GoogleがChromeのダウンロード機能の安全性をさらに高めるための改良を進めている事がわかりました(Techdows、MSPoweruser)。
Chromiumのバグトラッキングシステムによると、HTTPSを利用したWebサイトの安全でないダウンロード(実行ファイルなどのダウンロード)を混合コンテンツとして扱い、ファイルのダウンロードをブロックする機能が追加されている模様です。
例えば「https://example.com/1.html」から「http://site.com/x.exe」をダウンロードしようとした場合、ChromeのDeveloper Consoleには以下のようなメッセージが表示されるそうです。
The site at ‘https://example.com/1.html was loaded over a secure connection, but the file at ‘http://site.com/x.exe’ was redirected through an insecure connection. This file should be served over HTTPS.
– Google (message from Chrome’s Developer Console)
現在この変更はChromeのDevおよびCanaryビルドの50%にロールアウトされた状態で一端停止されていて、「treat risky downloads over insecure connections as active mixed content」というフラグによって有効することができます。