Le HTTPS est acquis pour la quasi-totalité des sites. Ce qui reste, c’est le mixed content : une seule ressource chargée en HTTP sur une page HTTPS suffit à faire disparaître le cadenas — et les navigateurs bloquent silencieusement les scripts et styles HTTP sans avertir l’utilisateur. Notre canard détecte les ressources actives (scripts, styles, iframes — bloquées par les navigateurs) séparément des ressources passives (images, vidéos — qui n’affichent qu’un avertissement), vérifie la redirection HTTP→HTTPS et la présence du header HSTS.
