포럼
SSL 설치 후 로그인시 패킷 암호화 이상
2014.12.17 00:15
개인적으로 운영하는 사이트에 SSL을 적용시켰습니다.
그 후 로그인을 하면서 패킷을 떠보았는데
아이디와 패스워드가 그대로 다 보이더군요...
https로 정상적으로 접속도 되고 인증 마크도 문제가 없는데 왜 이런 현상이 나타나는 걸까요?
XE 버전은 1.7.7.2 입니다.
공홈도 마찬가지 현상이 나타나네요..
고수님들의 고견 부탁드립니다.
댓글 6
-
기진곰
2014.12.17 09:29
-
DoS™
2014.12.17 10:11
httpwatch 로 확인을 했습니다.
- 네이버의 경우 아이디와 패스워드가 아예 보이지 않더군요.
- 11번가의 경우 아이디/패스워드가 암호화되서 전송이 되고 있습니다.
- 다음의 경우 아이디만 조회가 되고 패스워드는 아예 보이지 않고 전송이 되고 있습니다.
말씀하신 것처럼 브라우저가 신뢰하도록 설정한 경우라고 하기에는 케이스가 다양합니다.
만약을 위해서 혹시 그 설정을 조회하고 변경할 수 있는 방법을 알려주시면
변경 후 다시 시도해 보면 좋을거 같습니다.
-
기진곰
2014.12.17 11:38
httpwatch는 브라우저 플러그인이니까 모두 보이는 것이 당연합니다. 님이 보고 계신 것은 패킷이 아닙니다. SSL 암호화하기 전의 내용을 보고 계신 거예요.
- 네이버: id, pw 필드는 비워 두고, 별도로 암호화하여 encpw 필드에 넣습니다.
- 다음: id는 그대로, pw는 암호화하여 srplm1이라는 URL 파라미터에 넣습니다.
- 11번가는 확인해보지 못했지만 비슷한 방식을 사용할 듯...
XE 공홈과 대부분의 중소규모 사이트들은 별도의 암호화를 하지 않고 SSL 자체의 암호화에만 의존하므로, httpwatch나 브라우저 개발자도구를 사용하면 자신이 입력한 아이디와 비번을 볼 수 있어요. 그러나 SSL이 있으므로 공개된 와이파이를 사용하거나 회선을 감청하더라도 다른 사람의 아이디와 비번을 볼 수는 없습니다.
사실 일반적인 브라우저에서 사용할 수 있는 암호화 기술 중에는 SSL만큼 강력한 것이 없기 때문에, 별도로 암호화하여 전송하지 않아도 SSL만 제대로 사용하면 안전하다고 할 수 있습니다. 그러나 네이버, 다음, 11번가 같은 대규모 사이트는 공격당할 가능성이 높을 테니 자바스크립트로 암호화한 것을 SSL로 다시 암호화하는 등, 이중 삼중으로 안전장치를 해둔다고 손해볼 건 없겠지요. 검색해 보시면 포털에서 사용하는 암호화 알고리듬을 다른 사람이 분석해서 직접 구현해 놓은 것도 찾을 수 있어요.
-
DoS™
2014.12.17 23:31
아 그렇군요... 제 무지가 기진곰을을 번거롭게 했네요..
죄송합니다.
-
기진곰
2014.12.18 09:47
죄송하실 것 없습니다. 다 이러면서 배우는 거죠 뭐 ^^
덕분에 저도 네이버와 다음에서 클라이언트측 비번 암호화에 사용하는 알고리듬을 둘러보게 되었네요. 이거 @AJKJ님이 좋아하실 것 같은데 ㅋㅋㅋ
-
DoS™
2014.12.20 22:30
이해해 주셔서 감사합니다.
행복한 연말 보내세요.
패킷을 뭘로 떠보셨나요?
브라우저의 개발자도구라면 암호화하기 전의 내용을 별도로 저장했다가 보여주는 것이니
아이디와 패스워드가 다 나오는 것이 당연하고,
fiddler 같은 디버깅 툴을 님의 PC에 설치하셨다면 실제로 서버에 직접 접속하는 것이 아니라
디버깅 툴에서 제공하는 프록시를 통해 접속하게 되므로 아이디와 패스워드를 볼 수 있습니다.
(단, 디버깅 툴에서 사용하는 인증키를 브라우저가 신뢰하도록 설정한 경우에 한함.
설치하면서 자동으로 이렇게 설정되었을 수도 있음.)
뭐 어떤 방식을 쓰든, 최근에 개발된 디버깅 툴을 님의 PC에 설치해 놓고 패킷을 떠보면
다 나오는 것이 보통입니다. 안 나온다면 디버깅 툴로서의 가치가 없잖아요.
중요한 건 제3자가 님의 아이디와 패스워드를 볼 수 있느냐는 거죠.