Loading

Google Chrome의 비보안 다운로드로부터 사용자를 보호하는 Google

게시 일자: Feb 6, 2025
상세 설명

Google은 Google Chrome 브라우저에서 혼합 콘텐츠 렌더링 및 혼합 콘텐츠 다운로드를 차단하기 위해 점진적인 변경 작업에 착수했습니다. 2021년 1월부터 Google은 기본적으로 HTTPS 사이트에서 이미지, 문서, PDF의 HTTP 파일을 다운로드하지 못하게 차단합니다.

이 기사에서는 Salesforce Core 제품에 중점을 두겠습니다. 다음 제품에 대해서는 아래를 참조하십시오.

기타 Cloud 및 제품에 대해서는 이번 변경 사항이 기타 Cloud 및 제품에 미치는 영향 섹션을 참조하십시오.

 

어떤 영향을 받습니까?

이번 변경 사항으로 최종 사용자가 Salesforce 내 보안 페이지에서 시작된 비HTTPS 다운로드 또는 이미지에 액세스하는 데 영향을 미칠 수 있습니다.

  • 이미지

보안 HTTP 페이지에서 볼 때 비보안 HTTP 페이지에서 호스팅되는 이미지 또는 비디오 등의 콘텐츠가 깨진 이미지로 나타납니다. 

  • 다운로드

보안 HTTP 웹 페이지에서 클릭할 때 비보안 HTTP 또는 FTP 사이트에서 호스팅되는 링크 또는 첨부 파일에서 오류가 발생합니다.

 

어떤 조치를 취해야 합니까?

사용자 정의 콘텐츠를 검토하고 보안 HTTPS 호스트를 통해 제공되는지 확인하십시오. HTTPS는 전송 중인 데이터 암호화(TLS)를 사용하여 가로채기 등의 공격을 방지합니다. HTTPS 구성 메서드는 사용 중인 서비스에 따라 변경될 수 있습니다. HTTPS 구성 관련 추가 안내는 상기 서비스별 링크에서 확인할 수 있습니다. 자세한 내용은 Google Chrome 블로그를 확인하십시오.
 

이번 변경 사항은 기타 Cloud 및 제품에 어떤 영향을 미칩니까?

Salesforce Technology는 이러한 변경 사항으로 인해 Cloud 전반에 걸쳐 제품에 미치는 영향을 평가했으며, 더 많은 정보가 제공되면 이 기사를 업데이트할 계획입니다.
 

Commerce Cloud 

혼합 콘텐츠에 대한 사용자 정의 이메일 템플릿을 검토하십시오. 고객이 제어하는 사용자 정의 이메일 템플릿이 유일하게 이번 변경 사항의 영향을 받습니다.
 

Industries Cloud

Vlocity 

맞춤형 개발 UI 및 Apex 클래스에서 잠재적인 혼합 콘텐츠 문제를 검토하십시오. 맞춤형 개발 UI에는 Visualforce 페이지, Aura 구성 요소, 보안 호스트를 통해 제공되는 LWC 또는 HTML/CSS/JS 콘텐츠가 포함됩니다. 사용자 정의 Apex 클래스의 경우에는 코드, 데이터 또는 UI에 포함되고 렌더링되는 외부 API에서 수신된 URL 변수를 확인하십시오. HTTP URL을 통해 제공되는 내장형 비보안 콘텐츠는 제거하거나 보안 HTTP 호스트로 대체할 수 있습니다.
 

Experience Cloud(이전 Community Cloud) 

Visualforce 페이지, Lightning 구성 요소, 커뮤니티 구성을 감사하여 혼합 콘텐츠를 사용하지 않도록 하십시오. 구성 요소에서 생성되거나 구성된 다운로드 가능 콘텐츠를 가리키는 모든 링크가 HTTPS를 사용하는지 확인하십시오.

Salesforce CMS 콘텐츠
외부에서 참조된 미디어 생성의 경우 안전한 "https://" URL을 사용하여 콘텐츠의 전체 기능을 유지하십시오. 비보안 URL이 있는 외부 참조 미디어는 더 이상 축소판 이미지와 미리 보기를 기본적으로 표시하지 않습니다.

 

Google에서 이러한 변경 사항을 적용하는 이유는 무엇입니까?

비보안 다운로드는 사용자 보안 및 개인 정보 보호에 위협이 될 수 있습니다. 예를 들어 공격자가 비보안 다운로드를 악성웨어로 교체할 수 있으며, 안전하지 않은 방법으로 다운로드한 입출금 내역서를 다른 사람이 엿볼 수도 있습니다. Google은 이러한 위험을 해결하기 위해 Chrome에서 비보안 다운로드에 대한 지원을 점진적으로 제거할 계획입니다. Google은 Chrome에서 점진적으로 보안(HTTPS) 페이지를 통해 보안 파일만 다운로드하도록 만들겠다고 밝혔습니다. 타임라인 섹션에 간략하게 기술된 일련의 단계에 따라 Chrome에서 혼합 콘텐츠 다운로드, 즉 보안 페이지에서 시작된 비HTTPS 다운로드의 차단을 시작합니다. 이러한 변화는 작년에 보안 페이지에서 모든 비보안 하위 자원을 차단하겠다고 알린 Google의 계획에 따른 것입니다. 초기에 Google은 보안 페이지에서 시작된 비보안 다운로드에 중점을 두고 있었습니다. 현재 Chrome에서 사용자에게 개인 정보 및 보안 위험 발생 가능 메시지를 표시하지 않는다는 점에서 해당 사례들이 우려됩니다.

 

자세한 정보는 어떻게 확인할 수 있습니까?

Google이 제공한 자세한 정보 및 예상 타임라인은 Google Chrome 블로그를 확인하십시오.

솔루션

FAQ:

혼합 콘텐츠는 무엇입니까?

웹 페이지는 HTTP 및 HTTPS의 두 가지 프로토콜을 기반으로 렌더링됩니다. HTTPS 프로토콜을 따르는 웹 사이트는 HTTP를 사용하는 웹 사이트보다 안전성이 뛰어나며, HTTPS 지원 사이트는 암호화되어 인증, 데이터 무결성, 보안 상태를 보장합니다. 그러나 일부 웹 사이트에서 같은 페이지에 HTTPS 및 HTTP 콘텐츠가 로드되기도 하는데, 이를 혼합 콘텐츠라고 부릅니다. 혼합 콘텐츠 문제가 발생하는 대부분의 사이트에는 HTTP 도메인을 통해 로드되는 이미지, 비디오, 스타일시트 또는 스크립트 등 외부 자원이 포함되어 있습니다. 초기 요청이 HTTPS로 전송되더라도 Google Chrome 브라우저에 혼합 콘텐츠가 렌더링된 후에 HTTP 자원이 사용자에게 유해하게 작용할 가능성이 있으므로 사이트를 안전하지 않다고 표시합니다. 

 

이번 변경 사항의 일정은 어떻게 됩니까?

Google Chrome 롤아웃 계획은 브라우저 경고로 시작한 다음, 혼합 콘텐츠를 다운로드하지 못하게 차단하는 방향으로 진행됩니다. Google Chrome 롤아웃 일정은 다음과 같습니다. 

콘텐츠 유형

파일 예

브라우저 경고

차단

실행 파일

exe, apk

Chrome 84(8월)

Chrome 85(9월)

아카이브

zip, iso

Chrome 85(9월)

Chrome 86(10월)

문서

pdf, docx

Chrome 86(10월)

Chrome 87(11월)

멀티미디어

png, mp3

Chrome 87(11월)

Chrome 89(2021년 1월)

 

제외되는 것은 무엇입니까?

1. HTTP 전용 사이트/URL

안전한 페이지에 표시되는 비보안 콘텐츠에만 영향을 미치는 것으로 파악되었습니다. HTTP 전용 콘텐츠를 표시하는 HTTP 전용 페이지는 실패할 가능성이 거의 없습니다.

2. HTTP 페이지 로딩

변경 사항이 적용되어도 HTTP 전용 사이트 로드 또는 전송 계층 보안(TLS)이 없는 이메일 클라이언트의 이메일 렌더링을 차단하지 않습니다. 따라서 HTTPS가 없는 HTTP 전용 페이지는 지속적으로 작동합니다.

Knowledge 기사 번호

000389288

 
로드 중
Salesforce Help | Article