민감한 통신을 처리하지 않는 경우에도 항상 HTTPS를 사용하여 모든 웹사이트를 보호해야 합니다. 웹사이트와 사용자의 개인 정보 모두에 중요한 보안 및 데이터 무결성을 제공하는 것 외에도 HTTPS는 많은 새로운 브라우저 기능, 특히 프로그레시브 웹 앱에 필요한 여러 가지 요구사항입니다.
요약
- 악성 및 정상 침입자는 웹사이트와 사용자 사이에 보호되지 않은 모든 리소스를 악용합니다.
- 많은 침입자들은 종합적인 행동을 관찰하여 사용자를 식별합니다.
- HTTPS는 웹사이트의 오용을 차단할 뿐만 아니라 또한 여러 최첨단 기능과 서비스 워커와 같은 앱 같은 기능을 지원하는 기술의 요건이기도 합니다.
HTTPS는 웹사이트의 무결성 보호
HTTPS는 침입자가 웹사이트와 사용자 브라우저 간의 통신을 조작하는 것을 방지합니다. 침입자에는 의도적인 악의적인 공격자와 광고를 페이지에 삽입하는 ISP 또는 호텔과 같이 합법적이지만 침입적인 회사가 포함됩니다.
침입자는 보호되지 않는 통신을 이용하여 사용자를 속여 민감한 정보를 제공하거나 멀웨어를 설치하도록 유도하거나 자신의 광고를 리소스에 삽입합니다. 예를 들어 일부 서드 파티는 웹사이트에 광고를 삽입하여 사용자 환경을 손상시키고 보안 취약점을 만들 수 있습니다.
침입자는 웹사이트와 사용자 간에 이동하는 보호되지 않은 모든 리소스를 악용합니다. 이미지, 쿠키, 스크립트, HTML 등은 모두 악용될 수 있습니다. 침입은 사용자의 컴퓨터, Wi-Fi 핫스팟, 손상된 ISP 등 네트워크의 모든 지점에서 발생할 수 있습니다.
HTTPS는 사용자의 개인 정보 및 보안을 보호합니다.
HTTPS는 침입자가 웹사이트와 사용자 간의 통신을 수동적으로 수신할 수 없도록 합니다.
민감한 통신을 처리하는 웹사이트만 HTTPS가 필요하다는 것이 HTTPS에 관한 일반적인 오해입니다. 보호되지 않는 모든 HTTP 요청은 사용자의 행동과 신원 정보를 드러낼 가능성이 있습니다. 보호되지 않은 웹사이트에 한 번 방문하는 것이 안전해 보일 수 있지만, 일부 침입자는 사용자의 전체 탐색 활동을 확인하여 사용자의 행동과 의도를 추론하고 신원을 익명처리합니다. 예를 들어 직원이 보호되지 않은 의료 기사를 읽는 것만으로도 의도치 않게 고용주에게 민감한 건강 상태를 공개할 수 있습니다.
HTTPS, 웹의 미래
getUserMedia()로 사진을 찍거나 오디오를 녹음하거나, 서비스 워커를 사용하여 오프라인 앱 환경을 지원하거나, 프로그레시브 웹 앱을 빌드하는 등의 강력한 새 웹 플랫폼 기능을 실행하려면 실행 전에 사용자의 명시적인 권한이 필요합니다. Geolocation API와 같은 많은 이전 API도 실행 권한이 필요하도록 업데이트하는 중입니다. HTTPS는 이러한 새로운 기능과 업데이트된 API의 권한 워크플로의 핵심 구성요소입니다.