ผมว่ามันปกตินะครับ มันน่าจะแค่เตือนว่ามีบางภาพที่ไม่ได้ใช้ https
เช่น
https://www.blognone.com/node/57524#comment-714991

อาการแบบนั้นคือ resource ในหน้าเว็บบางส่วนเป็น http ครับ ไม่เกี่ยวกับ xss แต่อย่างใด

สำหรับหน้านั้นก็คือรูปในคอมเมนครับ ลองกด "ข้อมูลเพิ่มเติม" แล้วดูตรงแท็บ Media ก็ได้ครับ (ไม่แน่ใจว่าในรุ่นภาษาไทยมันเขียนว่าไงนะ)

เป็นเพราะมีผู้ใช้ใส่รูปจากเว็บ imgur ครับ

โดยทั่วไปถ้าเป็น script ตัว chrome (หรือเบราว์เซอร์สมัยใหม่อื่นๆ) จะไม่ยอมดาวน์โหลดสคริปต์ครับ (ทั้ง Javascript และ CSS) แต่ยอมรับได้สำหรับรูปภาพ โดยจะเตือนอย่างที่เห็น นโยบายนี้เริ่มที่ Chrome 14 (อ่านเพิ่มเติม Chrome Blog, chromium issue #81637)

ในแง่ความปลอดภัยแล้ว จะมีประเด็นการเปิดเผยข้อมูลคนเข้าเว็บ เช่น แฮกเกอร์ที่ sniff จะรู้ได้ว่าใครดูภาพอะไรอยู่ แต่ในแง่ของความปลอดภัยตัวเว็บโดยตรง เช่น การขโมย cookie หรือล็อกอิน ไม่เคยมีรายงานว่าการใส่รูปภาพ มีความเสี่ยงนะครับ

เรื่องนี้ผมเองก็ไม่ชอบนัก กำลังพิจารณาว่าจะบังคับต้อง host รูปในเว็บที่เป็น HTTPS เท่านั้นเหมือนกัน แต่ตอนนี้ยังอนุโลมตามนโยบายเดียวกับ Chrome อยู่ครับ

Cross Site Stripping นี่ทำไงเหรอครับ? โฆษณาหาคู่ข้ามเว็บ?

/เดินออกไปเงียบๆ