多くの Web サイトが、SSL コンテンツと非 SSL コンテンツを同一ページ内で混在させている。

これはまずい。

SSL コンテンツと非 SSL コンテンツが混在していると、SSL によるセキュリティ上のメリットが台無しになってしまう。非暗号化コンテンツ部分は、脆弱性を抱えたままだからだ。ログイン情報を保持したセッションクッキーが、第三者に漏えいする可能性もでてくる。

Firefox 23、SSL と 非 SSL の混在サイトで、非 SSL コンテンツをブロック
Mozilla は Firefox 23 で、SSL サイト内の非 SSL コンテンツを、デフォルトで非表示にする。Mozilla 開発者の Norbert Yoshino 氏は、これを次のように説明している。

「セキュアページ内に存在している、セキュアではないスクリプト、スタイルシート、プラグインコンテンツ、インラインフレーム、Web フォント、WebSockets はブロックされ、当該個所には通知メッセージが表示される」

この機能は Web を破壊するものではない。Web のセキュリティを向上させるものだ。

かつて SSL に対応することで、Web サイトのパフォーマンスが低下するという時代があった。これが、SSL と 非 SSL が混在したサイトが生まれた理由だ。だが、SSL によるパフォーマンス低下はもう過去の話だ。SSL と非 SSL の混在サイトは、もはや時代遅れのものとなったのだ。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。