"이 사이트에는 안전하지 않은 콘텐츠가 있습니다." "보안 콘텐츠 만 표시됩니다." "Firefox는 안전하지 않은 콘텐츠를 차단했습니다." 웹을 탐색하는 동안 이러한 경고가 표시되는 경우가 있지만 정확히 무엇을 의미합니까?
혼합 콘텐츠에는 두 가지 유형이 있습니다. 하나는 다른 것보다 나쁘지만 둘 다 좋지 않습니다. 혼합 콘텐츠 경고는 방문중인 웹 페이지에 문제가 있음을 나타냅니다.
혼합 콘텐츠 란 무엇입니까?
이 모든 것은 HTTP와 HTTPS의 차이점 . HTTP는 가장 일반적으로 사용되는 연결 유형입니다. HTTP 프로토콜을 사용하여 웹 사이트를 방문하면 웹 사이트에 대한 연결이 보호되지 않습니다. 트래픽을 도청하는 사람은 내가보고있는 페이지와주고받는 모든 데이터를 볼 수 있습니다.
이것이 바로 'HTTP Secure'인 HTTPS를 사용하는 이유입니다. HTTPS는 사용자와 웹 서버간에 보안 연결을 생성합니다. 연결은 암호화되고 인증되므로 아무도 트래픽을 스누핑 할 수 없으며 올바른 웹 사이트에 연결되어 있는지 어느 정도 확신 할 수 있습니다. 이것은 계정 암호와 온라인 결제 데이터를 보호하여 아무도 도청하지 못하도록하는 데 매우 중요합니다.
혼합 콘텐츠 경고는 HTTPS를 통해 액세스하는 웹 페이지에 문제가 있음을 나타냅니다. HTTPS 연결은 안전해야하지만 웹 페이지의 소스 코드는 HTTPS가 아닌 안전하지 않은 HTTP 프로토콜을 사용하여 다른 리소스를 가져옵니다. 웹 브라우저의 주소 표시 줄에 HTTPS에 연결되어 있다고 표시되지만 페이지는 백그라운드에서 안전하지 않은 HTTP 프로토콜을 사용하여 리소스를로드하고 있습니다. 사용중인 웹 페이지가 완전히 안전하지 않다는 것을 확인하기 위해 브라우저는 페이지에 HTTPS 및 HTTP 콘텐츠, 즉 혼합 콘텐츠가 모두 포함되어 있다는 경고를 표시합니다.
이것이 위험한 이유
이것이 실제로 위험한 이유입니다. 결제 페이지에서 신용 카드 번호를 입력하려고한다고 가정 해 보겠습니다. 결제 페이지에 암호화 HTTPS 연결이지만 혼합 콘텐츠 경고가 표시됩니다. 이것은 붉은 깃발을 불러 일으킬 것입니다. 입력 한 결제 세부 정보가 안전하지 않은 콘텐츠에 캡처되어 안전하지 않은 연결을 통해 전송되어 HTTPS 보안의 이점을 제거 할 수 있습니다. 누군가가 귀하의 민감한 데이터를 도청하고 볼 수 있습니다.
HTTP는 HTTPS와 같은 방식으로 웹 서버를 인증하지 않기 때문에 HTTP 사이트에서 스크립트를 가져 오는 보안 HTTPS 사이트가 공격자의 스크립트를 가져 와서 다른 보안 사이트에서 실행하도록 속일 수도 있습니다. HTTPS를 사용하면 콘텐츠가 변조되지 않았으며 합법적임을 더욱 확실하게 확인할 수 있습니다.
두 경우 모두 보안 HTTPS 연결의 이점을 제거합니다. 웹 사이트에 안전하지 않은 콘텐츠 경고가 있고 여전히 귀하의 개인 데이터를 적절하게 보호 할 수 있지만, 우리는 확실히 알지 못하며 위험을 감수해서는 안됩니다. 그렇기 때문에 그렇지 않은 웹 사이트를 발견하면 웹 브라우저가 경고를 표시합니다. 제대로 코딩되었습니다.
혼합 액티브 콘텐츠 vs. 혼합 패시브 콘텐츠
실제로 두 가지 유형의 혼합 콘텐츠가 있습니다. 더 위험한 것은“혼합 액티브 콘텐츠”또는“혼합 스크립팅”입니다. 이는 HTTPS 사이트가 HTTP를 통해 스크립트 파일을로드 할 때 발생합니다. 스크립트 파일은 원하는 페이지에서 모든 코드를 실행할 수 있으므로 안전하지 않은 연결을 통해 스크립트를로드하면 현재 페이지의 보안이 완전히 손상됩니다. 웹 브라우저는 일반적으로 이러한 유형의 혼합 콘텐츠를 완전히 차단합니다.
두 번째 유형은 '혼합 수동 콘텐츠'또는 '혼합 디스플레이 콘텐츠'입니다. 이는 HTTPS 사이트가 HTTP 연결을 통해 이미지 또는 오디오 파일과 같은 것을로드 할 때 발생합니다. 이러한 유형의 콘텐츠는 같은 방식으로 페이지의 보안을 해칠 수 없으므로 웹 브라우저가 거칠게 반응하지 않습니다. 그러나 여전히 문제를 일으킬 수있는 나쁜 보안 관행입니다. 예를 들어 공격자는 이미지를 오해의 소지가있는 이미지로 대체하여 이론적으로 안전한 페이지를 조작 할 수 있습니다. 이미지로드 요청에는 웹 사이트와 관련된 쿠키 정보가 포함 된 헤더도 포함되어 있으므로 안전하지 않은 연결을 통해 이미지를로드해도 문제가 발생할 수 있습니다. 웹 브라우저는 콘텐츠를 완전히 차단하지 않고 경고 아이콘이나 메시지를 표시하는 경우가 많습니다. 이러한 유형의 혼합 콘텐츠는 실제 웹 사이트에서 여전히 일반적이기 때문입니다. Chrome에는 노란색 삼각형이있는 자물쇠가 표시됩니다.
혼합 콘텐츠 경고가 표시 될 때 수행 할 작업
웹 브라우저는 일반적으로 가장 위험한 유형의 혼합 콘텐츠를 기본적으로 차단합니다. 차단을 해제하지 마십시오. 혼합 된 콘텐츠를로드하지 않고 웹 사이트에 로그인하거나 온라인 결제 세부 정보를 입력 할 수없는 경우 웹 사이트에서 나가고 안전하지 않은 웹 사이트에 정보를 입력하지 않아야합니다. 웹 사이트 소유자에게 사이트가 안전하지 않고 손상되었음을 알립니다.
페이지에 안전하지 않을 수있는 다른 리소스가 포함되어 있다는 경고가 표시되는 경우 어쨌든 로그인하는 것이 안전 할 수 있습니다. 은행만큼 중요한 웹 사이트에이 문제가있는 경우 좋은 징조는 아니지만 이러한 유형의 혼합 콘텐츠 경고는 매우 일반적입니다.
반면에 HTTPS가 필요하지 않은 웹 사이트에 액세스하는 경우 혼합 콘텐츠 경고는 큰 문제가 아닙니다. 모든 혼합 콘텐츠 경고는 웹 페이지가 HTTPS 보안의 이점을 보장한다는 것을 의미합니다. 즉, 최악의 경우 방문하는 웹 페이지가 표준 HTTP 사이트만큼 안전하지 않습니다. 따라서 일부 기사를 읽기 위해 Wikipedia와 같은 웹 사이트에 액세스하고 혼합 콘텐츠 경고를 본 경우 너무 신경 쓸 필요가 없습니다. 최악의 시나리오에서는 표준 HTTP 연결을 통해 Wikipedia의 기사를 읽는 것처럼 안전하지 않으며 어쨌든 문제가 없습니다.
일부 웹 페이지에이 문제가있는 이유
웹 페이지 코딩 방식에 문제가있는 경우에만이 오류가 표시됩니다. 웹 페이지가 HTTPS를 통해 제공되는 경우 HTTPS 프로토콜을 사용하여 필요한 스크립트 파일 및 기타 콘텐츠도 가져와야합니다. 웹 개발자는 웹 페이지를 테스트하여 사용자 브라우저에서 무시 무시한 경고를 표시하지 않는지 확인해야합니다. 사용자라면이 문제에 대해 아무것도 할 수 없습니다. 문제를 해결하는 것은 웹 사이트 소유자의 몫입니다.
웹 개발자라면 HTTPS 페이지가 HTTP URL이 아닌 HTTPS URL에서 콘텐츠를로드하는지 확인하기 만하면됩니다. 이를위한 한 가지 방법은 전체 웹 사이트가 SSL을 통해서만 작동하도록하는 것이므로 모든 것이 HTTPS 만 사용합니다.
HTTP 또는 HTTPS를 통해 제공 될 수 있고 올바른 작업을 자동으로 수행 할 수있는 페이지를 만들려면 "프로토콜 상대 URL"을 사용하여 사용자의 프로토콜에 따라 사용자의 브라우저가 자동으로 HTTP 또는 HTTPS를 선택하도록 할 수 있습니다. 연관된. 예를 들어 이미지를로드하기위한 프로토콜 상대 URL은 다음과 같습니다. <img src =”// example.com/image.png”> . 브라우저는 URL의 시작 부분에 http : 또는 https : 중 적절한 것을 자동으로 추가합니다. 물론 연결하려는 사이트가 HTTP와 HTTPS를 통해 리소스를 제공하는지 확인해야합니다.
웹 브라우저는 혼합 된 콘텐츠 또는 보호를 자동으로 차단하고 있으며 이것이 그 이유입니다. 혼합 콘텐츠를 활성화하지 않으면 제대로 작동하지 않는 보안 웹 사이트를 사용해야하는 경우 웹 사이트 소유자가 수정해야합니다.
