포럼
SSL 사용하지 않고 보안 서버 구축하는 방법!
2014.04.03 19:07
...라고 제목을 정했지만 이게 그에 관한 완벽한 강좌를 담고 있는 글이라면 아마 팁에 게시판에 있을 겁니다.
본 스레드는 SSL을 사용하지 않고 보안 서버를 구축할 수 있는 방법에 관해 논의하는 스레드입니다.
1. Active X 또는 플러그인을 사용한 보안 통신
사실 액티브 X는 요즘 사용하지 않는 추세니까 거의 논외로 보고...
나머지는 플러그인 방식입니다. 요즘 플러그인 방식을 사용하는 걸 자주 봤는데요.
우선 장점으로는 현존 모든 브라우저를 다 지원하고 간편하게 개발이 가능하다는 점입니다.
회원 컴퓨터에서는 한 번만 플러그인을 설치하면 되니까 불편한 점도 없고요.
생각해본 구현 원리는 이러합니다.
개인 정보를 포함하는 페이지인 경우 전송 버튼 클릭(POST) 시에 커스텀 프로토콜 핸들링 기법으로 플러그인을 호출,
값을 전달하면 프로그램이 암호화하여 서버에 전송하면 서버가 해당 암호화 문자열을 디코드 하는 방식입니다.
장점으로는 개발자의 능력에 따라 다른 방법보다 보다 견고하고 강력한 통신을 가능하게 할 수 있습니다.
2. Javascript 또는 Flash 를 사용한 보안 통신
역시 1 번과 비슷한 방법으로 자바스크립트 또는 플래시에서 문자열을
" 암호화 -> 서버에 전달하면 서버에서 디코드 " 하는 방식으로 구현하면됩니다.
다만 Javascript 의 경우 매우 쉽게 암호 코드가 노출되므로
세션으로 일회용 토큰을 발급해서 체크하는 작업이 필요할것 같습니다.
장점으로는 별도의 프로그램 설치가 필요없습니다.
SSL 을 사용하지 않고 보다 더 쉽고 좋은 암호화 통신 방법 있으면 공유 부탁드립니다~
- [2018/07/12] 묻고답하기 보안서버 설치를 완료했는데도, "정보 또는 안전하지 않음"으로 나오는 이유가 궁금합니다. *1
- [2016/10/17] 묻고답하기 https 관련 질문입니다 ㅠㅠ *1
- [2016/04/13] 웹마스터 팁 IIS에서 HTTPS를 사용하기 위한 SSL설정 (letsencrypt 인증서 설치, 갱신)
- [2016/03/18] 묻고답하기 SSL 테스트, B등급에서 더 올릴 수 있나요? *2
- [2016/02/16] 웹마스터 팁 OpenSSL 웹에 직접 구축하기 *2
댓글 15
-
StyleRoot
2014.04.03 19:12
네 그렇죠. ㅎㅎ
엑티브엑스나... 자바나... 에어나... 그러한 것들을 사용하는 방법입니다.
-
또별
2014.04.04 21:49
혹시, 제가 잘몰라서 그런데요..리눅스 + php 환경에서 자바로 할수 있나요?
-
StyleRoot
2014.04.03 19:13
궁극적으로는 이런걸 애드온화 시켜서 애드온 설치 하나로
SSL 설치가 불필요해지면 참 좋을것 같지만 매우 어려운 일이겠지요...
-
뭐 애드온 동작 원리상 불가능하진 않겠지만 ㅡ
RSA 키를 교환하는 쪽이 모듈이 필요해 보이네요.
-
KrteamENT
2014.04.03 20:01
음.. SSL을 등록하고나면 다른 PC에서 요상하게 무슨 변조될 가능성이 있는 사이트라나 위험한 사이트라나 ㅡ,ㅡ
여튼 그래서 못하고 있습죠
-
자바는 브라우저에서 차던해버리는 경우도 있으니... 파이어폭스는 기본설정이 차단이더군요...
-
W.O
2014.04.03 20:36
http://www.ilbe.com/
2번방법을 사용하는 대표적인 사이트죠...
-
루팡쿠팡
2014.04.04 12:51
의뢰한다면 얼마정도 드려나요?
저 방식이..
-
qwms
2014.04.04 13:49
http://bito.kr/
이곳의 '보안' 도 2번형식 인가요?
-
스크립트를 쓰긴 하지만 HTTPS 인증서 방식입니다.
(폼 submit시 보안 접속이 체크된 경우 submit되는 주소를 https://로 바꾸는 방법)
//액션 if ( f.SSL_Login.checked ) { //보안접속 체크 판별 //보안접속을 체크했을 때의 액션 f.action = document.URL.replace("http://","https://"); window.setTimeout('ChangeAutoSubmit()',2000); } else { //보안접속을 체크하지 않았을 때의 액션 f.action = "index.php"; } -
루팡쿠팡
2014.04.04 19:51
2번 어떻게 하는지 무지 궁금하네요........
제작의뢰한다면 얼마정도 나올까요?
-
http://daol.yjsoft.pe.kr/phpliteadmin.php 브라우저에서 비밀번호 입력창을 sha256으로 암호화해서 전송하도록 수정해 본 것입니다. 다만 자바스크립트 미지원 브라우저에선 사용이 불가능하겠죠
-
루팡쿠팡
2014.04.04 20:10
자바스크립트를 미지원하는 브라우저도 있나요?
ps. 만일 이 방식으로 애드온을 만들어 판매하면 얼마정도 할까요? 필히 구입하고 싶습니다만..ㅠㅠ
-
misol
2014.04.04 23:54
자바스크립트로 단방향 해시 구하기는 여기 들어가보세요. 도움이 되실듯..
https://code.google.com/p/crypto-js/
ActiveX는 실제 다나와 계열 소규모 판매 사이트에서 사용하는 방법이기도 합니다.
아니면 Java를 이용해도 될 것 같네요.