[レベル: 中級]
HTTPS のページなのに HTTP でデータを送信するフォームを “mixed form“(混合フォーム)と呼びます。
混合フォームでは、ユーザーのセキュリティとプライバシーが保護されません。
ユーザーを守るために Chrome 86 で混合フォームの扱いを Google は変更する予定です。
Chrome 86 での混合フォームの扱い変更点
混合フォームに入力しようとすると、オートフィルが無効になり安全ではないことを通知する警告メッセージが出ます。
※「このフォームは安全ではないため、自動入力をオフにしました」という警告メッセージが出る(「バナナ」に深い意味はありません🍌)
ただし、ログインのためのフォームは例外です。
混合フォームであっても、ユーザー名とパスワードは Chrome のパスワード マネージャーの機能により自動入力されることがあります。
警告を無視して混合フォームで情報を送信しようとすると、実際に送信が実行される前に、ページ全体を使って警告するインタースティシャル ページが挟まります。
※送信ボタンを押すと「送信しようとしている情報は保護されません、サイトで使用されている接続は安全性が十分でないため、情報が他人に読み取られる可能性があります。」と警告するインタースティシャル ページが表示される
Chrome 85 までは、混合フォームに対してはオムニボックス(URL バー)の鍵アイコンが「!」マークに変わるだけした。
そのため、安全性が保たれていないことがユーザーには明確に伝わりませんでした。
しかし Chrome 86 では、説明したように、入力時と送信後の二段構えで混合フォームの危険性をユーザーに警告します。
混合フォームの危険性をより明確に伝えるようになります。
サイト内に混合フォームが存在していないことを再確認しておくといいでしょう。