모두의공원

구글 크롬, 안전하지 않은 http 다운로드 차단 준비중 13

2022-12-29 16:24:15 수정일 : 2022-12-29 17:30:38 211.♡.177.82
스퀴니

HTTPS가 광범위적으로 적용됨에 따라 Google Chrome은 HTTP를 통한 '안전하지 않은' 다운로드를 차단하는 기능을 준비중입니다.


예전에는 은행과 같이 개인 정보에 민감한 웹사이트만 HTTPS 암호화로 보호해야 했지만 요즘에는 특히 더 많은 웹사이트에서 데이터를 처리함에 따라 HTTPS 암호화가 사실상 기본값이 되었습니다. 


지난 몇 년 동안 Google은 Chrome에 새로운 보호 기능을 추가하여 가능할 때마다 HTTPS 연결 사용을 권장했습니다.


특히 브라우저는 주소 표시줄에서 이전 HTTP 웹사이트를 "안전하지 않음"으로 표시합니다. 또한 Chrome은 기본적으로 보안 웹사이트에서 안전하지 않은 웹 양식 을 사용 하거나 안전하지 않은 다운로드 를 제공하지 못하도록 차단 합니다. 


이러한 보안 및 비보안 요소의 조합을 "혼합 콘텐츠"라고 합니다.


더 나아가 최근 Google은 Chrome의 보안 설정에서 "항상 보안 연결 사용" 으로 전환하는 토글을 만들었습니다. 이 기능을 사용하면 실수로 안전하지 않은 버전으로 이동하는 경우 Chrome이 웹사이트의 HTTPS 버전으로 '업그레이드'를 시도합니다. 만약 HTTPS 버전을 사용할 수 없는 경우 계속할 것인지 묻는 화면 경고가 표시됩니다.


하지만 이젠 아예 HTTP 자체를 차단하는 것을 준비중입니다.


Block insecure downloads

Enables insecure download blocking. This shows a ‘blocked’ message if the user attempts to download a file over an insecure transport (e.g. HTTP) either directly or via an insecure redirect.

#block-insecure-downloads 


이 기능은 이제 막 개발되고 있기 때문에 2023년 3월에 출시될 예정인 Chrome 111까지 광범위한 테스트를 위해 출시되지 않을 가능성이 높습니다.


https://9to5google.com/2022/12/28/chrome-block-insecure-http-downloads/

스퀴니님의 게시글 댓글
SIGNATURE
같은 실수, 잘못 반복하지 않겠습니다.
서명 더 보기 서명 가리기
돌줍기달인
IP 172.♡.54.247
12-29 2022-12-29 16:30:01 / 수정일: 2022-12-29 16:31:32
·
http도 엄연하게 사용되는 연결방식인데 왜 차단하려는건지.^^…
스퀴니
IP 211.♡.177.82
12-29 2022-12-29 16:33:30
·
@돌줍기달인님 사실 HTTP/2 부터는 HTTPS가 기본값이라서요..;;
seno
IP 121.♡.119.57
12-29 2022-12-29 16:35:17 / 수정일: 2022-12-29 16:37:10
·
스크립트고 뭐고 없는 정적인 웹페이지면 html로 연결해도 상관없지 않나요.
단순하게 일방적인 정보게시만 하는 웹페이지들을 위해서 html 접속도 남겨뒀으면 좋겠는데 ...
스퀴니
IP 211.♡.177.82
12-29 2022-12-29 16:38:53
·
@seno님 구글은 HTTP/3 확대를 원할겁니다..
aqure84
IP 223.♡.88.32
12-29 2022-12-29 16:38:55
·
보안상 특정 네트워크 해킹을 통해 내부 DNS 조작으로 http 로 다운로드를 엉뚱한 해커 서버에서 받아서 실행하는 불상사를 막기 위한 좋은 조치는 맞는거 같습니다... 정말 기상천외한 방법으로 다운로드를 유도하고 그에 대한 검증을 회피하는 기술이 워낙 많다보니 인증서 대조를 통해 유효한 사이트 인증서인경우에만 다운로드 받는게 좋은거 같습니다.

다만... https RSA 핑퐁 이후 cipher로 인한 웹서버 오버헤드는 어마무시할거 같네요...
스퀴니
IP 211.♡.177.82
12-29 2022-12-29 16:39:18 / 수정일: 2022-12-29 16:39:31
·
@고소.미님 그래서 QUIC 적용된 HTTP/3 전환을 유도할거에요..
해당 오버헤드를 줄이자고..
aqure84
IP 223.♡.88.32
12-29 2022-12-29 16:40:52 / 수정일: 2022-12-29 16:41:21
·
@스퀴니님 처음 RSA로 암호화키 교환까지는 오버헤드가 큰편이지만 cache로 물리면 괜찮지만 교환받은 키로 암호화해서 보내는게 있어서 암호화로 인한 오버헤드는 동일하지 않던가요? 저희 회사 내부 이미지 배포서버 배포될때마다 nginx cpu 오버헤드가 무섭게 치고 올라가더라고요 -_-;;
스퀴니
IP 211.♡.177.82
12-29 2022-12-29 16:41:31 / 수정일: 2022-12-29 16:41:59
·
@고소.미님 그런가요? 일단 제가 이해한 부분만 알아서요 ㅠㅠ
일단 제가 개인적으로 돌리는 서버가 apache2인지라 HTTP/3는 아직 적용 못했네요 ㅠ
aqure84
IP 223.♡.88.32
12-29 2022-12-29 16:43:30 / 수정일: 2022-12-29 16:44:20
·
@스퀴니님 quic은 RSA 인증서 쪽 초기 접속만 빨리지는거 같더라구요. 컴퓨터 부팅하고나서 HTTPS로 처음 접속하면 2~3초간 붕뜨는데 그 다음부터는 원활하게 되더라고요. nginx도 quic이 아직 preview 상태라 저도 테스트로만 해봤는데... 첫 접속이 엄청 빠르긴 했었습니다.

저도 자세한 원리를 수박겉핥기로만 알고 있지만...quic으로하더라도 암호키로 암호화해서 보내는 payload 데이터 교환은 웹서버 부하로 작용할거 같습니다.
검객
IP 223.♡.217.244
12-29 2022-12-29 17:04:57
·
@스퀴니님 quic 을 써봤자 transport overhead 만 줄지, encryption overhead는 그대로 남아 있습니다. 서버 입장에서는 수만개의 연결을 처리해야 해서 인생 힘들어 질것 같습니다.
스퀴니
IP 211.♡.177.82
12-29 2022-12-29 17:07:39 / 수정일: 2022-12-29 17:07:45
·
@검객님 글쿤요.. 서버단 대대적 업글각인가요 ㅠ
gelio
IP 125.♡.148.226
12-29 2022-12-29 16:39:37
·
개발자 모드에서는 지원되면 좋겠네요.
삭제 되었습니다.
aqure84
IP 223.♡.88.32
12-29 2022-12-29 16:58:04 / 수정일: 2022-12-29 16:59:05
·
@건더기님 self sign 인증서 스킵도 기본으로 막아놔서 서버엔지니어들 장비 상태 웹으로 확인하는걸 크롬에서 이제 못합니다.... self sign skip 관련 옵션을 켜야하는데 이게 업데이트때마다 초기화되서 그냥 파폭으로 들어가서 확인하게 되더라고요...

사실 이게 DNS 위변조가 된다는 가정하에 그에 따른 보안 사고를 막기 위해 꼭 필요한 과정인건 맞긴합니다.
목록으로
글쓰기
글쓰기
목록으로 댓글보기