포럼
SSL 설치 후 로그인시 패킷 암호화 이상
2014.12.17 00:15
개인적으로 운영하는 사이트에 SSL을 적용시켰습니다.
그 후 로그인을 하면서 패킷을 떠보았는데
아이디와 패스워드가 그대로 다 보이더군요...
https로 정상적으로 접속도 되고 인증 마크도 문제가 없는데 왜 이런 현상이 나타나는 걸까요?
XE 버전은 1.7.7.2 입니다.
공홈도 마찬가지 현상이 나타나네요..
고수님들의 고견 부탁드립니다.
댓글 6
-
DoS™
2014.12.17 10:11
httpwatch 로 확인을 했습니다.
- 네이버의 경우 아이디와 패스워드가 아예 보이지 않더군요.
- 11번가의 경우 아이디/패스워드가 암호화되서 전송이 되고 있습니다.
- 다음의 경우 아이디만 조회가 되고 패스워드는 아예 보이지 않고 전송이 되고 있습니다.
말씀하신 것처럼 브라우저가 신뢰하도록 설정한 경우라고 하기에는 케이스가 다양합니다.
만약을 위해서 혹시 그 설정을 조회하고 변경할 수 있는 방법을 알려주시면
변경 후 다시 시도해 보면 좋을거 같습니다.
-
httpwatch는 브라우저 플러그인이니까 모두 보이는 것이 당연합니다. 님이 보고 계신 것은 패킷이 아닙니다. SSL 암호화하기 전의 내용을 보고 계신 거예요.
- 네이버: id, pw 필드는 비워 두고, 별도로 암호화하여 encpw 필드에 넣습니다.
- 다음: id는 그대로, pw는 암호화하여 srplm1이라는 URL 파라미터에 넣습니다.
- 11번가는 확인해보지 못했지만 비슷한 방식을 사용할 듯...
XE 공홈과 대부분의 중소규모 사이트들은 별도의 암호화를 하지 않고 SSL 자체의 암호화에만 의존하므로, httpwatch나 브라우저 개발자도구를 사용하면 자신이 입력한 아이디와 비번을 볼 수 있어요. 그러나 SSL이 있으므로 공개된 와이파이를 사용하거나 회선을 감청하더라도 다른 사람의 아이디와 비번을 볼 수는 없습니다.
사실 일반적인 브라우저에서 사용할 수 있는 암호화 기술 중에는 SSL만큼 강력한 것이 없기 때문에, 별도로 암호화하여 전송하지 않아도 SSL만 제대로 사용하면 안전하다고 할 수 있습니다. 그러나 네이버, 다음, 11번가 같은 대규모 사이트는 공격당할 가능성이 높을 테니 자바스크립트로 암호화한 것을 SSL로 다시 암호화하는 등, 이중 삼중으로 안전장치를 해둔다고 손해볼 건 없겠지요. 검색해 보시면 포털에서 사용하는 암호화 알고리듬을 다른 사람이 분석해서 직접 구현해 놓은 것도 찾을 수 있어요.
-
DoS™
2014.12.17 23:31
아 그렇군요... 제 무지가 기진곰을을 번거롭게 했네요..
죄송합니다.
-
죄송하실 것 없습니다. 다 이러면서 배우는 거죠 뭐 ^^
덕분에 저도 네이버와 다음에서 클라이언트측 비번 암호화에 사용하는 알고리듬을 둘러보게 되었네요. 이거 @AJKJ님이 좋아하실 것 같은데 ㅋㅋㅋ
-
DoS™
2014.12.20 22:30
이해해 주셔서 감사합니다.
행복한 연말 보내세요.
| 글쓴이 | 제목 | 최종 글 |
|---|---|---|
| 죽방망이 | 사이트맵 이거 쓰시는분~ | |
| lord | 한글도메인을 사용중인데...요청합니다. [12] | 2014.12.31 by 알피레이드 |
| AJKJ | jsdelivr에 나눔 웹폰트 전부 등록해 두었습니다. [11] | 2014.12.30 by socialskyo |
| DingGGu | 모듈 개발 시에 레이아웃 적용 [4] | 2014.12.30 by DingGGu |
| 꾸링 | 1.7.8 통합검색 첨부파일 mp3*오디오확장명 일경우 문제점 | |
| BJ람보 | 프로파일러 개발 이야기 [8] | 2014.12.30 by BJ람보 |
| GG | XE를 가지고 api 서비스를 처음 만들어 보았네요. [2] | 2014.12.30 by 에비뉴 |
| 엔돌핀아솟아라 |
한글도메인, 로그인 글쓰기 오류
[4]
 | 2014.12.29 by 키스투엑스이 |
| 정도길 | 사이트 중 J쿼리관련 자료 판매하는 곳이 있는데요? | |
| 가을풍경 |
php 5.6에서 memcache 설정에 관하여
| |
| 해운대살고싶다 |
xe에도 이런실시간위치확인이..
[2]
| 2014.12.28 by 몽실아빠 |
| 꾸링 | 1.4.5.X -> 1.7.8 주소 사용 불가 문제 [2] | 2014.12.27 by 꾸링 |
| XE만세 | 기본 URL 설정이 안되어 있습니다. 뜨시는 분 계신지요? [10] | 2014.12.26 by HSJI |
| 가을풍경 | 구글 음성인식 기술(Web Speech API)을 에디터 컴포넌트로 !! [1] | 2014.12.22 by 키스투엑스이 |
| 메테워 | XE마켓 먹튀당했네요.. [9] | 2014.12.22 by LAB_ |
| BJ람보 | 출석부와 알림센터가 새롭게 바뀔예정입니다. [15] | 2014.12.22 by LAB_ |
| 에비뉴 | 공개 SW 개발자 대회 대상에 XPUSH 팀 [2] | 2014.12.21 by 톡플러스 |
| DoS™ | SSL 설치 후 로그인시 패킷 암호화 이상 [6] | 2014.12.20 by DoS™ |
| 가을풍경 |
개인웹서버운영시 용량과 속도를 동시에 잡는법
| |
| TabsTips | 스팸 게시물이 구글 검색에 남아서 트래픽을 유발하네요.. [3] | 2014.12.20 by TabsTips |
패킷을 뭘로 떠보셨나요?
브라우저의 개발자도구라면 암호화하기 전의 내용을 별도로 저장했다가 보여주는 것이니
아이디와 패스워드가 다 나오는 것이 당연하고,
fiddler 같은 디버깅 툴을 님의 PC에 설치하셨다면 실제로 서버에 직접 접속하는 것이 아니라
디버깅 툴에서 제공하는 프록시를 통해 접속하게 되므로 아이디와 패스워드를 볼 수 있습니다.
(단, 디버깅 툴에서 사용하는 인증키를 브라우저가 신뢰하도록 설정한 경우에 한함.
설치하면서 자동으로 이렇게 설정되었을 수도 있음.)
뭐 어떤 방식을 쓰든, 최근에 개발된 디버깅 툴을 님의 PC에 설치해 놓고 패킷을 떠보면
다 나오는 것이 보통입니다. 안 나온다면 디버깅 툴로서의 가치가 없잖아요.
중요한 건 제3자가 님의 아이디와 패스워드를 볼 수 있느냐는 거죠.