Ryo さん、mar さん、フォローありがとうございます。
Ryo さんが書きました:
そのスクリーンショットのURLバーに表示されている以下のURLを Firefox 23 のURLバーに入力してみると、
手っ取り早く、「混合コンテンツのブロック」を体験する事が出来ました^_^; 。
サンプルページの例示、ありがとうございます。
スクリーンショットの URL までは気が回りませんでした。
mar さんが書きました:
「混合コンテンツ」ではなく、「混在コンテンツ」です。
リリースノートの誤訳ですね。
気にはなっていましたが、そういうことでしたか。
Firefox 内部の表示は「混在」だし、どう表記したらいいものか迷ったのですが、とりあえず最初に出たリリースノートの表記に従ったしだいです。
(余談)
少なくともこの投稿の時点では......
例えば、次の URL にアクセスすると、
http://support.mozillamessaging.com/ja/kb/profiles
自動的に
https://support.mozillamessaging.com/ja/kb/profiles
に切り替えられます。
このとき、Firefox の JavaScript が有効か無効かで、ロケーションバーの [サイト認証ボタン](アイコン)の状態に差がでます。
ロケーションバーの [サイト認証ボタン] は、
(A)JavaScript が有効のとき、[灰色の錠前アイコン] になります。
(B)JavaScript が無効のとき、[灰色の地球アイコン] になります。→ 混在コンテンツを示唆
[開発ツール] のコンソールを観察すると、
(A')JavaScript が有効のとき、混在コンテンツは何も表示されません。
SSL な JavaScript の実行に基づいて読み込まれている表示系コンテンツ(アクセス分析用 Web ビーコン?)でしょうか。
(B')JavaScript が無効のとき、表示系の混在コンテンツの存在が表示されます。
HTML の <noscript> タグに記された非 SSL な URL から読み込まれている表示系コンテンツ(アクセス分析用 Web ビーコン?)でしょうか。
A 、B どちらのケースでも、同じページを表示してコンテンツはブロックされていないという点では、実質的にユーザーが受ける結果に違いはなさそうです。
・[サイト認証ボタン] は HTTPS か HTTP かといったコネクションのルールについてだけ判断しているようなので、ブラウザ側の JavaScript の有効・無効を加味した総合的な「安全性」を示しているわけではありません。
・結局はサイト側のつくりの問題で、(B')の HTML を SSL な URL になるよう修正すればいい話ですし、ユーザーは小難しいことを考えなくても安全性が最大限発揮されるようブラウザが自動的に対処するというのが「混在コンテンツのブロック」機能だと思います。
・[JavaScript を有効にする] の設定項目が削除され、デフォルトの有効状態がほぼ固定されたことを考え合わせると、ユーザーが意識的に JavaScript を無効にした状態は例外的なのかもしれません。
それでも、HTTPS なページにおいて Firefox の JavaScript が有効か無効かによって [サイト認証ボタン] の状態に差が出ることは、ユーザーに対して「安全性」についての誤解ないしは油断を与えてしまう可能性があるのではないか、という一抹の不安は残ります。
上記はあくまで表示系の混在コンテンツであって、ブロック対象となる Mixed Active Content に敷衍して述べるべきではないのかもしれませんが、ブラウザの JavaScript が無効なら、たとえ問題のあるスクリプトを読み込んだとしても実行されることはないので、ただちに被害に合うことはないと考えられますから。(キャッシュまわりのことも考慮したほうがいいのかもしれませんが、力が及びません...。)
我ながら気にしすぎかなと思いますが、ブラウザの自動化に依存しすぎてユーザー(人間)の判断力が衰えないようにはしたいと思います。【おことわり】
ゲスト(未登録)ユーザーで投稿しようとした場合、本文にフル URL や [url] タグで設定されたリンクがあるとスパム判定されるケースがあります。
今回もその制約に引っかかって投稿できなかったので、「URL を自動的にパースしない」の設定で投稿しています。ご容赦ください。
ログイン
ユーザー登録
FAQ
検索
