카드번호, 패스워드를 포함하여 왔다갔다하는 요청 내용 다 들여다볼 수 있고, 세션 스푸핑도 가능해서 세션 id를 알아내 아이디 도용도 가능함.

상식적? 이런 질문을 하면서 너무 유식한척 하는 거 아냐? ㅋㅋ 일단 프로토콜과 어플리케이션의 차이를 좀 구글링해봐. 너가 지금 말하는 게 http 프로토콜의 결함일까 application의 결함일까?

구글에
Http 보안

이렇게 치니 쭉 나오는데…

뭐지? ㅎㅎ 네 질문에 답하려면 유식하고 똑똑해야 하는 거야? ㅎㅎ 그런 능력자 애들이 답변을 떠먹여주길 앉아서 기다리고 있었는데 ​내가 니가 알고 있는 거 좀 떠드니까 이 정도는 상식이라고 비전문가는 꺼지라고 급발진 하는 거고? ㅋㅋㅋ 아 이런 마인드 진심 부럽다.

단순히 unencrypted HTTP라고 상대방에서 뚫고 들어올 ㄱ회를 더 주는건 아닙니다. 그런데, 크레딧 카드나 패스워드 입력이 아니라도 중요한 쿠키 같은게 암호화되지 않고 전송되기 때문에, 누가 중간에 가로채면 큰 일을 벌일 수도 있죠. 로그인 쿠키라면 패스워드를 유출당하는 것과 거의 같은거죠. incognito/private browsing 윈도우 열어 방문한다면 이 특정 문제는 막을 수 있겠죠.

> 내가 뭘 다운로드한다거나 입력같은거 안해도 내 컴푸터로 뚫고 들어와서

나도 모르게 악성 코드를 다운로드하는 기술이 과거에 몇 있었습니다. ActiveX, VBS, Flash 등. 악성 코드가 설치되는 것을 사용자가 눈치 못 채죠. VBS는 ActiveX 나 플래시보다 더 악성이었죠. VBS로는 그냥 웹사이트를 여는 것만으로도 pc 감염을 시킬 수 있었죠. 설치할까요 하고 물어보지도 않았어요. 이건 과거의 기술이지만 앞으로 비슷한 취약점이 없으리란 보장이 없어요.

> 내 컴푸터로 뚫고 들어와서 내 파일도 볼수 있는지…

해커들이 님 파일을 볼 것 같지는 않습니다. 하지만 꼭 봐야 한다면 볼 수 있겠죠. 그 대신 더 높은 챈스로 님이 가진 온라인 자산을 공격할 겁니다. 어떤 공격이 가능한 지 알게 되면 아마 오늘 당장 모든 웹사이트 패스워드를 다 다르게 만들고 주기적으로 패스워드 로테이션을 하며 싱글사인온과 MFA를 더 적극적으로 사용하는 등 주의를 기울이겠지만, 안타깝게도 님은 그런 거 관심 적으실 것 같네요. 일어날 수 있는 일은, 오늘 내가 사용한 패스워드를 포함한 암호화된 웹 트랜잭션이 6개월 후 해커의 손에 넘어가 해독되는 것입니다. 그리고 그 패스워드는 향후 10년간 주요한 웹사이트에 대해 credential stuffing (패스워드 자동 대입) 공격에 계속 사용될 겁니다. https를 사용하고 있더라도 말이죠.

결국 http 경고의 주 목적은 님의 패스워드 등 secret을 tapping으로부터 보호하려는 것인데요. 심지어 https를 써도 그것이 최신 버전이 아닌 한 위험이 어느 정도 있기 때문에, 온라인 사용자도 함께 보안에 주의를 기울이는 게 필요합니다.

10여년 이상 전에는 보안과 편의성은 tradeoff 관계에 있다고 보았으나 최근에는 기술이 계속 좋아져서 더 이상 그렇지는 않고요. 높은 보안을 유지하면서도 편리한 인증기술들이 보편화되었습니다.

보안 전문가들의 중지를 모아보면, passwordless가 가장 나은 선택입니다. 그 다음 MFA 가장 추천되고요 (암호 인증에 더해서 로그인 때마다 하드웨어 토큰 생성기 사용, 전화 인증 등). 생체 인식 그 다음 좋습니다. SSO를 적극적으로 사용하여 (구글로 로그인, 페이스북으로 로그인 같은 거) 패스워드의 개수를 줄이고 집중적으로 해당 패스워드를 보호하는 (길고 복잡하게, 주기적 변경) 것도 좋은 패턴입니다. 불가피하게 패스워드가 유일한 인증 수단이면, 웹사이트마다 다른 패스워드 사용하는 것 고려해보세요. 실행이 까다롭지만 잘 생각해보시면 방법을 착안할 수 있을 겁니다.

4님 글 읽어보니….덜덜덜…떨리네요

사실 유튜브에 고등 수학강의 하는 똑똑한 애가 패스워드자동 생성기 사용한다고 그래서(유튜브광고였나?) 속으로 비윳었는데…

http url 하나로 다하는거 아니지.