내보내기(0) 인쇄
모두 확장
확장 최소화

Internet Explorer MIME 핸들링 적용

적용 대상: Windows Server 2003 with SP1

note참고
Microsoft Windows Server 2003 Internet Explorer 보안 강화 구성의 구성 요소(Microsoft Internet Explorer 강화라고도 함)를 사용하면 보다 제한적인 Internet Explorer 보안 설정이 적용되어 스크립트, ActiveX 구성 요소 및 인터넷 보안 영역의 리소스 파일 다운로드 등을 사용할 수 없게 되므로 웹 콘텐츠를 이용한 공격에 대한 서버의 보안 취약성이 줄어듭니다. 따라서 Internet Explorer의 최신 릴리스에 포함되어 있는 대부분의 보안 강화 기능은 Windows Server 2003 서비스 팩 1에서는 크게 차이가 없습니다. 예를 들어 해당 사이트가 스크립트를 허용하는 보안 설정 영역에 포함되는 경우에만 새 Internet Explorer 알림 표시줄 및 팝업 차단 기능이 사용됩니다. 서버에서 고급 보안 구성을 사용하고 있지 않으면 이러한 기능은 Windows XP 서비스 팩 2에서와 같이 작동합니다.

MIME 핸들링 적용의 기능은 무엇입니까?

Internet Explorer에서는 MIME(Multipurpose Internet Mail Extensions) 형식 정보를 사용하여 웹 서버로부터 받은 파일의 처리 방법을 결정합니다. 예를 들어 .jpg 파일에 대한 HTTP(Hypertext Transfer Protocol) 요청이 있을 경우 해당 파일이 수신되면 일반적으로 Internet Explorer 창을 통해 사용자에게 표시됩니다. Internet Explorer에서 실행 파일을 받으면 일반적으로 파일 처리 방법을 결정하라는 메시지가 사용자에게 표시됩니다.

Windows Server 2003 서비스 팩 1의 Internet Explorer는 Windows Server 2003의 Internet Explorer 보다 더 엄격한 규칙을 따릅니다. 이러한 규칙은 MIME 또는 파일 확장명 정보를 잘못 봐서 사용자가 위험한 파일을 실수로 다운로드하거나 실행하는 것을 방지합니다.

이 기능의 적용 대상은 누구입니까?

웹 개발자는 이러한 새로운 제한 사항을 이해하여 자신의 웹 사이트에 미치는 영향을 바꾸거나 해결하려는 준비를 해야 합니다.

응용 프로그램 개발자는 이 기능을 검토하여 자신의 응용 프로그램에 변경 내용을 적용할 수 있어야 합니다. Internet Explorer가 아닌 프로세스에는 기본적으로 이 기능이 사용되지 않으며 개발자는 변경 내용을 이용하도록 응용 프로그램을 등록해야 합니다.

최종 사용자는 이러한 엄격한 규칙과 호환되지 않는 사이트나 응용 프로그램의 영향을 받을 수 있습니다.

Windows Server 2003 서비스 팩 1에서 이 기능에 추가된 새로운 기능은 무엇입니까?

MIME 핸들링 파일 형식 동의 적용

자세한 설명

파일이 클라이언트에 제공되면 Internet Explorer에서 다음 정보를 사용하여 파일 처리 방법을 결정합니다.

  • 파일 확장명, 해당 파일 확장명의 등록된 처리기에 대한 해당 ProgID 및 CLSID

  • HTTP 머리글(MIME 형식)의 Content-Type, 콘텐츠 또는 MIME 형식의 등록된 처리기에 대한 해당 ProgID 및 CLSID

  • HTTP 머리글의 Content-Disposition

  • MIME 검색 결과

Internet Explorer에서는 위험할 수 있는 다운로드된 파일 실행에 대해 Windows Server 2003의 Internet Explorer 보다 더 엄격합니다.

Internet Explorer에서는 브라우저의 파일 처리 방법과 Windows 셸의 파일 처리 방법 간에 일관성이 유지됩니다. 파일이 캐시에 다운로드되면 Internet Explorer에서 캐시 파일의 MIME 형식과 캐시 파일의 확장명을 비교합니다. MIME 형식과 파일 확장명이 일치하지 않으면 Internet Explorer에서 캐시의 파일 이름을 바꿔서 일치하지 않는 부분을 조정합니다.

파일이 해당 MIME 처리기에 로드되거나 확장명 처리기로 실행되기 전에 Internet Explorer에서 MIME 처리기와 확장명 처리기의 CLSID를 비교합니다. 두 처리기 간에도 불일치가 있으면 Internet Explorer에서 MIME 처리기에 파일을 로드할 것인지를 확인할 때 사용하는 필수 확인 메시지를 나타냅니다. MIME 처리기가 불일치 파일을 거부하면 Internet Explorer에서 다운로드 오류 대화 상자가 표시되고 파일이 Windows 셸 확장명 처리기에서 자동으로 실행되지 않지만 대화 상자에서 파일 저장이 허용됩니다.

셸 확장명 처리기에서 손상 가능성이 있는 파일의 실행을 방지해 주는 별도의 관련 변경 내용이 있습니다. Internet Explorer에서는 MIME 처리기에서 거부된 파일에 대한 다운로드 오류 대화 상자를 E_Cannot_Load_Data 오류 코드와 함께 표시하며 MIME 형식 또는 파일 확장명에 관계없이 파일을 해당 셸 확장명 처리기에서 실행하지 않습니다.

파일에 "Content-disposition=attachment" HTTP 머리글을 사용하는 경우에는 이러한 변경 내용이 적용되지 않습니다. 그러한 경우 서버에서 제시된 파일 이름이나 확장명이 최종 이름으로 간주되며 사용자가 파일 다운로드 확인 메시지를 받아들이기로 선택하는 경우 MIME과 확장명의 불일치에 관계없이 파일을 실행할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

서버에서 파일 형식 정보가 잘못 보고되고 해당 정보가 컴퓨터에 저장되면 나중에 위험한 파일이 잘못 실행될 수 있습니다. 예를 들어 Internet Explorer에서 텍스트 파일로 표시되는 파일을 다운로드할 수도 있습니다. 파일을 해당 MIME 처리기에서 로드할 수 없으며 파일 확장명이 .doc이면 사용자에게 확인 메시지도 표시하지 않고 .doc 파일이 Microsoft Word 같은 응용 프로그램에서 실행되는 경우도 있습니다. Microsoft Word 파일은 매크로 같은 액티브 콘텐츠를 사용하여 사용자 컴퓨터에서 바이러스 같은 프로그램을 실행할 수 있는 경우도 있습니다.

작동 방식의 차이는 무엇입니까?

Internet Explorer에서는 콘텐츠 형식과 확장명을 일치시켜 파일과 형식이 잘못 연결되는 것을 방지하기 위해 Internet Explorer 캐시에 다운로드된 파일의 이름을 바꿉니다.

Internet Explorer에서는 파일 다운로드를 확인하는 메시지가 사용자에게 표시되며 등록된 MIME 처리기에서 거부된 MIME 및 확장명 불일치 파일은 더 이상 실행되지 않습니다.

또한 Internet Explorer에서는 해당 MIME 처리기에서 E_Cannot_Load_Data 오류 코드가 보고된 경우 파일을 해당 셸 처리기에서 실행하지 않습니다.

Internet Explorer는 셸 처리기에서 오류 코드가 보고된 파일을 실행하지 않고 오류 대화 상자를 표시하여 파일을 저장할 수 있는 옵션을 제공합니다.

웹 개발자는 이 문서 뒷부분에 나오는 설정 부분의 내용처럼 기능을 해제시켜 이 동작으로 인해 작동하지 않는 응용 프로그램을 격리할 수 있습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

웹 개발자는 일관된 파일 확장명을 사용하여 파일을 호스팅하도록 웹 서버를 변경해야 합니다. 웹 서버를 변경할 수 없을 때는 "Content-disposition=attachment" HTTP 머리글을 사용하여 MIME 처리기가 아닌 해당 확장명 처리기로 파일을 직접 보낼 수 있습니다. "Content-disposition=attachment" 머리글을 통한 파일 다운로드에서는 사용자에게 파일 열기 또는 저장을 확인하는 메시지가 표시됩니다.

MIME 처리기를 개발한 상태에서 MIME 처리기에 의해 거부되는 파일을 실행하는 데 의도적으로 Internet Explorer를 사용하는 경우 이러한 변경 내용이 반영되도록 MIME 처리기에서 변경 작업을 수행해야 합니다. 가장 안전한 변경은 파일을 거부하는 것이 아니라 처음부터 파일을 MIME 처리기에서 직접 처리하는 것입니다.

경우에 따라 처음부터 다운로드한 파일을 처리하도록 MIME 처리기의 동작을 변경하지 못할 수도 있습니다. 그런 경우에는 다음과 같은 방법을 선택할 수 있습니다.

모두 동일한 CLSID의 일부인 MIME 처리기와 파일 확장명 처리기를 개발하기로 선택할 수 있습니다. Internet Explorer에서는 CLSID 일치를 허용하므로 확장명 처리기에서 파일 다운로드 또는 파일 실행 차단을 확인하는 메시지가 표시되지 않습니다.

MIME 처리기가 로드되지 않아도 되고 MIME과 확장명의 불일치로 인한 오류를 발생시키면 개발자는 MIME과 확장명이 일치하지 않는 경우에 Internet Explorer에서 MIME 처리기를 무시하도록 표시할 수 있습니다. 예를 들어 특정 미디어 MIME 형식에 대한 MIME 처리기가 일치하지 않는 확장명을 포함하고 있고 제대로 재생되도록 직접 실행되어야 하는 경우 개발자는 미디어 파일 확장명이 다른 ProgID에 속하면 불일치에서 MIME 처리기의 ProgID가 무시되도록 표시할 수 있습니다. 이 작업을 위해 개발자는 MIME 처리기를 사용하여 레지스트리에서 다음 값을 무시하도록 설정합니다.

HKEY_CLASSES_ROOT\PROG_ID_OF_MIMEHANDLER_TO_IGNORE\"PreferExecuteOnMismatch"=DWORD:00000001

이 모든 방법을 사용할 수 없을 경우 개발자는 사용자에게 호환되지 않음을 알리고 일치하지 않는 파일을 파일 시스템에 저장한 다음 수동으로 시작하는 방법을 설명해 주어야 합니다.

MIME과 확장명의 불일치를 조정할 수 없어서 시나리오가 원하지 않는 파일 다운로드 확인 메시지의 영향을 받는 경우에는 불일치에 대한 새로운 확인 메시지를 비롯하여 모든 다운로드 확인 메시지를 건너뛰도록 MIME 처리기 ProgID를 등록할 수 있습니다.

등록하기 전에 위임된 파일을 MIME 처리기에서 모두 안전하게 처리할 수 있는지 먼저 확인해야 합니다. 예를 들어 원래 파일의 해당 영역에서 허용되는 권한 이상을 공격자가 얻는 것을 처리기에서 허용하지 않는지 확인해야 합니다. 이 작업은 위협 모델링, 보안 실패 모드에 대한 코드 검토 및 버퍼 오버런을 통해 수행해야 합니다. 위임된 모든 파일을 MIME 처리기에서 안전하게 처리할 수 있음이 확인되면 다음 레지스트리 설정 중 하나에 새 키를 추가하여 다운로드 확인 메시지를 표시하지 않도록 처리기를 등록할 수 있습니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Secure_Mime_Handlers 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Secure_Mime_Handlers

키에는 MIME 처리기의 ProgID로 이름을 지정하고 DWORD=00000001이 있어야 합니다.

MIME 검색 파일 형식 올리기

자세한 설명

파일 형식 확인을 위한 백업 조건 중 하나는 MIME 검색 결과입니다. Internet Explorer에서는 파일을 검사(또는 검색)하여 특정 파일 형식의 비트 서명을 인식할 수 있습니다. Windows Server 2003 서비스 팩 1에서는 Internet Explorer MIME 검색으로 일반 텍스트 파일 형식의 수준이 제한된 사이트 영역에 더 위험한 파일 형식으로 올려지지 않습니다. 예를 들어 일반 텍스트로 받았지만 HTML 코드가 포함된 파일은 액티브 콘텐츠가 포함될 수 있는 HTML 형식으로 올려지지 않습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이 변경으로 서버에서 content-type=text\plain 파일을 제공하지만 공격자가 액티브 콘텐츠가 포함된 HTML을 파일로 로드하도록 한 웹 서버에 게시된 악의적인 콘텐츠로부터 사용자를 이중으로 보호할 수 있습니다.

작동 방식의 차이는 무엇입니까?

파일에 올바른 Content-Type 머리글이 없고 HTML 페이지에 사용할 수 없는 파일 확장명을 사용하는 웹 서버에서는 HTML이 아닌 일반 텍스트로 페이지를 나타내는 경우도 있습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

올바른 Content-Type 머리글을 사용하도록 웹 서버를 구성해야 합니다. 또는 파일을 처리해야 하는 응용 프로그램에 대한 적절한 파일 확장명으로 파일 이름을 지정할 수 있습니다.

Windows Server 2003 서비스 팩 1에서 변경되거나 추가된 설정은 무엇입니까?

 

설정 이름 위치 이전 기본값 기본값 사용 가능한 값

IExplore.exe

Explorer.exe

HKEY_LOCAL_MACHINE(또는 Current User)\Software \Microsoft \Internet Explorer\Main \FeatureControl \FEATURE_MIME_HANDLING\

없음

1

0 - 해제

1 - 설정

IExplore.exe

Explorer.exe

HKEY_LOCAL_MACHINE(또는 Current User)\Software \Microsoft \Internet Explorer\Main \FeatureControl\FEATURE_MIME_SNIFFING\

없음

1

0 - 해제

1 - 설정

영역별 MIME 검색 동작 설정

새로운 MIME 검색 제한은 개별 보안 영역에 대해 활성화하거나 비활성화할 수 있는 확장명과 관계없이 파일의 내용을 기반으로 파일 열기 보안 설정에 의해 제어됩니다. 다음 표에서는 보안 영역별 기본 설정을 보여 줍니다.

 

보안 영역 "확장명과 관계없이 파일의 내용을 기반으로 파일 열기" 기본 보안 설정

제한된 사이트 영역

사용 안 함

인터넷 영역

사용

인트라넷 영역

사용

신뢰할 수 있는 사이트 영역

사용

Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?

올바른 Content-Type 머리글을 사용하도록 웹 서버를 구성해야 합니다. 파일을 처리해야 하는 응용 프로그램에 대한 적절한 파일 확장명으로 파일 이름을 지정할 수도 있습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft