http://www.withdev.com/ 사람들이 살면서 하고 싶은 이야기는 많으나 어떤 연유에서던 못하는 경우가 많다. 하지만 뱉어 내듯이 말하는 공간이 있으니..... 2010-02-22T00:15:38+09:00 Textcube 1.7.1 : Risoluto (4rdo) http://www.withdev.com/entry/HTTPWatch%EB%A1%9C-myidnet%EC%97%90-%EB%8C%80%ED%95%B4%EC%84%9C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EB%B6%80%EB%B6%84%EC%9D%84-%EC%B2%B4%ED%81%AC-%ED%95%B4%EB%B3%B4%EC%95%98%EC%8A%B5%EB%8B%88%EB%8B%A4#comment691 2007-04-12T19:48:37+09:00

그렇다면 .. 굉장히 문제겠는데요.. 로그인이 간단해지긴 했지만 .. 반면 저런 문제가 있네요.. 한곳이 보안상 문제가 생기면 여러군데가 동시에 문제가 될수있다는것..

(낚시광준초리) http://www.withdev.com/entry/HTTPWatch%EB%A1%9C-myidnet%EC%97%90-%EB%8C%80%ED%95%B4%EC%84%9C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EB%B6%80%EB%B6%84%EC%9D%84-%EC%B2%B4%ED%81%AC-%ED%95%B4%EB%B3%B4%EC%95%98%EC%8A%B5%EB%8B%88%EB%8B%A4#comment692 2007-04-12T20:46:09+09:00

저도 솔직히 걱정 되는 부분입니다... 이글을 보고 개발자분이 어떤 커멘트를 해주시면 좋을텐데..

(kay) http://www.withdev.com/entry/HTTPWatch%EB%A1%9C-myidnet%EC%97%90-%EB%8C%80%ED%95%B4%EC%84%9C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EB%B6%80%EB%B6%84%EC%9D%84-%EC%B2%B4%ED%81%AC-%ED%95%B4%EB%B3%B4%EC%95%98%EC%8A%B5%EB%8B%88%EB%8B%A4#comment693 2007-04-13T01:46:14+09:00

비밀번호를 전달받는 action URL 을 잘보십시오. https 입니다. SSL 로 비밀번호를 포함한 모든 정보가 암호화되어 날라갑니다. HTTPWatch 는 IE 플러그인이기 때문에 이미 복호화된 값들을 보는 것이구요, 유사 독립프로그램인 HttpSpy 를 http://www.snapfiles.com/get/httpspy.html 에서 다운받아 설치해서 보시면, 암호화되어 보이지 않습니다. form key 는 재전송, back button 위험, 등등을 대비한 보안기능입니다. 또한 로그인 상태도 SSL 쿠키와 일반 세션쿠키를 쌍으로 사용하기 때문에, 네트웤 스니핑에는 거의 안전합니다. 물론, 사용자 PC 자체가 key logger 등 해킹 프로그램에 장악당한 경우에는 이슈가 됩니다. 이정도면 현재 일반 포탈보다는 높습니다만, 용도가 확장됨에 따라 더욱 강화할 것입니다. 그리고, 보안수준은 OpenID 자체의 특성이 아니라, 인증제공업체의 구현문제입니다. 따라서, 열린경쟁에 의해서 myID 보다 훨씬 안전한 OpenID 제공서비스도 얼마든지 가능합니다. 물론, myID 도 최선의 노력을 다할 것입니다.

(낚시광준초리) http://www.withdev.com/entry/HTTPWatch%EB%A1%9C-myidnet%EC%97%90-%EB%8C%80%ED%95%B4%EC%84%9C-%EB%A1%9C%EA%B7%B8%EC%9D%B8-%EB%B6%80%EB%B6%84%EC%9D%84-%EC%B2%B4%ED%81%AC-%ED%95%B4%EB%B3%B4%EC%95%98%EC%8A%B5%EB%8B%88%EB%8B%A4#comment694 2007-04-13T08:49:20+09:00

^^* 죄송합니다.. 앞단에 워낙에 충격 먹은게 있어서 ㅎㅎㅎㅎ 제가 관찰 못한 부분이 있었네요... 일단 https로 넘어가면 일차 안심은 됩니다만.. 제가 잘몰라서 그런부분도 있습니다만 네이버를 보았을때 WATCH에서 보더라도 인코딩이 되어 있는듯 한데...(제가 잘못본건지는 모르겠습니다.) 물론 말씀하신 키로그 같은 프로그램이야 키보드 후킹을 해버리니 기본적으로 어쩔수 없다고 하더라도 네이버 처럼 watch같은 프로그램으로 까더라도 인코딩 된 값으로 보여 질수 없을건가 하는게 궁금합니다. 아무튼 kay님 답변으로 myid에 대한 일말의 불안감을 사라져서 다행입ㅇ니다 ^^*