Back-end/DEV notes

크롬 브라우저 보안성 향상 업데이트 이슈(Mixed content)

cheersHena 2021. 1. 15. 17:58
반응형

Chrome 은 보안성 향상 및 https로 전환을 유도하기 위해 혼합 콘텐츠 차단에 대한 일정을 발표하였다.

 

크롬 단계별 보안차단 업데이트 내용

크롬 단계별 보안차단 업데이트 내용

 

Mixed content(혼합 콘텐츠)란 ?

최초 HTML이 안전한 HTTPS 연결을 통해 로드될 때 혼합 콘텐츠가 발생하지만 다른 리소스(예: 이미지, 동영상, 스타일시트, 스크립트)는 안전하지 않은 HTTP 연결을 통해 로드됩니다. 이는 HTTP 콘텐츠와 HTTPS 콘텐츠가 함께 로드되어 동일한 페이지를 표시하므로 혼합 콘텐츠라고 하는데, 최초의 요청은 HTTPS 연결을 통해 보안 처리 됩니다. 최신 브라우저는 이 유형의 콘텐츠에 대한 경고를 표시하여 해당 페이지에 보안되지 않은 리소스가 포함되어 있음을 사용자에게 알려줍니다.

Mixed Content (혼합 콘텐츠)로 인해 HTTPS의 약화.

보안되지 않은 HTTP 프로토콜을 사용하여 하위 리소스를 요청하는 경우 해당 요청은 공격자가 네트워크 연결을 도청하고 양자 간 통신을 보거나 수정하는 수단인 중간자(man-in-the-middle) 공격에 취약하므로 전체 페이지의 보안이 약화됩니다. 공격자는 해당 리소스를 사용하여 손상된 자원뿐만 아니라 페이지를 완전히 제어할 수 있습니다. 대부분의 브라우저가 혼합 콘텐츠 경고를 사용자에게 보고하지만 그때는 너무 늦습니다. 보안되지 않은 요청이 이미 수행되었고 해당 페이지의 보안이 손상되었기 때문입니다. 

이 시나리오는 웹에서 흔히 발생하는데, 대부분의 사이트의 기능을 제한하지 않고는 모든 혼합 요청을 차단할 수 없기 때문입니다.

 

>참고 사이트: blog.chromium.org/2020/02/protecting-users-from-insecure.html

 

 

다음내용과 같이 정책이 강화되면서 기존에는 되던 것이 브라우저 업데이트 이후부터 이슈가 많이 발생하고 있다. 

SSL이 적용된 https 환경에서 http 호출이 불가해졌고, 기존에 http URL을 호출하여 불러오던 이미지나 파일 등이 차단되면서 되던 기능이 안되기 시작하는 현상이 발생하기 때문이다. 

예를 들면 http 이미콘텐츠 차단되는 현상,  파일다운로드 시 일부 확장자 차단 현상 등이 발생한다.

(zip파일과 같은 아카이브 파일은 크롬 86ver   있음)

 

이를 해결하기 위해 이미지 파일의 경우에 한해, 프록시 처리방식을 통해 서버에서 먼저 처리 후 클라이언트에게 전달하는 방식으로 수정대처가 가능하다. 하지만 가벼운 이미지파일이 아닌 대용량 파일과 같이 용량이 방대한 파일들은 성능상의 이유 등으로 프록시 처리가 불가하였다. 

 

프록시 처리 불가한 경우 권장 해결방안. 

1) http호출링크 우클릭 > 새창 또는 새탭에서 열기 

2) 확장자를 임의 변경하여 업로드 한 후, 다운로드 받아서 본래 확장자로 원복하여 파일열기

3) 타 브라우저 사용 (거의 다 보안강화 추세라서 다른브라우저에도 동일이슈 가능성 있음)  

 

의 방법이 대안이 될 수 있겠다. 

 

 

 

반응형