javascript 암호화가 뚫린다는것은 당연하지요. 그걸 가지고 굳이 기사를 쓸 정도인가 하는 생각이 드네요.

일단 javascript는 별도로 브라우저에서 인증을 하지 못하기 때문에 Main in the Middle Attack에는 취약할 수 밖에 없습니다. 거기에다가 클라이언트에서 Firebug 따위로  조작하면 자바스크립트 따위는 당연히 무력화 되고요. 인증을 위해 별도의 조치를 취하려면 SSL밖에 방법이 없는데, 만약 SSL을 걸어두었다면 굳이 이중으로 Javascript 암호화를 할 필요가 없을것 같네요.

매우 안전하게 하려면, 웹사이트 전체에 SSL을 걸어두고(EV-SSL이면 좋겠지요.), SSL이 아니면 사이트 전체 접속불가, 그리고 사용자가 SSL 이 적용되었는지 수시로 확인하는 방법 밖에는 없을것 같습니다. 이렇게 까지 하지 않는다면 SSL strip에 당 할 수 밖에 없을것 같네요.

창과 방패네요.. 뚫고 뚤리고;

"웹사이트 로그인 과정에서 자바스크립트(JavaScript)를 이용해 계정정보를 암호화하는 기술을 무력화시킬 수 있는 취약점이 발견됐다." xe는 자체적으로 해당 기능을 제공하지 않는거 아닌가요?

그런데 사용자가 임의로 수정해서 암호화되지 않은 평문을 보낸거지, 해커가 외부에서 암호화된 문자열을 볼 수 있는게 아니잖아요? (아니면 JS파일을 통신중에 살짝 빼돌려(?)야할텐데.... 'ㅁ' 이건 SSL이여도 문제가 되는 부분들이거/..)

글은 그럴듯하게 써뒀지만, 서버단에서는 암호화되지 않은 평문은 받지 않으면 되는게 아닌가 싶네요.

참고하시기 바랍니다.

http://www.snoopspy.com/board_kr/3477

뭐... 위의 영상대로라면 거진 안전한 사이트는 찾기 힘들겠네요. 엄... 하지만 어쨌든 우리가 할 수 있는대로 최대한 보안설정은 해놓는게 좋을것 같습니다. SSL 사용(사정상 사용할 수 없는 경우가 있습니다만 ㅠ)이나 자바 스크립트로 암호화 하는 기법, 불량 아이피 차단과 같은 것등으로 최대한 노력은 해야할것 같습니다.