/Google 크롬 사용/
내가 방문하는 경우:
https://secure.wikimedia.org/wikipedia/en/wiki/File:Nokota_Horses_cropped.jpg
그래서:
http://upload.wikimedia.org/wikipedia/commons/d/de/Nokota_Horses_cropped.jpg
HTTP 전용 서버에 위치합니다.
그렇다면 브라우저의 주소 표시줄에 "HTTPS"가 표시되면 이것이 웹사이트의 전체 콘텐츠가 실제로 암호화되었다는 의미인지 어떻게 100% 확신할 수 있습니까?
내 예에서는 위키피디아의 이미지가 암호화(?)되지 않기 때문에 스니퍼는 내가 말에 관한 위키피디아 사이트를 방문하고 있다는 것을 알 수 있다.
일반 HTTP 요소가 "HTTPS 사이트"에 로드되지 않도록 프록시(예: privoxy)를 설치해야 합니까?
감사해요..
답변1
대부분의 브라우저는 HTTPS 페이지에 HTTP 콘텐츠가 있으면 경고합니다. HTTPS 페이지에 HTTP 콘텐츠가 혼합되어 있는 사이트를 방문하는 경우 이는 매우 성가실 수 있습니다. 귀하의 질문에 따르면 Wikipedia도 그중 하나입니다. 올바르게 설정되면 Firefox는 이 페이지를 방문할 때 경고 메시지를 표시합니다.
웹 서버는 HTTPS를 제공할 필요가 없습니다. 많은 웹사이트에서는 HTTPS를 제공하지 않으며, 다른 웹사이트에서는 보안 경로가 필요하다고 생각되는 로그인 화면 및 기타 콘텐츠를 보호하는 데에만 HTTPS를 사용할 수 있습니다. HTTPS를 사용하더라도 탐색 중인 서버를 계속 확인할 수 있습니다. 대부분의 경우 서버는 하나의 사이트만 호스팅하므로 해당 사이트도 알려져 있습니다.
최근까지 HTTPS에 필요한 인증서는 상당히 비쌌습니다. 필요한 신뢰 수준에 따라 비용은 여전히 높습니다. 높은 수준의 신뢰와 보안을 요구하는 은행 및 기타 조직은 인증서에 대한 프리미엄을 지불합니다.
로컬 모니터링에서 트래픽을 숨기려면 프록시의 보안 경로를 사용할 수 있습니다. 이는 귀하의 트래픽을 모니터링하는 누군가에게 위험 신호를 보낼 수 있습니다.
개인 프록시를 사용하는 경우 프록시 하위의 누구든지 숨기려는 정보의 상당 부분을 확인할 수 있습니다.
답변2
HTTP Strict Transport Security(STS 또는 HSTS라고도 함)에 관심이 있을 수 있습니다. 이는 웹사이트가 항상 안전해야 함을 웹 브라우저에 나타내기 위해 웹 서버가 보낼 수 있는 자발적 헤더입니다. Chrome은 이를 구현하는 브라우저 중 하나입니다. http://www.imperialviolet.org/2011/02/17/hstsui.html Chrome에서 HSTS 사이트의 기본 데이터베이스에 Wikipedia를 추가하여 모든 곳에서 HTTPS를 시행할 수 있다고 생각하지만 확실하지 않습니다. 이 외에도 특정 웹사이트를 방문하는 모든 웹 브라우저 및 기타 HTTP 클라이언트에 HTTPS를 적용하려면 일종의 프록시가 필요합니다. 극단적으로 Tor 및 Onion 라우팅을 사용하여 Wikipedia를 방문하고 있다는 사실도 숨길 수도 있습니다.
답변3
이와 관련된 Firefox 플러그인이 있습니다.https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension
그들이 지적했듯이
항상 그렇듯이, HTTPS 페이지에 있더라도 Firefox가 오른쪽 하단에 컬러 주소 표시줄과 전체 잠금 아이콘을 표시하지 않으면 페이지가 완전히 암호화되지 않았으며 여전히 다양한 형태의 공격에 취약할 수 있다는 점을 기억하세요. 도청 또는 해킹(대부분의 경우 웹사이트에 안전하지 않은 제3자 콘텐츠가 포함되어 있기 때문에 HTTPS Everywhere는 이를 방지할 수 없습니다).