Chrome 79부터 Google은 보안을 강화하기 위해 안전하지 않은 HTTP 하위 리소스가 HTTPS 페이지에 로드되는 것을 차단하기 시작합니다.
사용자 확보를 위해 구글은 HTTP 웹사이트에 "안전하지 않음"이라는 라벨을 붙이기 시작했습니다. 올해 초 Chrome 68을 사용합니다. 이러한 변경 덕분에 사용자가 잠재적으로 안전하지 않은 웹사이트를 탐색할 때 이를 더 쉽게 발견할 수 있게 되었습니다. 또한 개발자는 SSL 인증서로 웹사이트를 업데이트해야 했습니다. 이제 보안을 더욱 강화하기 위해 Google은 안전하지 않은 HTTP 하위 리소스가 HTTPS 페이지에 로드되는 것을 방지하기 위해 노력하고 있습니다.
최근에 올라온 글에서 크롬 블로그, 회사는 혼합 콘텐츠를 완전히 차단하는 단계를 설명했습니다. 모르는 사람을 위해 HTTPS 페이지에는 일반적으로 일부 하위 리소스가 HTTP를 통해 안전하지 않게 로드되는 혼합 콘텐츠가 포함되어 있습니다. 그러나 브라우저는 기본적으로 다양한 유형의 혼합 콘텐츠를 차단하지만 이미지, 오디오 및 비디오는 계속 로드할 수 있습니다. 이로 인해 공격자가 혼합 콘텐츠를 변조하고 사용자 보안을 손상시킬 가능성이 있습니다.
그러므로 다음부터 시작하여 크롬 79 앞으로 브라우저는 기본적으로 모든 혼합 콘텐츠를 차단하도록 점차적으로 이동합니다. 변경으로 인해 웹사이트가 중단되는 것을 방지하기 위해 Google에서는 혼합 리소스를 HTTPS로 자동 업그레이드합니다. 그러나 사용자는 특정 웹사이트에서 혼합 콘텐츠 차단을 거부할 수 있습니다. 또한 회사는 개발자가 웹 사이트에서 혼합 콘텐츠를 찾고 수정하는 데 도움이 되는 리소스를 제공했습니다.
구글은 올해 12월 공개 버전 채널에 출시될 크롬 79에서 혼합 콘텐츠 차단을 해제하는 새로운 설정을 도입할 예정이다. 새로운 설정은 Chrome이 현재 기본적으로 차단하는 혼합 스크립트, iframe 및 기타 혼합 콘텐츠에 적용됩니다. 그러면 혼합 오디오 및 비디오 리소스가 Chrome 80에서 HTTPS로 자동 업그레이드됩니다. 리소스가 HTTPS를 통해 로드되지 않으면 차단됩니다. 그러나 혼합 이미지는 로드가 허용되지만 검색주소창에 '안전하지 않음' 라벨이 표시됩니다.
다음 Chrome 81 업데이트에서는 혼합 이미지도 HTTPS로 자동 업그레이드됩니다. 그리고 다시 한번, HTTPS를 통해 로드하지 못한 이미지는 차단됩니다. 혼합 콘텐츠를 HTTPS로 마이그레이션하려는 개발자는 아래 링크된 공식 게시물에서 사용 가능한 리소스를 확인할 수 있습니다.
원천: 크롬 블로그