쿠키값에 대한 보안 설정
스쿨쪽의 Qna 에 올라온
쿠키값을 이용해서 회원으로 접근해서 장난 치는 경우가 있다는 글을 보고
화들짝 놀래서 뒤져보니
SSL 로 한다해도,
쿠키값을 가지고 사이트을 운영 할 경우
문제가 될수 있겠더군요.
뒤져 보니 아래의 정보들이 있었습니다.
더 좋은 방법이 있다면 공유 부탁 드리겠습니다.
[ 설정 되었는지 확인하는 방법 ]------------------------
먼저 홈페이지에 Response Header 값에
아래의 내용이 있다면 설정 되신 상태입니다.
Set-Cookie ~~~~~~~ HttpOnly;Secure <---- 이 글자가 있으면 설정된 상태임
[ 언어별 설정 ]------------------------
https://www.owasp.org/index.php/HttpOnly
[ 웹서버에 설정 ]------------------------
http://chandank.com/security/httponly-secure-cookie-apache
[asp]------------------------
http://stackoverflow.com/questions/2990686/setting-httponly-for-classic-asp-session-cookie
(*) 테스트하실때 설정 후 브라우져을 다 종료하시고,
테스트 하셔야 하구요,
기존에 암호화 알고리즘으로 설정이 되어 있으시다면
굳이 하실 필요는 없을것 같습니다.
(*) 아래의 링크에 아빠불당님의 뎃글을 참고 하시면 좋으실듯 합니다.
http://www.phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=78535
쿠키값을 이용해서 회원으로 접근해서 장난 치는 경우가 있다는 글을 보고
화들짝 놀래서 뒤져보니
SSL 로 한다해도,
쿠키값을 가지고 사이트을 운영 할 경우
문제가 될수 있겠더군요.
뒤져 보니 아래의 정보들이 있었습니다.
더 좋은 방법이 있다면 공유 부탁 드리겠습니다.
[ 설정 되었는지 확인하는 방법 ]------------------------
먼저 홈페이지에 Response Header 값에
아래의 내용이 있다면 설정 되신 상태입니다.
Set-Cookie ~~~~~~~ HttpOnly;Secure <---- 이 글자가 있으면 설정된 상태임
[ 언어별 설정 ]------------------------
https://www.owasp.org/index.php/HttpOnly
[ 웹서버에 설정 ]------------------------
http://chandank.com/security/httponly-secure-cookie-apache
[asp]------------------------
http://stackoverflow.com/questions/2990686/setting-httponly-for-classic-asp-session-cookie
(*) 테스트하실때 설정 후 브라우져을 다 종료하시고,
테스트 하셔야 하구요,
기존에 암호화 알고리즘으로 설정이 되어 있으시다면
굳이 하실 필요는 없을것 같습니다.
(*) 아래의 링크에 아빠불당님의 뎃글을 참고 하시면 좋으실듯 합니다.
http://www.phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=78535
댓글 4개
11년 전
살펴봐야겠네요~
감사합니다^^
감사합니다^^
11년 전
궁금한게 쿠키를 암호화하면 사이트 내에선 어떻게 읽나요?..
자바스크립트 때문에 암호화 소스코드가 노출될듯한데
자바스크립트 때문에 암호화 소스코드가 노출될듯한데
11년 전
본글에 적힌 방식은 웹서버와 브라우져 간에 알아서 해주는 방식이구요
https://www.owasp.org/index.php/HttpOnly 중간쯤의 표을 보시면 지원되는 버젼별 브라우져가 보입니다.
자바스크립트 때문에 암호화 소스코드가 노출될듯한데 <-- 이건 무슨 말씀이신지 이해가 않가요?
https://www.owasp.org/index.php/HttpOnly 중간쯤의 표을 보시면 지원되는 버젼별 브라우져가 보입니다.
자바스크립트 때문에 암호화 소스코드가 노출될듯한데 <-- 이건 무슨 말씀이신지 이해가 않가요?
11년 전
혹, 암호화 알고리즘을 이용한 방식을 스크립트 또는 서버언어로 설정하는것을 얘기 하신거라면
서버쪽 언어에 인증키을 하나 만드셔서 스크립트로 MD5 나 기타 다른 암호화 알고리즘으로 만드셔서
( 브라우져에는 절대 보이지 않은 방식 )
서버에서 인증키로 다시 푸는 방법은 있습니다.
단점(?)이라면 매번 페이지 로딩할때마다 암호화을 풀어야겠지만요.
서버쪽 언어에 인증키을 하나 만드셔서 스크립트로 MD5 나 기타 다른 암호화 알고리즘으로 만드셔서
( 브라우져에는 절대 보이지 않은 방식 )
서버에서 인증키로 다시 푸는 방법은 있습니다.
단점(?)이라면 매번 페이지 로딩할때마다 암호화을 풀어야겠지만요.
게시판 목록
그누보드5 팁자료실
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 2695 | 1개월 전 | 170 | ||
| 2694 | 1개월 전 | 132 | ||
| 2693 | 1개월 전 | 143 | ||
| 2692 | 1개월 전 | 157 | ||
| 2691 | 1개월 전 | 311 | ||
| 2690 | 1개월 전 | 217 | ||
| 2689 |
 SIR개발팀 |
1개월 전 | 423 | |
| 2688 | 1개월 전 | 275 | ||
| 2687 |
선택과집중
|
1개월 전 | 312 | |
| 2686 | 1개월 전 | 275 | ||
| 2685 | 1개월 전 | 329 | ||
| 2684 | 2개월 전 | 462 | ||
| 2683 | 2개월 전 | 261 | ||
| 2682 | 2개월 전 | 287 | ||
| 2681 |
선택과집중
|
2개월 전 | 263 | |
| 2680 | 2개월 전 | 312 | ||
| 2679 |
 Xenon54 |
2개월 전 | 417 | |
| 2678 |
Xenon54 |
2개월 전 | 487 | |
| 2677 | 2개월 전 | 311 | ||
| 2676 | 2개월 전 | 287 | ||
| 2675 |
선택과집중
|
2개월 전 | 464 | |
| 2674 |
 ideaman |
2개월 전 | 309 | |
| 2673 | 2개월 전 | 322 | ||
| 2672 | 2개월 전 | 272 | ||
| 2671 | 2개월 전 | 244 | ||
| 2670 | 2개월 전 | 356 | ||
| 2669 | 2개월 전 | 274 | ||
| 2668 |
선택과집중
|
2개월 전 | 470 | |
| 2667 |
선택과집중
|
2개월 전 | 455 | |
| 2666 |
선택과집중
|
3개월 전 | 388 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기