HTTP는 웹에서 데이터를 주고받기 위한 프로토콜로, 클라이언트와 서버 간의 통신을 가능하게 한다. 클라이언트(대개 웹 브라우저)는 서버에 페이지나 데이터를 요청하고, 서버는 그 요청에 응답하여 필요한 정보를 제공한다. 서버는 클라이언트의 이전 상태를 기억하지 않으며, 각 요청은 독립적이다.
이러한 특성 때문에 HTTP는 "무상태(stateless)" 프로토콜로 분류된다. HTTP 통신은 일반적으로 신뢰성 있는 TCP/IP 프로토콜을 사용하여 이루어지며, 이 프로토콜은 다양한 데이터 형식을 지원하고 새로운 기능을 쉽게 추가할 수 있는 유연성을 제공한다.
HTTP는 기본적으로 암호화되지 않기 때문에 데이터가 네트워크를 통해 전송될 때 외부로부터 쉽게 엿보거나 변조될 수 있다는 단점이 있다. 이러한 보안 문제를 해결하기 위해 HTTPS가 도입되었다. HTTPS는 HTTP의 보안 버전으로, SSL(Secure Sockets Layer) 또는 TLS(Transport Layer Security) 프로토콜을 사용하여 클라이언트와 서버 간의 통신을 암호화한다. 이는 데이터의 기밀성과 무결성을 보장하며, 서버나 클라이언트가 자신이 주장하는 대로 신뢰할 수 있는지 확인하는데 중요한 역할을 한다.
데이터 보안과 관련하여, HTTPS는 중간자 공격(Man-In-The-Middle Attack)을 방지하고, 크로스 사이트 스크립팅(XSS), 세션 하이재킹, 크로스 사이트 리퀘스트 포저리(CSRF)와 같은 다양한 웹 기반 공격으로부터 사용자를 보호한다.
또한, HTTPS는 데이터를 암호화하여 통신 내용이 외부에 노출되는 것을 방지한다. 이는 데이터가 전송 중에 손상되거나 변경되지 않았음을 보장하고, 웹사이트의 신뢰성을 사용자에게 보장하는 데 도움을 준다. SSL/TLS 인증서는 웹사이트의 신원을 인증받을 수 있으며, 사용자가 실제로 의도한 서버와 통신하고 있음을 확인시켜 준다.
Mixed Content 발생은 HTTPS로 보호된 웹 페이지에서 HTTP를 통해 로드된 리소스가 포함될 때 일어난다. 이는 웹 보안을 약화시킬 수 있다.
능동적인 Mixed Content는 웹 페이지와 상호 작용하며 보안 위험을 증가시키고, 수동적인 Mixed Content는 페이지의 기밀성을 손상시키지는 않지만 보안 상태에 대한 잘못된 인식을 유발할 수 있다. 현대의 브라우저는 대부분 Mixed Content를 차단하고, 개발자들은 모든 리소스를 HTTPS를 통해 제공하도록 권장받는다.
SSH, TLS, GPG, 그리고 HTTP/2는 모두 네트워크와 데이터 전송을 안전하게 보호하는 데 필수적인 기술들이다. SSH는 네트워크 서비스를 안전하게 운영하며 원격 시스템 관리와 파일 전송에 사용된다. TLS는 데이터의 암호화를 통해 네트워크 통신의 보안을 강화하고, GPG는 데이터의 암호화와 디지털 서명을 제공한다.
HTTP/2는 웹의 성능을 향상시키기 위해 설계되었으며, 다중화와 헤더 압축을 통해 더 빠른 웹 경험을 제공한다. 이 기술들은 통신의 보안을 강화하며, 사용자 데이터를 보호하는 데 중요한 역할을 한다. 각 기술은 특정 목적에 맞게 설계되었으며, 안전한 파일 전송, 네트워크 통신의 보안 강화, 개인 데이터의 보호 등에 사용된다.
'웹 개발 > 기타' 카테고리의 다른 글
| jest와 github actions를 이용한 간단한 코드 테스트(React) (0) | 2024.07.12 |
|---|---|
| XSS, CORS, Code Injection (0) | 2024.05.26 |
| host domain, origin, cookie, local, session (0) | 2024.05.05 |
| Web Workers와 Concurrency (0) | 2024.04.13 |
| Synchronous I/O, Asynchronous I/O (1) | 2024.04.06 |