// $_POST 배열변수에서 아래의 이름을 가지지 않은 것만 넘김

요 사이가 날라가 버리네요 ... 슬래시* *슬래시 때문인가 봅니다.

//주석처리 또는 삭제 !!! ... 이것 남기면 주소창에 아이디 패스워드 노출됨

추가 부분입니다.

// $_POST 배열변수에서 아래의 이름을 가지지 않은 것만 넘김
// foreach($_POST as $key=>$value)
// {
// if ($key != "mb_id" && $key != "mb_password" && $key != "x" && $key != "y" && $key != "url")
// {
// $link .= "$split$key=$value";
// $split = "&";
// }
// }
주석처리 또는 삭제 !!! ... 이것 남기면 주소창에 아이디 패스워드 노출됨

그런데 말입니다.
그런 식으로 하는거는 클라이언트컴에서 javascript를 통해 암호해 되어 서버로 전송될건데
전번에 올리신 내용을 컴이 고장나 모바일로 잠깐 본적이 있는데요, base64인코딩을 사용하더라구요, 그런다면 스니핑에서 자유로울 수 있을까요?

제가 뭘 몰라 궁금해 질문해 봅니다 ㅎㅎ

클라 <-> 서버 마찬가지라고 생각됩니다.

base64는 decode가 특정 key없이 가능하므로 스니핑당하면 그냥 디코딩하면 값이 나오므로 자유로울 수 없습니다.

공유키, 개인키를 가진 오직 두개의 전사 함수형 암호화만이 스니핑에서 자유로울 수 있습니다.

클라에트에서 암호화 변형형된 패킷을 서버로 전송? 클라에서 제어를 못하면 보안 허구점이 있지 않을까 싶은데요

어떻게 생각 하시는지요

일단 bbs/mypage.php 출력 부분입니다. 한번 보세요 ?

<script type='text/javascript'>
var TEAkey = Cookies.getTEAkey();
var content = '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';
content = Base64.decode(content);
content = TEA.decrypt(content, TEAkey);
content = Utf8.decode(content);
document.write(content);
</script>
<!-- 마이페이지 시작 -->
<style type='text/css'>
#mybox-top{height:30px;border:3px solid #ccc;padding:10px;margin:5px 0 15px 0;vertical-align:middle}
#mybox{clear:both;border:1px solid #ccc;padding:10px;margin:5px}
.tour{width:700px;border:1px dotted #ccc;padding:10px;margin-bottom:5px}
.tour li{float:left;margin:0 auto;display:inline;}
.tour li.sbox{width:100px;background-color:#ddd;text-align:center;padding:10px 0 10px 0}
.tour li.ssbox{width:120px;background-color:#fff;text-align:left;padding:9px 0 9px 10px;border:1px solid #f00}
.tour li.lbox{width:584px;background-color:#fff;text-align:left;padding:9px 0 9px 10px;border:1px solid #f00}
.tour li.llbox{width:684px;background-color:#fff;text-align:left;padding:9px 0 9px 10px;border:1px solid #f00}
</style>

<div id="mybox-top">
<div style="float:left">
<h3><a href="../adm/"><img src="../bbs/img/user.png" border="0" align="absmiddle" /><span style="color:#FF0000; font-weight:700; padding-left:10px;"><script type='text/javascript'>
var TEAkey = Cookies.getTEAkey();
var content = '2kycMMWlsYmf2m2h36W0sW+G3bk=';
content = Base64.decode(content);
content = TEA.decrypt(content, TEAkey);
content = Utf8.decode(content);
document.write(content);
</script>
</span></b></a> 님의 마이페이지입니다.
</h3>
</div>
<div style="float:right;margin-top:5px;">
<a href="../bbs/new.php" target="_self"><span style="color:ff0000;font-weight:700;">전체게시물</span></a>
[바로가기]
<!-- a href="../bbs/board.php?bo_table=" target="_self"-->가계부</a> : <!-- a href="../bbs/board.php?bo_table=" target="_self"-->스케쥴</a> : <!-- a href="../bbs/board.php?bo_table=" target="_self"-->마이링크</a> : <!-- a href="../service/biorhythm.php" target="_self"-->나의 바이오리듬</a>
</div>
</div>
<div id="mybox">
<div class="tour">
<li class="sbox">이름</li>
<li class="ssbox">&nbsp;<script type='text/javascript'>
var TEAkey = Cookies.getTEAkey();
var content = '2kycMMWlsYmf2m2h36W0sW+G3bk=';
content = Base64.decode(content);
content = TEA.decrypt(content, TEAkey);
content = Utf8.decode(content);
document.write(content);
</script>
</li>
<li class="sbox">아이디</li>
<li class="ssbox">&nbsp;<script type='text/javascript'>
var TEAkey = Cookies.getTEAkey();
var content = 'orzSQsdO/P2l8vRm';
content = Base64.decode(content);
content = TEA.decrypt(content, TEAkey);
content = Utf8.decode(content);
document.write(content);
</script>
</li>
<li class="sbox">닉네임</li>
<li class="ssbox"">&nbsp;<script type='text/javascript'>
var TEAkey = Cookies.getTEAkey();
var content = '2kycMMWlsYmf2m2h36W0sW+G3bk=';
content = Base64.decode(content);
content = TEA.decrypt(content, TEAkey);
content = Utf8.decode(content);
document.write(content);
</script>
</li>
</div>
<div class="tour">
<li class="sbox">생년월일</li>
<li class="ssbox">&nbsp;(남자)</li>
<li class="sbox">휴대폰</li>
<li class="ssbox">&nbsp;</li>
<li class="sbox">전화</li>
<li class="ssbox">&nbsp;</li>
</div>
<div class="tour">
<li class="sbox">이메일</li>
<li class="lbox">&nbsp;<script type='text/javascript'>
var TEAkey = Cookies.getTEAkey();
var content = 'Ccauf4R9pCF98EAOB13CnycOrOYSPEj5';
content = Base64.decode(content);
content = TEA.decrypt(content, TEAkey);
content = Utf8.decode(content);
document.write(content);
</script>
</li>
</div>
<div class="tour">
<li class="sbox">주소</li>
<li class="lbox">&nbsp;</li>
</div>

닉, 이름, 아이디, 생일, 휴대폰, 전화, 이메일, 주소 출력 부분만 암호화 하였습니다.

헌이님 말씀은 ?

클라에트에서 암호화 변형형된 패킷을 서버로 전송? 클라에서 제어를 못하면 보안 허구점이 있지 않을까 싶은데요

====>

클라에트에서 암호화 변형형된 패킷을 서버로 전송? 서버에서 제어를 못하면 보안 허구점이 있지 않을까 싶은데요 ?????????????? 가 아닌가요 ?

참고로 ... 이 암호화된 Japcrypt 부분은 클라이언트들의 요청이 있을 때 마다 바뀝니다...

랜덤으로 바뀐다는건 알고 있습니다.

개인적인 생각이지만 보안쪽으로 조금 그렇습니다. ssl 생긴지는 꽤 됐는데 막상 이런 문제가 생기니.... ^^

문제는 더심각해질듯 하네요 ^^

phpschool 에 올라 온 어느 분의 답변입니다.

Japcrypt는 javascript 와 php 사이에 암 복호화를 시켜주는 오픈소스 입니다.
서버와 클라이언트의 암호키값을 계속 변경시켜서 이용하기 때문에 SSL을 대체하는 것입니다.

쇼핑몰 보안에 사용해도 무방하지만.. 상당히 많은 부분을 암복호화 하셔야 합니다.
모듈로 된 것이 아니라 단순 암호화 복호화 소스이고 이를 통해 각각 페이지에 프로그래밍해야 합니다.

어디를봐도 ... 보안 쪽은 좀 그렇습니다. 는 내용이 안 나와서 그럽니다만 ... 정말 플 ~~ 모르면 답이 안나옵니다.

한넘 한넘 다 잡고 검문을 해야 하니 ~~~

c+ / ajax SSL 로 잘짜여져 있는 코드 찾아보면 많습니다. 참고하시면 좋을듯 하네요

assl 이지요 ... ㅋㅋㅋ

네 맞습니다. ㅎㅎ

완성되고 나면 사이트 오픈합니다.
한번 뚫어주세요 ... ㅎㅎㅎ

뚫을때는 뻥뚤어가 있습니다. ㅎㅎㅎ ^^
수고하세요