“혼합 콘텐츠”란 무엇이며 Chrome에서 이를 차단하는 이유는 무엇입니까?

Google 크롬은 이미 웹에서 일부 유형의 “혼합 콘텐츠”를 차단합니다. 이제 구글 발표 더욱 심각해지고 있습니다. 2020년 초부터 Chrome은 기본적으로 모든 혼합 콘텐츠를 차단하여 일부 기존 웹 페이지를 손상시킵니다. 이것이 의미하는 바는 다음과 같습니다.

혼합 콘텐츠란 무엇입니까?

여기에는 두 가지 유형의 콘텐츠가 있습니다. 암호화된 보안 HTTPS 연결을 통해 전달되는 콘텐츠와 암호화되지 않은 HTTP 연결을 통해 전달되는 콘텐츠입니다. HTTPS를 사용하면 전송 중에 콘텐츠를 스누핑하거나 변조할 수 없습니다. 이것이 중요한 웹사이트가 금융 정보나 개인 데이터를 다룰 때 암호화를 제공하는 이유입니다.

웹은 보안 HTTPS 웹사이트로 이동하고 있습니다. 암호화 없이 이전 HTTP 웹사이트에 연결하면 이제 Google Chrome에서 이러한 웹사이트가 “안전하지 않음”이라고 경고합니다. 사이트는 기본적으로 보안되어야 하므로 Google은 이제 기본적으로 “https://” 표시기를 숨깁니다. 그리고 새로운 HTTP/3 표준에는 암호화 기능이 내장되어 있습니다.

그러나 일부 웹 페이지는 완전한 HTTPS도 아니고 완전한 HTTP일 수도 없습니다. 일부 웹 페이지는 보안 HTTPS 연결을 통해 전달되지만 암호화되지 않은 HTTP 연결을 통해 이미지, 스크립트 또는 기타 리소스를 가져옵니다. 이러한 웹 페이지에는 완전히 안전하지 않기 때문에 “혼합 콘텐츠”가 있습니다. 웹 페이지 자체는 변조할 수 없지만 변조될 수 있는 스크립트, 이미지 또는 iframe(다른 웹 페이지의 “프레임” 내부 웹 페이지)을 가져올 수 있습니다.

혼합 콘텐츠가 나쁜 이유

혼합된 콘텐츠가 혼란스럽습니다. 안전하면서도 안전하지 않은 웹 페이지를 보고 있습니다. 예를 들어 일반적으로 안전하고 안전한 웹 페이지는 HTTP를 통해 JavaScript 파일을 가져올 수 있습니다. 예를 들어 신뢰할 수 없는 공용 Wi-Fi 네트워크에 있는 경우 해당 스크립트를 수정하여 키 입력 모니터링에서 추적 쿠키 삽입에 이르기까지 웹 페이지에서 많은 불쾌한 작업을 수행할 수 있습니다.

스크립트와 iframe(“활성 콘텐츠”)이 가장 위험하지만 이미지, 비디오 및 오디오 혼합 콘텐츠도 위험할 수 있습니다. 예를 들어 HTTP를 통해 주식 내역 이미지를 가져오는 보안 주식 거래 웹사이트를 보고 있다고 가정해 보겠습니다. 해당 이미지는 안전하지 않습니다. 잘못된 세부 정보를 표시하기 위해 운송 중 변조되었을 수 있습니다. 또한 암호화되지 않은 연결을 통해 전달되었기 때문에 전송 중인 데이터를 스누핑하는 사람은 누구나 귀하가 보고 있는 주식을 알고 있을 것입니다.

이런 식으로 내용을 섞는 것은 좋지 않습니다. 웹 페이지가 HTTPS를 사용하는 경우 모든 리소스도 HTTPS를 통해 가져와야 합니다. 웹은 HTTP로 시작했고 웹사이트는 점차 HTTPS로 업그레이드된 역사적인 사고일 뿐입니다. 그들이 그랬던 것처럼, 그들은 항상 모든 곳에서 HTTPS 리소스를 사용하도록 업데이트하지는 않았습니다. 또는 당시 HTTPS를 지원하지 않는 타사 리소스에 의존했을 수 있습니다.

이제 Google 및 기타 브라우저 공급업체가 혼합 콘텐츠를 더 어렵게 만들고 낙담하게 함에 따라 웹 사이트는 기본적으로 웹 페이지가 계속 작동하도록 정리해야 합니다.

Chrome에서 정확히 무엇이 변경됩니까?

Chrome은 현재 혼합 스크립트와 iframe을 차단합니다. 2020년 1월에 초기 릴리스 채널에 출시될 Chrome 80에서 Chrome은 혼합 오디오 및 비디오 리소스를 차단합니다. 기술적으로 보안 HTTPS 연결을 통해 로드하려고 시도하고 그렇지 않으면 차단합니다. 혼합된 이미지가 로드되지만 Chrome은 웹 페이지가 “안전하지 않음”이라고 표시합니다. Chrome 81에서 Chrome은 혼합 이미지 로드도 중지합니다. 사용자는 혼합 콘텐츠가 로드되도록 허용할 수 있지만 기본적으로는 그렇지 않습니다.

이는 모두 웹을 보다 안전하게 만들기 위한 일부입니다. Google의 블로그 게시물은 “안전하지 않음” 메시지가 “웹사이트가 이미지를 HTTPS로 마이그레이션하도록 동기를 부여할 것”이라고 예상합니다.

Chrome에서 혼합 콘텐츠 차단을 해제하는 방법

Chrome은 이미 주소 표시줄의 방패 아이콘과 “안전하지 않은 콘텐츠 차단됨” 메시지와 함께 일부 유형의 혼합 콘텐츠를 차단합니다. 이것이 어떻게 작동하는지 볼 수 있습니다 혼합 콘텐츠 예시 페이지 Google에서 만든. 예를 들어 혼합 콘텐츠 스크립트의 차단을 해제하려면 “안전하지 않은 스크립트 로드”라는 링크를 클릭해야 합니다.

혼합 콘텐츠 실행에 동의하면 웹 페이지가 보안에서 안전하지 않음으로 변경됩니다.

Google은 2019년 12월에 출시될 Chrome 79에서 이를 단순화할 예정입니다. 페이지 주소 왼쪽에 있는 자물쇠 아이콘을 클릭하고 “사이트 설정”을 클릭한 다음 해당 사이트의 혼합 콘텐츠 차단을 해제해야 합니다.

옵션이 더 숨겨지지만 요점은 대부분의 사람들이 사이트에 대해 혼합 콘텐츠를 활성화할 필요가 없어야 한다는 것입니다. 웹사이트 개발자는 리소스를 안전하게 제공하기 위해 웹사이트를 수정해야 합니다. 이 옵션을 사용하면 모든 사람이 혼합 콘텐츠를 사용할 수 없도록 설정한 경우에도 이전 비즈니스 사이트를 사용하는 모든 사람이 계속 액세스할 수 있습니다.

이를 필요로 하는 사이트가 필요한 경우 걱정하지 마십시오. Google은 Chrome에서 혼합 콘텐츠를 로드하는 옵션을 제거하는 날짜를 발표하지 않았습니다. Google의 웹 브라우저는 기본적으로 모든 혼합 콘텐츠를 차단하지만 가까운 장래에 혼합 콘텐츠를 활성화하는 옵션을 계속 제공할 것입니다.

다른 브라우저는 어떻습니까?

크롬은 혼자가 아닙니다. Firefox는 스크립트 및 iframe과 같은 혼합 콘텐츠도 차단하며 “지금은 보호 비활성화“를 다시 활성화하도록 설정합니다. 우리는 Mozilla가 Google의 발자취를 따를 것으로 기대합니다. Apple의 Safari는 다음과 같이 공격적입니다. 혼합 콘텐츠 차단, 도.

물론 Microsoft의 새로운 Edge 브라우저는 Chrome의 기반을 형성하고 Chrome처럼 작동하는 Chromium 코드를 기반으로 합니다.