민감한 커뮤니케이션을 처리하지 않는 경우에도 항상 HTTPS를 사용하여 모든 웹사이트를 보호해야 합니다. HTTPS는 웹사이트와 사용자의 개인 정보 모두에 중요한 보안과 데이터 무결성을 제공할 뿐만 아니라, 특히 프로그레시브 웹 앱에 필요한 많은 새로운 브라우저 기능에 필요합니다.
HTTPS는 웹사이트 무결성을 보호합니다.
HTTPS는 침입자가 사이트와 사용자 브라우저 간의 통신을 조작하지 못하도록 합니다. 침입자에는 의도적으로 악의적인 공격자와 합법적이지만 침입적인 회사(예: 페이지에 광고를 삽입하는 ISP)가 모두 포함됩니다.
침입자는 보호되지 않은 통신을 악용하여 사용자를 속여 민감한 정보를 제공하도록 유도하거나 멀웨어를 설치하거나 자체 리소스를 삽입합니다. 예를 들어 일부 서드 파티는 사용자 환경을 손상시키고 보안 취약점을 만들 수 있는 광고를 삽입합니다.
침입자는 웹사이트와 사용자 간에 전송되는 모든 비보호 리소스를 악용합니다. 이미지, 쿠키, 스크립트, HTML은 모두 악용될 수 있습니다. 침입은 사용자의 머신, Wi-Fi 핫스팟, 손상된 ISP 등 네트워크의 어느 지점에서나 발생할 수 있습니다. HTTPS를 사용하면 침입자가 사이트의 리소스에 액세스하기가 더 어려워집니다.
HTTPS는 사용자의 개인 정보 보호 및 보안을 보호합니다.
HTTPS는 침입자가 웹사이트와 사용자 간의 통신을 패시브 리스닝하지 못하도록 합니다.
HTTPS에 관한 일반적인 오해 중 하나는 민감한 커뮤니케이션을 처리하는 웹사이트에만 HTTPS가 필요하다는 것입니다. 실제로 보호되지 않은 모든 HTTP 요청은 사용자의 행동 및 ID에 관한 정보를 노출할 수 있습니다.
보호되지 않은 웹사이트를 한 번 방문하는 것은 무해해 보일 수 있지만 일부 침입자는 사용자의 집계된 탐색 활동을 보고 사용자의 행동과 의도를 추론하고 사용자의 ID를 익명처리 해제합니다. 예를 들어 직원이 보호되지 않은 의료 기사를 읽는 과정에서 의도치 않게 민감한 건강 상태를 고용주에게 공개할 수 있습니다.
HTTPS는 웹의 미래입니다.
getUserMedia()로 사진 찍기 또는 오디오 녹음, 서비스 워커로 오프라인 앱 환경 사용 설정, 프로그레시브 웹 앱 빌드와 같은 강력한 새로운 웹 플랫폼 기능을 사용하려면 HTTPS를 통해 사용자의 명시적 권한이 필요합니다. Geolocation API와 같이 실행 권한이 필요한 이전 API도 많이 업데이트되고 있습니다. HTTPS는 새 기능과 업데이트된 기능 모두의 권한 워크플로의 핵심 구성요소입니다.