HTTPS로 제공되는 웹페이지에서 네트워크는 TLS로 보호되기 때문에 중간공격자에게서 보호받을 수 있다. 하지만 HTTPS 페이지가 HTTP 리퀘스트, 리스폰스를 포함하게되면 네트워크는 부분적으로 암호화된다. 이렇게 암호화되지 않은 컨텐츠는 스니퍼에서 접근가능하며 중간공격자에 의해 내용이 수정될 수 있다. HTTPS 페이지내에 HTTP가 포함되면  Mixed Content 페이지라고 부르며 이는 보안에 HTTPS를 사용하더라도 보안에 취약하게 된다.

*스니퍼 : 패킷통신 데이터를 들여다 볼 수 있는 소프트웨어인 듯 싶다.

Mixed Content에는 크게 Passive, Active 두가지 종류가 있다.

Mixed Passive/Display Content

공격자가 http로 제공되는 passive content(이미지등)를 변경할 수 있다.

passive content list

• <audio> (src attribute)
• <img> (src attribute)
• <video> (src attribute)
• <object> subresources (when an <object> performs HTTP requests)

Mixed Active Content

Active Content는 HTTPS 페이지의 일부나 혹은 모든 부분에 접근할 수 있는 Content이다.
HTTPS페이지의 동작을 바꿀 수 있고 잠재적으로 사용자로부터 민감한 정보를 훔칠 수 있다.
위에서 이야기한 Mixed Display Content의 위험성뿐 아니라 Mixed Active Content는 몇몇 공격방법에 취약하다.
Mixed Active Content의 경우에는 중간공격자가 HTTP 컨텐츠에 대한 요청자체를 가로챌 수 있다.
공격자는 악의적인 자바스크립트 코드를 포함하여 응답을 변경할 수 도 있다.

active content list

• <script> (src attribute)
• <link> (href attribute) (this includes CSS stylesheets)
• XMLHttpRequest object requests
• <iframe> (src attributes)
• All cases in CSS where a url value is used (@font-face, cursor, background-image, etc.)
• <object> (data attribute)

 

잘 못 된 부분은 댓글로 남겨 주세요. 큰 도움이 됩니다.^^