非SSLのページ(パスワードフォームあり)
-
- URL欄左側に"i"アイコンと「保護されていません」という警告表示。
- "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という情報を表示。(※「非SSLのページ」と同様)。
- URL欄左側に"i"アイコンと「保護されていません」という警告表示。
- SSLのページ
-
- URL欄左側に「緑色の南京錠」アイコンと「保護された通信」という情報表示。
- 南京錠アイコンをクリックすると「保護された接続」という情報を表示。
- URL欄左側に「緑色の南京錠」アイコンと「保護された通信」という情報表示。
- SSLのページ(非SSLリソースの読み込みあり)
-
- URL欄左側に「緑色の南京錠」アイコンと「保護された通信」という情報表示(※「SSLのページ」と同様)。
- 南京錠アイコンをクリックすると「保護された接続」という情報を表示(※「SSLのページ」と同様)。
- URL欄右側に「赤い×印のついた盾」の警告アイコンを表示。
- 赤い×印のついた盾をクリックすると「このページは承認されていないソースからのスクリプトを読み込もうとしています」という警告を表示。
ここで「安全でないスクリプトを読み込む」をクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。
[PC] Mozilla Firefox (Windows / 53.0.3)
- 非SSLのページ
-
- URL欄左側に"i"アイコン表示。
- "i"アイコンをクリックすると「この接続は安全ではありません」という警告を表示。
- URL欄左側に"i"アイコン表示。
- 非SSLのページ(フォームあり)
-
- URL欄左側に"i"アイコン表示(※「非SSLのページ」と同様)。
- "i"アイコンをクリックすると「このサイトへの接続は保護されていません」という警告を表示。(※「非SSLのページ」と同様)。
- 非SSLのページ(パスワードフォームあり)
-
- URL欄左側に"i"アイコンと「打ち消し線つきの南京錠アイコン」を表示。
- "i"アイコンをクリックすると「この接続は安全ではありません」に加え、「このページのログインフォームは安全ではありません」という警告を表示。
- 入力フィールドのフォーカス時にフィールド直下に「この接続は安全ではありません。ここに入力したログイン情報は漏えいする可能性があります。」という警告を表示。
- URL欄左側に"i"アイコンと「打ち消し線つきの南京錠アイコン」を表示。
- SSLのページ
-
- URL欄左側に「緑色の南京錠」アイコンを表示。
- 南京錠アイコンをクリックすると「安全な接続」という情報を表示。
- URL欄左側に「緑色の南京錠」アイコンを表示。
- SSLのページ(非SSLリソースの読み込みあり)
-
- URL欄左側に緑色の南京錠アイコンと「保護された通信」という情報表示(※「SSLのページ」と同様)。
- 南京錠アイコンをクリックすると「保護された接続」という情報に加え、「このページの一部が安全でないためFirefoxがブロックしました」という警告を表示。
ここで「>」ボタンをクリックし、「このセッションのみ保護を無効にする」をクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。
[PC] Microsoft Edge (Windows / 40.15063.0.0)
- 非SSLのページ
-
- 特に情報表示なし。
- 特に情報表示なし。
- 非SSLのページ(フォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- 非SSLのページ(パスワードフォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- SSLのページ
-
- URL欄左側に「南京錠」アイコンを表示。
- 南京錠アイコンをクリックすると「サーバーへの接続は暗号化されています。」という情報を表示。
- URL欄左側に「南京錠」アイコンを表示。
- SSLのページ(非SSLリソースの読み込みあり)
-
- URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
- URL欄右側に「ウィンドウと盾」のアイコンを表示。
- ウィンドウと盾アイコンをクリックすると「情報を保護するために、安全でない接続経由で送信されたコンテンツをブロックしました」という警告を表示。
ここで「全てのコンテンツを表示」ボタンをクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。
[PC] Microsoft Internet Explorer (Windows / 11.332.15063.0)
- 非SSLのページ
-
- 特に情報表示なし。
- 特に情報表示なし。
- 非SSLのページ(フォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- 非SSLのページ(パスワードフォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- SSLのページ
-
- URL欄右側に「南京錠」アイコンを表示。
- 南京錠アイコンをクリックすると「このサーバーへの接続は暗号化されています。」という情報を表示。
- URL欄右側に「南京錠」アイコンを表示。
- SSLのページ(非SSLリソースの読み込みあり)
-
- URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
- 画面下部に「セキュリティで保護されているコンテンツのみ表示されます。」という警告を表示。
ここで「すべてのコンテンツを表示」ボタンをクリックするまでは、当該の非SSLリソースのスクリプトは実行されない。
[PC] Apple Safari (macos / 10.1)
- 非SSLのページ
-
- 特に情報表示なし。
- 特に情報表示なし。
- 非SSLのページ(フォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- 非SSLのページ(パスワードフォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- SSLのページ
-
- URL欄左側に「南京錠」アイコンを表示。
- 南京錠アイコンをクリックすると「(ドメイン名)への接続は暗号化されています」という情報を表示。
- URL欄左側に「南京錠」アイコンを表示。
- SSLのページ(非SSLリソースの読み込みあり)
-
- URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
- 非SSLリソースをブロックした旨の情報・警告は表示されない。ただし、当該の非SSLリソースのスクリプトは実行されない。
[iPhone7] Apple Safari (iOS 10.3)
- 非SSLのページ
-
- 特に情報表示なし。
- 特に情報表示なし。
- 非SSLのページ(フォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- 非SSLのページ(パスワードフォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- SSLのページ
-
- URL欄左側に「南京錠」アイコンを表示。
- URL欄左側に「南京錠」アイコンを表示。
- SSLのページ(非SSLリソースの読み込みあり)
-
- URL欄左側に南京錠アイコンを表示(※「SSLのページ」と同様)。
- 非SSLリソースをブロックした旨の情報・警告は表示されない。ただし、当該の非SSLリソースのスクリプトは実行されない。
[Android] Google Chrome (Android 5.1)
- 非SSLのページ
-
- 特に情報表示なし。
- 特に情報表示なし。
- 非SSLのページ(フォームあり)
-
- 特に情報表示なし(※「非SSLのページ」と同様)。
- 10月以降の変更の有無は不明。
- 非SSLのページ(パスワードフォームあり)
-
- URL欄左側に"i"アイコン表示。
- "i"アイコンをタップすると「このサイトへの接続は保護されていません」という情報を表示。
- URL欄左側に"i"アイコン表示。
- SSLのページ
-
- URL欄左側に「緑色の南京錠」アイコンを表示。
- 南京錠アイコンをクリックすると「保護された接続」という情報を表示。
- URL欄左側に「緑色の南京錠」アイコンを表示。
- SSLのページ(非SSLリソースの読み込みあり)
-
- URL欄左側に緑色の南京錠アイコンを表示(※「SSLのページ」と同様)。
- 南京錠アイコンをクリックすると「保護された接続」という情報を表示(※「SSLのページ」と同様)。
- 非SSLリソースをブロックした旨の情報・警告は表示されない。ただし、当該の非SSLリソースのスクリプトは実行されない。
おわりに
PC版のChromeとFirefoxが他のブラウザに比べてこうした情報の表示・仕様が厳しいことは認識していましたが、こうして改めて比較してみると、対応状況は各ブラウザで本当にまちまちですね。個人的にはChrome(スマホ版)とSafari(PC版・スマホ版)で共通して、SSLのページ(非SSLリソースの読み込みあり)で非SSLリソースをブロックしたということが明示されない点が驚きでした。
