웹마스터 팁
[My생각] 쿠키와 보안에 대한 재미있는 생각!!
2002.11.18 01:43
http://wp.netscape.com/newsref/std/cookie_spec.htmlhttp://www.kmle.co.krMy생각: [PHP]쿠키와 보안에 대한 재미있는 생각!!
날짜: 11월 18일
by: 박용구
Netscape의 쿠키에 대한 설명서(http://wp.netscape.com/newsref/std/cookie_spec.html)를 보면
쿠키를 설정할때 Set-Cookie: NAME=VALUE; expires=DATE;
path=PATH; domain=DOMAIN_NAME; secure
형태로 하는데
DOMAIN_NAME과 관련 Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT".
이라고 나와 있습니다. 그 뜻은 위에 나와 있는 도메인 확장자는 점 두개가 포함되어 있어야된다는 것입니다. 예) .digirave.net 은 되지만 .net은 당연히 안된다는 것입니다.(.co.kr 같은 도메인은 점 3 개 이상 필요합니다)
잘 생각해보면 만약 어떤 호스팅 또는 포워딩 업체가 ("COM", "EDU", "NET", "ORG", "GOV", "MIL", "INT")를 사용하고 있다면, 예를 들어 .myhome.com 을 사용하고 있다면 만약 어떤 a.myhome.com 이라는 사이트가 password 이라는 쿠키를 "123456"이라는 값으로 설정한다면 b.myhome.com 으로 해당하는 쿠키를 가진 사용자가 방문을 해서 password 이라는 변수를 get 또는 post 방식으로 폼을 통해 $password으로 사용한다면 사용자가 폼에 "mypassword"이라고 입력해도 대부분의 php 설정이 cookie가 get, post 보다 우선 순위를 가지기 때문에 결국 $password이 "123456"으로 설정될 것입니다.
적용대상: 호스팅 또는 포워딩 업체가 이차 도메인 형태로 서비스를 제공하는 곳(여러분의사이트.호스팅업체.com 또는 여러분의사이트.호스팅업체.co.kr)
가정: 대부분의 호스팅 업체와 같이 php register_globals = on으로 되어 있어야 하고 cookie가 post,get에 대한 우선순위를 가져야합니다(이것은 php 기본 설정임).
해결책: $_POST, $_GET을 사용하거나 register_globals를 php.ini에서 off로 설정하거나 그에 따른 기존 스크립트에 문제가 너무 많다면
.htaccess를 통해
php_flag register_globals off
로 register_globals를 off로 하면됩니다.
날짜: 11월 18일
by: 박용구
Netscape의 쿠키에 대한 설명서(http://wp.netscape.com/newsref/std/cookie_spec.html)를 보면
쿠키를 설정할때 Set-Cookie: NAME=VALUE; expires=DATE;
path=PATH; domain=DOMAIN_NAME; secure
형태로 하는데
DOMAIN_NAME과 관련 Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT".
이라고 나와 있습니다. 그 뜻은 위에 나와 있는 도메인 확장자는 점 두개가 포함되어 있어야된다는 것입니다. 예) .digirave.net 은 되지만 .net은 당연히 안된다는 것입니다.(.co.kr 같은 도메인은 점 3 개 이상 필요합니다)
잘 생각해보면 만약 어떤 호스팅 또는 포워딩 업체가 ("COM", "EDU", "NET", "ORG", "GOV", "MIL", "INT")를 사용하고 있다면, 예를 들어 .myhome.com 을 사용하고 있다면 만약 어떤 a.myhome.com 이라는 사이트가 password 이라는 쿠키를 "123456"이라는 값으로 설정한다면 b.myhome.com 으로 해당하는 쿠키를 가진 사용자가 방문을 해서 password 이라는 변수를 get 또는 post 방식으로 폼을 통해 $password으로 사용한다면 사용자가 폼에 "mypassword"이라고 입력해도 대부분의 php 설정이 cookie가 get, post 보다 우선 순위를 가지기 때문에 결국 $password이 "123456"으로 설정될 것입니다.
적용대상: 호스팅 또는 포워딩 업체가 이차 도메인 형태로 서비스를 제공하는 곳(여러분의사이트.호스팅업체.com 또는 여러분의사이트.호스팅업체.co.kr)
가정: 대부분의 호스팅 업체와 같이 php register_globals = on으로 되어 있어야 하고 cookie가 post,get에 대한 우선순위를 가져야합니다(이것은 php 기본 설정임).
해결책: $_POST, $_GET을 사용하거나 register_globals를 php.ini에서 off로 설정하거나 그에 따른 기존 스크립트에 문제가 너무 많다면
.htaccess를 통해
php_flag register_globals off
로 register_globals를 off로 하면됩니다.
| 제목 | 글쓴이 | 날짜 |
|---|---|---|
| 플레쉬 마우스 오버하면└---┘ 이런식으로 나오는 것 자바스크립트로 제어하기 | Sena㏇ | 2007.02.24 |
| 비밀번호 입력해야 해당 페이지 보이기 [3] | 이명우 | 2007.02.28 |
| Light box 이용하기.. [10] | 이진수 | 2007.03.12 |
| 자바스크립 동영상 플레이어 2 (네이버 발췌) [4] | 이진수 | 2007.03.28 |
| 간단한 검색 창입니다. [3] | sunholic | 2007.03.31 |
| 웬 소리가????(하이퍼링크 효과음) [7] | 김민환 | 2007.04.08 |
| 스크립트 객체로 AJAX 구현하기 [12] | nextini | 2007.08.20 |
| 링크 클릭시 점선 → 링크, 이미지, form 태그 동시 적용 [2] | 펠릭스 | 2007.11.28 |
| 배열 활용하기(초급) | 예뜨락 | 2007.12.03 |
| 프린트소스 인데요.. [1] | 이영훈346 | 2007.12.12 |
간단한 Ajax 메모
[1]
 | 엔시™ | 2007.12.31 |
|
주민등록번호로 성별/나이/연령대 구분
[4]
| 강병기 | 2008.01.09 |
|
Javascript 달력 - 거트 캘린더
[4]
| 강세임 | 2008.01.10 |
| 자신의 홈피에 날씨를 달아보자. [2] | Rising.kr | 2008.01.21 |
| 자신의 홈피에 통합 검색 순위 (검색어, 음악, 영화, 도서)를 달아보자. [1] | Rising.kr | 2008.01.21 |
| 자신의 홈페이지에 (검색,사전,로또,주식) 통합버전을 넣어보자. [3] | Rising.kr | 2008.01.21 |
| 동적 테이블 (행추가, 특정행 삭제) | Juny. | 2008.02.20 |
| 동적 INPUT | june44.myid.net/ | 2008.03.31 |
| 프레임홈일때 부분프레임 무단링크 방지하기 [3] | gosoo99 | 2008.04.08 |
| 웹페이지에 마우스 따라다니는 예쁜 시계를 넣자 [5] | gosoo99 | 2008.04.08 |