웹마스터 팁
[My생각] 쿠키와 보안에 대한 재미있는 생각!!
2002.11.18 01:43
http://wp.netscape.com/newsref/std/cookie_spec.htmlhttp://www.kmle.co.krMy생각: [PHP]쿠키와 보안에 대한 재미있는 생각!!
날짜: 11월 18일
by: 박용구
Netscape의 쿠키에 대한 설명서(http://wp.netscape.com/newsref/std/cookie_spec.html)를 보면
쿠키를 설정할때 Set-Cookie: NAME=VALUE; expires=DATE;
path=PATH; domain=DOMAIN_NAME; secure
형태로 하는데
DOMAIN_NAME과 관련 Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT".
이라고 나와 있습니다. 그 뜻은 위에 나와 있는 도메인 확장자는 점 두개가 포함되어 있어야된다는 것입니다. 예) .digirave.net 은 되지만 .net은 당연히 안된다는 것입니다.(.co.kr 같은 도메인은 점 3 개 이상 필요합니다)
잘 생각해보면 만약 어떤 호스팅 또는 포워딩 업체가 ("COM", "EDU", "NET", "ORG", "GOV", "MIL", "INT")를 사용하고 있다면, 예를 들어 .myhome.com 을 사용하고 있다면 만약 어떤 a.myhome.com 이라는 사이트가 password 이라는 쿠키를 "123456"이라는 값으로 설정한다면 b.myhome.com 으로 해당하는 쿠키를 가진 사용자가 방문을 해서 password 이라는 변수를 get 또는 post 방식으로 폼을 통해 $password으로 사용한다면 사용자가 폼에 "mypassword"이라고 입력해도 대부분의 php 설정이 cookie가 get, post 보다 우선 순위를 가지기 때문에 결국 $password이 "123456"으로 설정될 것입니다.
적용대상: 호스팅 또는 포워딩 업체가 이차 도메인 형태로 서비스를 제공하는 곳(여러분의사이트.호스팅업체.com 또는 여러분의사이트.호스팅업체.co.kr)
가정: 대부분의 호스팅 업체와 같이 php register_globals = on으로 되어 있어야 하고 cookie가 post,get에 대한 우선순위를 가져야합니다(이것은 php 기본 설정임).
해결책: $_POST, $_GET을 사용하거나 register_globals를 php.ini에서 off로 설정하거나 그에 따른 기존 스크립트에 문제가 너무 많다면
.htaccess를 통해
php_flag register_globals off
로 register_globals를 off로 하면됩니다.
날짜: 11월 18일
by: 박용구
Netscape의 쿠키에 대한 설명서(http://wp.netscape.com/newsref/std/cookie_spec.html)를 보면
쿠키를 설정할때 Set-Cookie: NAME=VALUE; expires=DATE;
path=PATH; domain=DOMAIN_NAME; secure
형태로 하는데
DOMAIN_NAME과 관련 Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT".
이라고 나와 있습니다. 그 뜻은 위에 나와 있는 도메인 확장자는 점 두개가 포함되어 있어야된다는 것입니다. 예) .digirave.net 은 되지만 .net은 당연히 안된다는 것입니다.(.co.kr 같은 도메인은 점 3 개 이상 필요합니다)
잘 생각해보면 만약 어떤 호스팅 또는 포워딩 업체가 ("COM", "EDU", "NET", "ORG", "GOV", "MIL", "INT")를 사용하고 있다면, 예를 들어 .myhome.com 을 사용하고 있다면 만약 어떤 a.myhome.com 이라는 사이트가 password 이라는 쿠키를 "123456"이라는 값으로 설정한다면 b.myhome.com 으로 해당하는 쿠키를 가진 사용자가 방문을 해서 password 이라는 변수를 get 또는 post 방식으로 폼을 통해 $password으로 사용한다면 사용자가 폼에 "mypassword"이라고 입력해도 대부분의 php 설정이 cookie가 get, post 보다 우선 순위를 가지기 때문에 결국 $password이 "123456"으로 설정될 것입니다.
적용대상: 호스팅 또는 포워딩 업체가 이차 도메인 형태로 서비스를 제공하는 곳(여러분의사이트.호스팅업체.com 또는 여러분의사이트.호스팅업체.co.kr)
가정: 대부분의 호스팅 업체와 같이 php register_globals = on으로 되어 있어야 하고 cookie가 post,get에 대한 우선순위를 가져야합니다(이것은 php 기본 설정임).
해결책: $_POST, $_GET을 사용하거나 register_globals를 php.ini에서 off로 설정하거나 그에 따른 기존 스크립트에 문제가 너무 많다면
.htaccess를 통해
php_flag register_globals off
로 register_globals를 off로 하면됩니다.
| 제목 | 글쓴이 | 날짜 |
|---|---|---|
| 왕초보용 개판 오분전 황당 쿠키(3) [2] | 미친개 | 2002.12.09 |
| 왕초보용 개판 오분전 황당 쿠키(2) [6] | 미친개 | 2002.12.09 |
| 왕초보용 개판 오분전 황당 쿠키(1) [4] | 미친개 | 2002.12.09 |
| PHP 각종 오류 정리 [15] | TheMics | 2002.12.04 |
| MYSQL CLASS | 위선OSE | 2002.12.03 |
| 파일처리 - fseek [3] | 위선OSE | 2002.12.03 |
| 제로카운터 접속자 수 조정, 최고 간편한 팁(5초 소요, DB보존) [4] | 고광욱 | 2002.12.01 |
카드 결재시 사용되는 자바스크립트와 html
[3]
 | 한꼬마 | 2002.11.28 |
| 카드 결재 개요 (텔렉) [2] | 한꼬마 | 2002.11.26 |
| 휴대폰 결재 활용 (최종) | 한꼬마 | 2002.11.26 |
|
휴대폰 결재 설치 및 테스터
[3]
| 한꼬마 | 2002.11.24 |
| 휴대폰 결재 설치 1 (다날 휴대폰 결재) | 한꼬마 | 2002.11.24 |
|
모닝샵 이용해서 쇼핑몰 만들기 (화면 꾸미기 1)
[4]
| 한꼬마 | 2002.11.24 |
|
모닝샵 이용해서 쇼핑몰 만들기 (상품 목록)
| 한꼬마 | 2002.11.22 |
|
모닝샵 이용해서 쇼핑몰 만들기 (웹페이지 만들기1)
[8]
| 한꼬마 | 2002.11.22 |
|
모닝샵 이용해서 쇼핑몰 만들기 (제품 관리)
[4]
| 한꼬마 | 2002.11.21 |
|
모닝샵을 이용하여 쇼핑몰 만들기 (카테고리)
[1]
| 한꼬마 | 2002.11.21 |
|
모닝샵 이용해서 쇼핑몰 만들기 (설치에서 쇼핑몰 환경 설정)
[7]
| 한꼬마 | 2002.11.20 |
| 모닝샵 이용해서 쇼핑몰 만들기 (서론) [5] | 한꼬마 | 2002.11.19 |
| [My생각] 쿠키와 보안에 대한 재미있는 생각!! [1] | 박용구 | 2002.11.18 |