Chrome은 HTTPS가 아닌 모든 유형의 혼합 콘텐츠 다운로드를 차단하나요?

기사 배경:

올해 10월 Google은 새로운 Chrome 브라우저 버전 86에 대한 공식 업데이트를 출시했습니다. 이는 Chrome이 HTTPS가 아닌 모든 유형의 혼합 콘텐츠 다운로드를 차단한다는 의미입니다.

브라우저의 보안 방어를 더욱 강화하기 위해 전 세계 점유율 71%로 브라우저 점유율 1위인 크롬을 '깨졌다'고 표현할 수 있습니다. 구글은 올해 2월에 다음과 같이 발표했습니다. 보호 환경을 통해 Chrome 브라우저는 Hypertext Transfer Protocol Secure가 아닌 혼합 콘텐츠 다운로드를 점진적으로 차단하고 HTTPS 보안 페이지가 보안 파일만 다운로드하도록 합니다.

HTTPS 페이지에 대한 HTTP 리소스 다운로드가 차단되는 이유

HTTPS 혼합 콘텐츠 오류는 항상 웹사이트에서 HTTPS 암호화를 촉진하는 주요 장애물이었습니다. HTTPS 혼합 콘텐츠 오류는 초기 웹페이지가 안전한 HTTPS 링크를 통해 로드되지만, 페이지 내 다른 리소스(예: 이미지, 동영상, 스타일시트, 스크립트)가 안전하지 않은 HTTP 링크를 통해 로드되는 경우 발생합니다. . Google은 Chrome 사용자가 모든 주요 플랫폼에서 탐색 시간의 90% 이상 동안 HTTPS를 사용한다고 보고하지만 이러한 보안 페이지는 안전하지 않은 HTTP 하위 리소스를 로드하는 경우가 많습니다.

초기에는 Chrome 차단이 보안 페이지의 안전하지 않은 다운로드로 시작되었습니다. 현재 Chrome에서는 사용자의 개인정보 보호 및 보안이 침해되고 있음을 사용자에게 알릴 방법이 없기 때문에 이러한 상황은 특히 우려됩니다. 안전하지 않은 파일 다운로드는 사용자 보안과 개인 정보 보호를 위협합니다. 예를 들어 공격자가 HTTP를 통해 다운로드한 프로그램을 악성 프로그램으로 교체할 수 있고, 도청자가 HTTP를 통해 다운로드한 사용자의 은행 명세서를 읽을 수 있는 등의 작업이 가능하다. 이러한 위험을 해결하기 위해 Google은 결국 Chrome에서 안전하지 않은 리소스 로드를 비활성화할 계획입니다. 작년에 발표된 계획에 따라 Chrome은 '보안 페이지'에서 모든 '비보안 하위 리소스'에 대한 액세스를 차단할 예정입니다.

Chrome의 혼합 콘텐츠 차단을 위한 6단계 계획

2020년 4월 Chrome 82부터 Chrome 브라우저는 사용자에게 경고하고 보안을 강화하며 최종적으로 "혼합 콘텐츠" 다운로드를 차단하는 조치를 취할 예정입니다.” ( 보안 페이지에서 HTTPS가 아닌 다운로드)가 지원됩니다. 사용자에게 가장 큰 위험을 초래하는 파일 형식(실행 파일)이 먼저 영향을 받으며, 후속 버전에서는 더 많은 파일 형식을 다룰 예정입니다.

Google은 먼저 Windows, macOS, ChromeOS 및 Linux 데스크톱 플랫폼에서 혼합 콘텐츠 다운로드에 대한 제한을 적용할 계획입니다. Chrome 팀은 이 프로세스를 다음과 같은 6단계로 나눕니다.

☞ Chrome 81(2020년 3월): 브라우저는 모든 혼합 콘텐츠 다운로드에 대한 경고 콘솔 메시지를 표시합니다.

☞ Chrome 82(2020년 4월): 브라우저 혼합 콘텐츠 다운로드(.exe 등의 실행 파일)에 대해 경고합니다.

☞ Chrome 83(2020년 6월): .zip 아카이브 및 .iso 디스크 이미지의 혼합 콘텐츠 다운로드에 대해 경고합니다.

☞ Chrome 84(2020년 8월): 이미지, 오디오, 비디오, 텍스트 이외의 혼합 콘텐츠 다운로드에 대해 경고합니다.

☞ Chrome 85(2020년 9월): 이미지, 오디오, 비디오, 텍스트 등 혼합 콘텐츠 다운로드에 대해 경고합니다. Chrome 86(2020년 10월): 모든 유형의 혼합 콘텐츠 다운로드를 차단합니다.

점진적 출시의 목적은 모바일 플랫폼이 악성 파일에 대한 더 나은 기본 보호 기능을 갖추고 개발자에게 웹사이트를 업데이트할 수 있는 여유 시간을 제공하고 웹사이트가 Chrome 사용자에게 영향을 미치기 때문에 안전하지 않다는 점을 고려하여 심각한 보안 위험을 신속하게 완화하는 것입니다. ' 경험.

귀하의 웹사이트 콘텐츠가 혼합되어 있나요?

귀하의 웹사이트 콘텐츠가 혼합되어 있나요? 대부분의 웹사이트 관리자는 자신의 웹사이트에 어떤 혼합 콘텐츠가 있는지 알지 못한다고 생각하며 Chrome 86 버전의 주요 업데이트는 사용자가 모든 HTTP 웹사이트가 안전하지 않다는 점을 이해하도록 도와 웹사이트 관리자가 사용자를 보호하기 위해 사이트를 보다 안전한 HTTPS 프로토콜로 업그레이드하도록 강제합니다. 개인 정보 보호 및 데이터 보안.

대책

① 웹사이트에 혼합 콘텐츠/안전하지 않은 링크가 있는지 확인하고, 웹사이트에 로드된 파일을 확인하고, 모든 파일이 HTTPS를 통해서만 다운로드되는지 확인하세요. 인증서 관리 도구를 사용하면 HTTPS(외부)의 불안전함을 해결할 수 있습니다. 링크) 궁금한 점이 있으면 웹사이트를 실시간으로 모니터링하고 전문적인 평가 보고서를 받아 배포하는 HTTPS 웹사이트가 정말 안전한지 확인하세요.

② 웹사이트는 전체 사이트 HTTPS 암호화를 구현하는 것이 좋습니다. 개인정보의 도청 및 유출로부터 보호하세요.

3 전체 사이트 HTTPS가 더 많은 클라우드 서버 CPU 리소스를 소비하고 대기 시간이 늘어날까 봐 걱정되시나요? 전체 사이트 HTTPS 가속을 위한 성능 최적화 솔루션을 개발할 수 있습니다.

관련 권장 사항:

웹사이트 보안 튜토리얼

위 내용은 Chrome은 HTTPS가 아닌 모든 유형의 혼합 콘텐츠 다운로드를 차단하나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!