혼합 콘텐츠 정리

No More Mixed Messages About HTTPS

여전히 Mixed Contents로부터 완전히 자유롭지 않다

• HTTPS로 접속한 사이트에서 HTTP 리소스를 업로드하는 상황이 여전히 발생한다.
• 브라우저는 안전하지 않은 HTTP 접속을 기본적으로 차단하는 경향이 있으며, 이는 주로 스크립트와 iframes에 적용된다.
• 그러나 이미지, 비디오, 오디오와 같은 일부 콘텐츠 유형은 여전히 허용된다.

혼합 콘텐츠

정의

• 초기 HTML이 보안 HTTPS 연결을 통해 로드되지만, 다른 리소스(예: 이미지, 비디오, 스타일시트, 스크립트)는 안전하지 않은 HTTP 연결을 통해 로딩될 때 혼합 콘텐츠가 발생한다.
• HTTP 및 HTTPS 콘텐츠가 모두 동일한 페이지에 로드되기 때문에, 이를 혼합 콘텐츠라고 부른다.

위험성

• 이러한 혼합은 두 당사자 간의 통신을 해커가 훔쳐보거나 수정할 가능성을 열어준다.
• 악성 혼합 콘텐츠는 웹 페이지 제어 권한을 완전히 탈취할 수 있다.

안전하지 않은 혼합 콘텐츠

수동 혼합 콘텐츠(Passive mixed content):

• 페이지의 나머지 부분과 상호 작용하지 않는 콘텐츠(예: 이미지, 비디오, 오디오)가 여기에 해당된다.

활성 혼합 콘텐츠(Active mixed content):

• 페이지 전체와 상호 작용하며, 공격자가 페이지에서 거의 모든 작업을 수행할 수 있게 하는 콘텐츠(예: 스크립트, 스타일시트, iframe 및 기타 코드)이다.

혼합 콘텐츠 차단 정책:

최근 브라우저는 혼합 콘텐츠에 대한 보안 조치를 강화하고 있다. 이제는 HTTPS 페이지 내에서 HTTP 콘텐츠를 로드하려는 시도가 더 엄격하게 차단된다. 특히 활성 혼합 콘텐츠는 대부분의 현대 브라우저에서 기본적으로 차단되며, 이는 웹의 보안을 강화하기 위한 조치이다. 그러나 수동 혼합 콘텐츠에 대한 접근 방식은 브라우저마다 다를 수 있으며, 일부는 사용자에게 경고를 표시하고 사용자의 선택에 따라 콘텐츠를 로드할지 결정할 수 있도록 한다.

웹 개발자는 이러한 차단 정책에 대응하여 사이트의 모든 리소스를 HTTPS를 통해 제공해야 하며, 이는 사이트의 보안과 사용자 경험 모두에 긍정적인 영향을 미친다. 또한, Content Security Policy (CSP)를 사용하여 혼합 콘텐츠를 효과적으로 관리하고, 웹 사이트의 보안을 더욱 강화할 수 있다.

참고 자료:

구글의 혼합 콘텐츠 차단 정책에 대한 자세한 정보는 다음 링크에서 확인할 수 있다: 구글 보안 블로그