警告が表示される前提

この警告が表示される場合は、以下の2つを満たしている場合。

1. Webページにはhttpsで取得されている
2. そうして読み込まれたページ内にhttpで取得されるリソースが紛れ込んでいる

警告表示の種類を変える要因

そんなわけで、警告表示の種類を変える要因について、Chrome Developer Toolのコンソールからチマチマと要素を追加して、調べてみた。

黄色の警告表示（注意レベル）

• iframe要素でhttpのページを読み込む
  • 同一ドメインでもダメです
• 画像（img要素）など、ブラウザがネイティブで再生できるマルチメディアコンテンツ
  • object要素、embed要素でも、pngやjpegを読み込んだ程度では黄色の警告レベルだったり
  • video要素でmpgを読み込んでも警告表示は無いが、img要素だと黄色、embed要素だと赤色になったりする
• linkによる外部スタイルシートの挿入

赤い警告表示（マジで警告してる）

• SWFファイルなど、プラグインを起動するようなコンテンツ
  • object要素、embed要素は当然アウト
  • ちなみにimg要素のsrcにSWFファイルを指定して読み込むと黄色の警告表示で済むんだなコレが
• script要素（httpで読み込む）

例外（警告が表示されない）

• iframe要素でhttpsのページを読み込む（外部ドメイン可）
• script要素（httpsで読み込めば外部ドメイン可）

警告レベルを分けている理由

これについては複数考えられるけれども、第一には、Gumblar初期において、改ざんしたページで外部の攻撃用ファイルを読み込ませるという手法*3が取られたことに対する対策なんでしょうね。