BLOG┃2007년 04월 12일 18시 55분
솔직히 아래 포스트에 티스토리에 대해 말했지만 사실 네트웍 보안쪽은 살짝 맛만 본 상태라 잘알지는 못하지만 그래도 불안한 감이 있어 이렇게 포스팅을 합니다.
OPENID라는 하나의 ID로 여러가지 서비스를 이용 하자는 아주 좋은 컨셉으로 시작한 myID 서비스... 그러나 한편으로 이 아이디의 정보가 유출이 되면 엄청난 위험성을 가질 수 있는 컨셉이라고 걱정 하시는 분들도 계신것으로 압니다.
그래서 티스토리, 테터툴즈, 네이버 이렇게 단순하게 봤는데. 갑자기 스프링노트, LifePod, me2day가 같은 ID즉 OPENID를 사용 하기에 한번 패스워드가 어떻게 넘어가는 확인 해보았습니다.
그러나 그 결과는 저에게 좌절이었습니다. -> 한시름 놓았습니다. HTTPS로 전송이 되고 있습니다.
물론 보니까 FORM_KEY라고 하여 페이지 로 중간에 치고 들어올 경우를 대비해 키를 만들어 놓은게 있습니다.
물론 이게 저의 노파심일수도 있지만 그래도 개발자인 나인데 솔직히 패킷 덤프 떠는 라이브러리 쉽게 구할 수 있고 또 그런 프로그램도 많이 돌고 있는 사항에서 덤프를 뜬다면 누구나 볼 수 있지 않을까 하는 걱정이 됩니다..
제발 이게 저의 노파심이 되었으면 합니다. 올블로그 HANRSS등을 다 검색을 한번 해보고 싶은데 걱정이 됩니다...
(제가 어련풋이 듣기엔 myID는 NCSOFT에서 지원 받는것으로 알고 있는데.. 제가 잘못 알고 있는건지는 모르겠습니다..)
이 부분 우선적으로 해결 하실 수 없는지요????
미쳐 KAY님의 답변으로 인해 확인 결과 HTTPS로 로그인 정보를 전송 함으로써 모든 것이 암호화 되어 넘어가니 안심은 됩니다... 다시한번 미쳐 확인 하지 못한 부분을 깨쳐 주신 KAY님에게 감사 드립니다 ^^*
OPENID라는 하나의 ID로 여러가지 서비스를 이용 하자는 아주 좋은 컨셉으로 시작한 myID 서비스... 그러나 한편으로 이 아이디의 정보가 유출이 되면 엄청난 위험성을 가질 수 있는 컨셉이라고 걱정 하시는 분들도 계신것으로 압니다.
그래서 티스토리, 테터툴즈, 네이버 이렇게 단순하게 봤는데. 갑자기 스프링노트, LifePod, me2day가 같은 ID즉 OPENID를 사용 하기에 한번 패스워드가 어떻게 넘어가는 확인 해보았습니다.
그러나 그 결과는 저에게 좌절이었습니다. -> 한시름 놓았습니다. HTTPS로 전송이 되고 있습니다.
물론 보니까 FORM_KEY라고 하여 페이지 로 중간에 치고 들어올 경우를 대비해 키를 만들어 놓은게 있습니다.
물론 이게 저의 노파심일수도 있지만 그래도 개발자인 나인데 솔직히 패킷 덤프 떠는 라이브러리 쉽게 구할 수 있고 또 그런 프로그램도 많이 돌고 있는 사항에서 덤프를 뜬다면 누구나 볼 수 있지 않을까 하는 걱정이 됩니다..
제발 이게 저의 노파심이 되었으면 합니다. 올블로그 HANRSS등을 다 검색을 한번 해보고 싶은데 걱정이 됩니다...
(제가 어련풋이 듣기엔 myID는 NCSOFT에서 지원 받는것으로 알고 있는데.. 제가 잘못 알고 있는건지는 모르겠습니다..)
이 부분 우선적으로 해결 하실 수 없는지요????
HTTPWatch란.... IE의 플러그인 프로그램으로써 IE에서 전달 되는 코드 값등을 덤프 떠 주는 프로그램입니다. URL 포함해서요...
미쳐 KAY님의 답변으로 인해 확인 결과 HTTPS로 로그인 정보를 전송 함으로써 모든 것이 암호화 되어 넘어가니 안심은 됩니다... 다시한번 미쳐 확인 하지 못한 부분을 깨쳐 주신 KAY님에게 감사 드립니다 ^^*
┃http://www.withdev.com/trackback/161
-
4rdo┃2007년 04월 12일 19시 48분 그렇다면 ..
굉장히 문제겠는데요..
로그인이 간단해지긴 했지만 ..
반면 저런 문제가 있네요..
한곳이 보안상 문제가 생기면 여러군데가 동시에 문제가 될수있다는것..-
낚시광준초리┃2007년 04월 12일 20시 46분 저도 솔직히 걱정 되는 부분입니다... 이글을 보고 개발자분이 어떤 커멘트를 해주시면 좋을텐데..
-
-
kay┃2007년 04월 13일 01시 46분 비밀번호를 전달받는 action URL 을 잘보십시오. https 입니다. SSL 로 비밀번호를 포함한 모든 정보가 암호화되어 날라갑니다. HTTPWatch 는 IE 플러그인이기 때문에 이미 복호화된 값들을 보는 것이구요, 유사 독립프로그램인 HttpSpy 를 http://www.snapfiles.com/get/httpspy.html
에서 다운받아 설치해서 보시면, 암호화되어 보이지 않습니다.
form key 는 재전송, back button 위험, 등등을 대비한 보안기능입니다. 또한 로그인 상태도 SSL 쿠키와 일반 세션쿠키를 쌍으로 사용하기 때문에, 네트웤 스니핑에는 거의 안전합니다. 물론, 사용자 PC 자체가 key logger 등 해킹 프로그램에 장악당한 경우에는 이슈가 됩니다. 이정도면 현재 일반 포탈보다는 높습니다만, 용도가 확장됨에 따라 더욱 강화할 것입니다.
그리고, 보안수준은 OpenID 자체의 특성이 아니라, 인증제공업체의 구현문제입니다. 따라서, 열린경쟁에 의해서 myID 보다 훨씬 안전한 OpenID 제공서비스도 얼마든지 가능합니다. 물론, myID 도 최선의 노력을 다할 것입니다.-
낚시광준초리┃2007년 04월 13일 08시 49분 ^^* 죄송합니다.. 앞단에 워낙에 충격 먹은게 있어서 ㅎㅎㅎㅎ 제가 관찰 못한 부분이 있었네요... 일단 https로 넘어가면 일차 안심은 됩니다만..
제가 잘몰라서 그런부분도 있습니다만 네이버를 보았을때 WATCH에서 보더라도 인코딩이 되어 있는듯 한데...(제가 잘못본건지는 모르겠습니다.)
물론 말씀하신 키로그 같은 프로그램이야 키보드 후킹을 해버리니 기본적으로 어쩔수 없다고 하더라도 네이버 처럼 watch같은 프로그램으로 까더라도 인코딩 된 값으로 보여 질수 없을건가 하는게 궁금합니다.
아무튼 kay님 답변으로 myid에 대한 일말의 불안감을 사라져서 다행입ㅇ니다 ^^*
-
