묻고답하기
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
클라우드 플레어 SSL 설정 후 로그인시 패스워드 노출
2015.09.09 07:49
Httpwhach라는 프로그램으로 Postdata부분을 확인해보니
로그인을 하면 아이디/패스워드가 암호화되지 않고 그대로 노출이 되는데 정상인지 궁금합니다.
원래, 프로그램으로 확인할때 POSTDATA에서 본인만 보이는것인지,
클라우드플레어 SSL방식중 Flexible라서 그런것인지,
궁금합니다
Httpwatch는 브라우저 플러그인으로, 암호화 전 내용을 보여주기에 아이디와 비밀번호가 그대로 보이는 것이 정상입니다.(비슷한 이유로 개발자 도구에서도 암호화되지 않은 내용이 보여집니다)
단, 네이버나 다음등 일부 사이트는 아이디나 비밀번호를 자체적으로 암호화해서 HTTPS로 전송합니다. 따라서 이런 사이트들은 아이디와 비밀번호가 보이지 않을 수 있습니다.
이미 비슷한 질문이 포럼에 있었습니다. https://www.xpressengine.com/forum/22899079 댓글 참고해주세요.
p.s.)Flexible SSL을 사용하신다면 클라우드플레어 서버와 사이트 서버간 암호화가 이루어지지 않습니다. 따라서, Flexible SSL은 완전한 SSL이 아닙니다. 조금 과격하게 표현하시는 분들은 이런 SSL을 "가짜 SSL"이라 부르기도 합니다.
자체 서명 인증서라도 설치하셔서 Full로 올리시는것을 권장드립니다.(Strict가 아닌 이상 서버측 인증서가 신뢰된 발급자가 발급한 것인지 검증을 하지 않습니다)