HTTPSとHTTPでスクリプトやCSSを読み込んだ場合、Man-In-the-Middleが仕掛けられたらHTTPSもみえちゃうよーんって感じらしい。

米Googleは開発者向けに公開しているWebブラウザChromeの「カナリアビルド」次期バージョンで、「スクリプト混合」（mixed scripting）と呼ばれる、危険な状態をデフォルトで防止する措置を取ったことを明らかにした。
同社では、HTTPSを使って通信を暗号化しているWebページが、スクリプトやCSS、プラグインリソースなどを安全ではないHTTPを介して読み込むことにより発生する状態を「スクリプト混合の脆弱性」と定義している。
この問題を突いて中間者攻撃を仕掛ければ、HTTPリソースを傍受して、そのリソースが読み込まれているWebサイトにフルアクセスできてしまう恐れがあるという。この状態では、まったくHTTPSを使っていないのと同然になりかねないとGoogleは解説する。
さらに、HTTPSを使っているWebページで画像、iFrame、フォントなどがHTTP経由で読み込まれている場合も、「ディスプレイ混合」（mixed display）の脆弱性が発生するとした。ただし、こちらはそれほど深刻ではないと位置付けている。

Google Chromeの開発者版で「スクリプト混合の脆弱性」をブロック - ITmedia エンタープライズ