혼합 컨텐츠 경고 란 정확히 무엇입니까?

"이 사이트는 안전하지 않은 콘텐츠가 있습니다." "안전한 콘텐츠 만 표시됩니다." "Firefox가 안전하지 않은 콘텐츠를 차단했습니다."때때로 웹을 탐색 할 때 이러한 경고를 보게되지만 정확히 무엇을 의미합니까??

혼합 된 콘텐츠에는 두 가지 유형이 있습니다. 하나는 다른 콘텐츠보다 나쁘지만 둘 다 좋지 않습니다. 방문한 웹 페이지에 문제가 있음을 나타내는 혼합 된 콘텐츠 경고가 표시됩니다..

혼합 콘텐츠 란 무엇입니까??

이 모든 것은 HTTP와 HTTPS의 차이점에 달려 있습니다. HTTP가 가장 일반적으로 사용되는 연결 유형입니다. HTTP 프로토콜을 사용하여 웹 사이트를 방문하면 웹 사이트에 대한 연결이 안전하지 않습니다. 트래픽을 도청하는 사용자는보고있는 페이지와 내가주고받는 모든 데이터를 볼 수 있습니다..

그래서 우리는 말 그대로 "HTTP 보안"인 HTTPS를 사용합니다. HTTPS는 사용자와 웹 서버간에 안전한 연결을 생성합니다. 연결은 암호화되어 인증되므로 아무도 귀하의 트래픽을 스누핑 할 수 없으며 올바른 웹 사이트에 연결되어 있다는 확신을 가질 수 있습니다. 이것은 계정 암호와 온라인 지불 데이터를 안전하게 유지하기 위해 매우 중요합니다. 아무도이를 도청 할 수 없도록하십시오.

혼합 콘텐츠 경고는 HTTPS를 통해 액세스하는 웹 페이지에 문제가 있음을 나타냅니다. HTTPS 연결은 안전해야하지만 웹 페이지의 소스 코드가 HTTPS가 아닌 안전하지 않은 HTTP 프로토콜로 다른 리소스를 가져옵니다. 웹 브라우저의 주소 표시 줄에 HTTPS에 연결되어 있다고 표시되지만 백그라운드에서 안전하지 않은 HTTP 프로토콜로 리소스를로드하고 있습니다. 사용중인 웹 페이지가 완전히 안전하지 않다는 것을 확인하기 위해 브라우저에 HTTPS 및 HTTP 콘텐츠 - 혼합 콘텐츠가 모두 있음을 알리는 경고가 표시됩니다..

이것이 위험한 이유

이것이 실제로 위험한 이유입니다. 결제 페이지에서 신용 카드 번호를 입력하려고한다고 가정 해 보겠습니다. 결제 페이지는 암호화 된 HTTPS 연결임을 나타내지 만 혼합 콘텐츠 경고가 표시됩니다. 이것은 붉은 깃발을 올려야합니다. 입력 한 지불 세부 정보가 안전하지 않은 콘텐츠로 캡처되어 보안되지 않은 연결을 통해 전송되어 HTTPS 보안의 이점을 제거 할 수 있습니다. 누군가가 중요한 데이터를 도청하고 볼 수 있습니다..

HTTP는 HTTPS와 동일한 방식으로 웹 서버를 인증하지 않기 때문에 HTTP 사이트에서 스크립트를 가져 오는 보안 HTTPS 사이트가 속임수 스크립트를 가져 와서 보안 사이트에서 실행하는 경우가 발생할 수 있습니다. HTTPS를 사용하면 콘텐츠가 변경되지 않고 합법적임을 확신 할 수 있습니다.

두 경우 모두 보안 HTTPS 연결의 이점이 없어집니다. 웹 사이트가 안전하지 않은 콘텐츠 경고를 표시하고 개인 정보를 안전하게 보호 할 수는 있지만 실제로 위험을 감수하지 않아야합니다. 이것이 웹 브라우저가 아닌 웹 사이트를 방문했을 때 웹 브라우저가 경고하는 이유입니다. 제대로 코딩 된.

혼합 액티브 콘텐츠 대 혼합 수동 콘텐츠

사실 두 가지 유형의 혼합 컨텐츠가 있습니다. 더 위험한 것은 "혼합 된 활성 내용"또는 "혼합 된 스크립팅"입니다. 이는 HTTPS 사이트가 HTTP를 통해 스크립트 파일을로드 할 때 발생합니다. 스크립트 파일은 원하는 페이지에서 모든 코드를 실행할 수 있으므로 안전하지 않은 연결을 통해 스크립트를로드하면 현재 페이지의 보안이 완전히 파손됩니다. 웹 브라우저는 일반적으로 이러한 유형의 혼합 콘텐츠를 완전히 차단합니다..

두 번째 형식은 "혼합 수동 콘텐츠"또는 "혼합 된 디스플레이 콘텐츠"입니다. 이것은 HTTPS 사이트가 HTTP 연결을 통해 이미지 나 오디오 파일과 같은 것을로드 할 때 발생합니다. 이러한 유형의 콘텐츠는 같은 방식으로 페이지의 보안을 파괴 할 수 없으므로 웹 브라우저는 가혹하게 반응하지 않습니다. 그러나 여전히 문제를 일으킬 수있는 보안 방법은 좋지 않습니다. 예를 들어, 공격자는 이미지를 오도 된 이미지로 대체하여 이론적으로 안전한 페이지를 변조 할 수 있습니다. 이미지로드 요청에는 웹 사이트와 관련된 쿠키 정보가 포함 된 헤더도 포함되어 있으므로 안전하지 않은 연결을 통해 이미지를로드해도 문제가 발생할 수 있습니다. 이러한 유형의 혼합 컨텐츠는 실제 웹 사이트에서 여전히 흔히 볼 수 있기 때문에 웹 브라우저는 컨텐츠를 완전히 차단하는 대신 경고 아이콘이나 메시지를 표시합니다. Chrome에서는 노란색 삼각형이있는 자물쇠가 표시됩니다..

혼합 된 콘텐츠 경고가 표시되면 수행 할 작업

웹 브라우저는 일반적으로 가장 위험한 유형의 혼합 콘텐츠를 기본적으로 차단합니다. 차단을 해제하지 마십시오. 혼합 된 콘텐츠를로드하지 않고 웹 사이트에 로그인하거나 온라인 지불 세부 정보를 입력 할 수없는 경우 웹 사이트를 벗어나 안전하지 않은 웹 사이트에 정보를 입력하지 않아야합니다. 웹 사이트 소유자가 자신의 사이트가 안전하지 않고 깨져 있다는 것을 알리십시오..

페이지에 안전하지 않을 수있는 다른 리소스가 있다는 경고가 표시되면 어쨌든 로그인하는 것이 안전 할 것입니다. 은행만큼 중요한 웹 사이트에이 문제가있는 경우 좋은 징후는 아니지만 이러한 유형의 혼합 콘텐츠 경고는 매우 일반적입니다..

반면에 HTTPS가 필요없는 웹 사이트에 액세스하는 경우 혼합 된 콘텐츠 경고는별로 중요하지 않습니다. 모든 혼합 된 컨텐츠 경고는 HTTPS 보안의 혜택을받는 웹 페이지 즉, 최악의 시나리오에서 방문중인 웹 페이지가 표준 HTTP 사이트만큼 안전하지 않다는 것을 의미합니다. 따라서 일부 기사를 읽으려는 Wikipedia와 같은 웹 사이트에 액세스하고 혼합 컨텐츠 경고를 보았다면 너무 많이 신경 쓰지 않아도됩니다. 최악의 경우, 표준 HTTP 연결을 통해 Wikipedia에서 기사를 읽는 것처럼 불안정합니다. 어쨌든 아무런 문제가 없습니다..

일부 웹 페이지에이 문제가있는 이유

웹 페이지가 코딩되는 방식에 문제가있는 경우에만이 오류가 표시됩니다. 웹 페이지가 HTTPS를 통해 제공되는 경우 HTTPS 프로토콜을 사용하여 필요한 스크립트 파일 및 기타 콘텐츠를 가져와야합니다. 웹 개발자는 사용자의 브라우저에서 무서운 경고를 유발하지 않도록 웹 페이지를 테스트해야합니다. 사용자 인 경우이 작업에 대해 실제로 어떤 조치도 취할 수 없습니다. 웹 사이트 소유자가 직접 고칠 수 있습니다.

웹 개발자라면 HTTPS 페이지가 HTTP URL이 아닌 HTTPS URL의 콘텐츠를로드하도록해야합니다. 이를 수행하는 한 가지 방법은 SSL을 통해 전체 웹 사이트를 작동시키는 것입니다. 따라서 모든 것이 단지 HTTPS를 사용합니다.

HTTP 또는 HTTPS를 통해 제공 될 수있는 페이지를 만들고 올바른 일을 자동으로 수행하려면 "프로토콜 상대 URL"을 사용하여 사용자의 브라우저가 사용자의 프로토콜에 따라 적절하게 HTTP 또는 HTTPS를 자동으로 선택하도록 할 수 있습니다 와 연결되다. 예를 들어 이미지를로드하는 프로토콜 상대 URL은 다음과 같습니다.