민감한 커뮤니케이션을 처리하지 않는 경우에도 항상 HTTPS를 사용하여 모든 웹사이트를 보호해야 합니다. HTTPS는 웹사이트와 사용자의 개인 정보에 중요한 보안과 데이터 무결성을 제공할 뿐만 아니라 많은 새로운 브라우저 기능, 특히 프로그레시브 웹 앱에 필요한 기능에 필요합니다.
HTTPS는 웹사이트의 무결성을 보호합니다.
HTTPS는 침입자가 사이트와 사용자 브라우저 간의 통신을 조작하지 못하도록 합니다. 침입자에는 의도적으로 악의적인 공격자와 페이지에 광고를 삽입하는 ISP와 같이 합법적이지만 침입적인 회사가 모두 포함됩니다.
침입자는 보호되지 않은 통신을 악용하여 사용자를 속여 민감한 정보를 제공하거나 멀웨어를 설치하도록 유도하거나 자체 리소스를 삽입합니다. 예를 들어 일부 서드 파티는 사용자 환경을 방해하고 보안 취약점을 생성할 수 있는 광고를 삽입합니다.
침입자는 웹사이트와 사용자 간에 이동하는 모든 보호되지 않은 리소스를 악용합니다. 이미지, 쿠키, 스크립트, HTML은 모두 악용될 수 있습니다. 침입은 사용자의 컴퓨터, Wi-Fi 핫스팟, 보안이 취약한 ISP 등 네트워크의 어느 지점에서나 발생할 수 있습니다. HTTPS를 사용하면 침입자가 사이트의 리소스에 액세스하기가 더 어려워집니다.
HTTPS는 사용자의 개인 정보와 보안을 보호합니다.
HTTPS는 침입자가 웹사이트와 사용자 간의 통신을 수신하지 못하도록 합니다.
HTTPS에 대한 일반적인 오해 중 하나는 민감한 정보를 처리하는 웹사이트에만 HTTPS가 필요하다는 것입니다. 사실 보호되지 않은 모든 HTTP 요청은 사용자의 행동과 신원에 관한 정보를 노출할 수 있습니다.
보호되지 않는 웹사이트를 한 번 방문하는 것은 무해해 보일 수 있지만 일부 침입자는 사용자의 집계된 탐색 활동을 살펴보고 행동과 의도를 추론하고 신원을 익명처리 해제합니다. 예를 들어 직원이 보호되지 않는 의료 기사를 읽는 것만으로도 민감한 건강 상태를 실수로 고용주에게 공개할 수 있습니다.
HTTPS는 웹의 미래입니다
getUserMedia()로 사진을 찍거나 오디오를 녹음하고, 서비스 워커로 오프라인 앱 환경을 지원하거나, 프로그레시브 웹 앱을 빌드하는 등 강력한 새로운 웹 플랫폼 기능에는 HTTPS를 통한 명시적인 사용자 권한이 필요합니다. Geolocation API와 같이 실행에 권한이 필요한 오래된 API도 많이 업데이트되고 있습니다. HTTPS는 신규 기능과 업데이트된 기능 모두의 권한 워크플로의 핵심 구성요소입니다.