포럼
XE JS 쌍방향 웹페이지 암호화를 만들어 보았어요...
2014.05.27 01:03
기존에 JSecure_XE 만들면서 클라이언트→서버 단방향 암호화는 만들었는데, 서버→클라이언트 양방향은 실패했어요.
이번에 학교 과제 겸 재미삼아(?) 만들어 보았는데, 어찌 하다보니 만들었네요....
http://test.xe.prototype-z.com/xe/
login ID : test@test.com pw:123456
사이트 들어가셔서 소스보기 하시면 됩니다. HTML코드 + 일부 Form 전송(로그인, 회원가입)을 싹다 숨겨줍니다.
단점은 AJAX 암호화는 아직 안된다는것.
나중에 여유있을때 깔끔하게 정리 + 배포해 볼게요. ㅎ
- [2016/10/17] 묻고답하기 https 관련 질문입니다 ㅠㅠ *1
- [2016/04/13] 웹마스터 팁 IIS에서 HTTPS를 사용하기 위한 SSL설정 (letsencrypt 인증서 설치, 갱신)
- [2016/03/18] 묻고답하기 SSL 테스트, B등급에서 더 올릴 수 있나요? *2
- [2016/01/30] 포럼 PHP 소스코드 암호화 *7
- [2016/01/07] 묻고답하기 ssl 항상사용 후 접근이 안되고 있습니다.. *5
댓글 10
-
혼마_메이코
2014.05.27 01:06
-
teguh100
2014.05.27 01:58
-
Paul
2014.05.27 08:54
손꼽아 기다리고 있겠습니다. AJKJ 님께서 이렇게 여러모로 XE 보안에 신경 써주셔서 감사하게 생각하고 있습니다! -
Bryan!
2014.05.28 05:10
정말 기대됩니다. 어떤 아웃풋이 나올지 너무 궁금한데요... -
사랑해요XE
2014.08.24 15:49
배포를 간절히 기다리고 있습니다/!
-
AJKJ
2014.08.24 16:35
이쁘게 배포하려고 했는데, 여러가지 실사용에는 문제가 있어서 이쁘게 배포하기는 힘든것 같습니다.
나중에 저장해둔 RAW한 소스코드는 적절한곳에 던져두려고 합니다.
-
사랑해요XE
2014.08.24 19:49
ㅠㅠ
-
몇 달 전에 잠깐 작업하다가 그만두신 줄 알았는데, 아직도 작업을 하고 계셨군요! ^^
그런데 개발하시다가 시간을 조금만 내셔서 이런 방식의 암호화는 어떻냐고 KISA에 한번 문의해 보시면 좋겠습니다. 요즘 개인정보 관련 문의는 아주 친절하게 대답을 해주는 분위기라서 부담갖지 않으셔도 돼요.
제가 알기로 JS를 이용한 암호화 방식의 단점은 중간자 공격에 대한 방어능력이 SSL에 비해 약하다는 건데, 중간자 공격에 대비하지 않는다면 애초에 암호화가 왜 필요한 건지 의문이 들 수 있거든요. 이거 잘못했다가는 벌금 나올 수도 있는 문제이므로 KISA에서 확실한 답을 얻어두는 것이 안전하겠다고 생각합니다. 나중에 누가 뭐라고 하면 KISA에서 답변 받은거 들이대야죠.
-
AJKJ
2014.08.24 22:06
KISA에 한번 물어보기나 해 봐야 겠어요. 나중에 답변오면 내용 알려드릴게요.
다만 은행권에서 SSL 없이 액티브X떡칠해 놓고, KISA 보안 가이드라인에서 더러운 방법을 적어 놓는것을 보면 https://guide.kisa.or.kr/sample/sample05.jsp#samTab02 JS암호화도 문제없지 않을까 하는 생각합니다.
JS암호화는, 액티브 X 랑 비교하면 거기서 그게 그거라고 생각합니다. SSL과 비교하면 SSL이 더 좋긴한데, 부분적(로그인)으로 SSL을 쓸거면 매우 큰 차이는 없을것 같습니다.
-
네, 맞아요. XE 공홈처럼 로그인에만 SSL을 걸어놓는 경우는 sslstrip으로 얼마든지 공격이 가능하기 때문에 JS 암호화보다 전혀 나을 게 없긴 합니다. GitHub 같은 해외 사이트들은 Strict-Transport-Security까지 속속 적용하고 있는데, 여긴 아직 멀었음 ㅠㅠ
+_+ 기대하겠습니다.