보안 / 해킹 구글 "네이버·다음은 왜 https 적용 안하나...크롬에서 경고 표시 띄울...
2017.02.13 19:33
“https는 전 세계 웹 보안 표준입니다. 구글은 https 적용을 웹 보안의 기본으로 보고 적극적으로 지원하고 있습니다. 그런데 한국 최고 포털업체인 네이버와 다음이 https를 적용하지 않는 점이 이해되지 않는군요.”
https://biz.chosun.com/site/data/html_dir/2017/02/13/2017021302077.html
댓글 [11]
-
♥ZARD 2017.02.13 20:11
-
가로수그늘 2017.02.13 21:31
해주기 싫은거죠..
-
주성치 2017.02.13 21:42
네이버 보안관련. 결제 등등 이런부분만 https 쓰던데요.
네이버 계정 설정 페이지 가면 https 임..ㅎㅎㅎ
-
DarknessAngel 2017.02.14 03:38
그거 별로 소용 없는짓인데, 정부에서 강제시키니까 해둔겁니다
실재로 시험해보면 보안 설정 그리 강력하게 안 되어있는건 물른이고, 원칙적으로 혼합 구성자체가 tls의 무결성을 의미없게 만듭니다
페이지 구성은 물른이고, 삽입된 구성요소 1개라도 일반 프로토콜이면 얼마든지 조작가능해집니다 (덕분에 주요 브라우저 최근 몇년 사이에 업데이트하면 이미지를 제외한 요소를 삽입해서 혼합 페이지 만들면 자동 차단하거나, 경고뜹니다)
애초에 메인 페이지처럼 자주 보는곳을 암호화 안 해두면 중간에 해당 부분 소스 조금만 고치면 겉보기엔 아무 티 안 나게하면서 가짜 페이지를 보여줘서 엉뚱한 정보를 보여주거나, 엉뚱한 페이지로 보낼 수 있습니다 (굳이 티나는 dns조작등을 안 해도 프록시라도 1대 돌려서 손쉽게 가능합니다)
다만 서버의 연산 부하가 좀 늘어나는것(특히 aes-ni 안 되는 구형 시퓨)과 접속시 반응 속도가 조금 나빠지는 단점이 있습니다 (인증서 비싸긴하지만, 저런 규모 기업의 전체 서버 유지 비용에 비하면 새발의 피)
-
lubwiz 2017.02.14 00:00
결국 편의성과 속도를 위해 보안을 죽인겁니다. 또한 secure socket 을 사용시 나가떨어지는 보안회사들이 많아지겠죠. citibank, bank of america 들도 대부분 https 를 사용해서 처리하지만 한국은 온갖 active x 를 사용하게끔 해놓고 ie 아니면 사용못하는 뱅크도 많았는데 근래에는 웹 표준을 만들고 active x 가 아닌 기존 실행화일 모듈을 돌려서 ie 아닌 chrome.firefox,opera,safari 등의 브라우저들도 인터넷 뱅킹이 가능하게 된 은행들도 많습니다. 다만 기존에 https 를 적극 활용했다면 가능하지않았을까 합니다. 제가 볼때 한국 인터넷 뱅킹은 공인인증서 팔이를 하지말고 https 를 이용한 secure socket 접속방식과 모든 사용자에게 보안카드대신 OTP 를 보급해서 사용하는게 어땠을까 하는 생각이 듭니다. 그랬다면 어쩌면 보안관련 손해나 유지비용을 많이 절약할수 있었을것 같네요.
-
컴퓨터악마 2017.02.14 03:08 크롬에서 은행 인터넷뱅킹을 하는데도 액티브 같은 통합 exe 설치파일을 설치해야되어서 불편하네요.
오히려 전 스마트폰에서 하는게 더 편하네요.
-
스마트(SMART) 2017.02.14 08:07 포털 구성이 백화점식이라서 그런 것 같습니다. 하려고 하면 관련된 하부 링크를 거의 다 https로 변경해야될테니까요. 물론 검색 결과는 제외.
-
DarknessAngel 2017.02.14 16:50
그리 어려운일 아닙니다
저도 처음 서버 구축할때는 당연히 저런것 안 썼지만, 지금은 100% 적용해놨습니다
db내부 주소 일괄적으로 쿼리 던져서 교체하고 (랄까 상대 주소일 가능성 큼), 웹소스쪽도 일괄 교체후 웹서버 설정에서 적용해두면 됩니다
-
스마트(SMART) 2017.02.14 21:32 댓글 감사합니다.
-
다니엘 2017.02.14 18:07
속도와 편리성을 생각하자면 포털 첫페이지부터 보안을 굳이 쓸 필요가 있을지..
-
고스트s 2017.02.15 07:07
흉폭한 뭔가를 깔게된 계기가 좀 그런게 예전에 미국외엔 40비트 이상의 보안 접속을 하지 못하도록 금지했던 시기에 만들어진게 그 흉폭한 뭔가거든요.. 그런데 아직까지 관련사업자로 속칭 보안업체라고 남아있다는게 좀 그렇긴합니다만.. 그리고 저렇게 하던 미국이 이제는 보안에 중점을 두고 관리하겠다는게 아이러니하긴한데.. 인증서 더 비싸게 팔아먹을려고 저러나싶기도하고... 개인적으론 찬성입니다 모든 웹페이지가 https 암호화되면 warning.or.kr도 볼일없을듯...
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 최신정보 이용 안내 | gooddew | - | - |
| 5045 | 윈도우 / MS| 윈도우10 레드스톤 업데이트 적용될 프로젝트 Neon 스크린... |
|
2496 | 02-14 |
| 5044 | 보안 / 해킹| 한글 이메일을 이용한 신종 랜섬웨어 '비너스락커(Venusloc... [2] | asklee | 1485 | 02-14 |
| » | 보안 / 해킹| 구글 "네이버·다음은 왜 https 적용 안하나...크롬에... [11] | asklee | 2909 | 02-13 |
| 5042 | 모 바 일| LG폰 고치러 갔더니 AS기사가 고객 문자 '수신거부' 설정 [5] | MayBee | 2803 | 02-12 |
| 5041 | 하드웨어| AMD 라이젠 CPU, 인텔 6세대 CPU보다 "크기는 90%, 캐... [3] | 번개 | 3568 | 02-11 |
| 5040 | 윈도우 / MS| 윈도우10 인사이더 프리뷰 15031 나왔네요.. [12] | LBJ0218 | 3600 | 02-09 |
| 5039 | 하드웨어| AMD 라이젠 8코어의 위력, AOS 벤치마크에서 인텔 10코어 위협 [20] | 번개 | 5654 | 02-06 |
| 5038 | 하드웨어| 상상하기 힘든 조합, AMD GPU 품은 인텔 CPU가 나온다고? [3] | 번개 | 2790 | 02-06 |
| 5037 | 윈도우 / MS| 윈도 10 무료 업그레이드 지금도 된다 [14] |
|
6906 | 02-04 |
| 5036 | 윈도우 / MS| 윈도우 10 IP 빌드 15025 나왔네요. [2] | 블뤠버 | 4212 | 02-02 |
| 5035 | 모 바 일| 모바일 15초 광고의 데이터 비용 [5] |
|
2944 | 01-31 |
| 5034 | 보안 / 해킹| 구글 지메일, 첨부금지 파일유형 확대…악성코드 방지 [6] | asklee | 2044 | 01-30 |
| 5033 | 윈도우 / MS| 모질라 출신 개발자 "백신 다 지워라" [28] | DOS | 5733 | 01-30 |
| 5032 | 윈도우 / MS| 윈도우10 IP 빌드 15019 배포됨 [8] | 주니군주 | 5171 | 01-28 |
| 5031 | 모 바 일| iOS 10.2.1 배포 | asklee | 2639 | 01-25 |
| 5030 | 게 임| ‘포켓몬고’ 24일부터 국내 서비스 개시 [5] | asklee | 1873 | 01-24 |
| 5029 | 업체 소식| 카스퍼스키랩, 소프트웨어 업데이터 출시 [1] | CraXicS | 2779 | 01-20 |
| 5028 | 윈도우 / MS| 3년 남은 윈도7 [11] |
|
4595 | 01-19 |
| 5027 | 기 타| 동전 없는 사회 [8] |
|
2965 | 01-16 |
| 5026 | 윈도우 / MS| MS, 윈도10에 게임모드 추가 공식 발표 [5] | 검끝에걸린 | 4360 | 01-16 |
이유는 하나
한국이라서 그래요