퉁탕퉁탕 만들어보자

기본인증은 SSL과 함께 쓰이지 않으면 보안적 결함이 있기 때문에, 다이제스트 인증은 기본인증과 호환되는 보다 안전한 대체재로 개발되었다. 하지만 컨텐츠에 대한 보안 측면에서는 어떠한 보호도 제공할 수 없기 때문에 널리 쓰이지는 않는다. 진정한 보안 트랜잭션은 오직 SSL을 통해서만 가능하다. 다만 개념 자체는 보안 트랜잭션을 구현하고자 하는 경우 유용하다. 비밀번호를 안전하게 지키기 위해서 요약 사용하기 digest인증의 핵심은 "절대로 비밀번호를 네트워크를 통해 보내지 않는다" 이다. 비밀번호를 보내는 대신, 비밀번호를 비가역적으로 뒤섞은 fingerprint, 혹은 digest(요약)을 보낸다. 클라이언트와 서버는 서로 비밀번호를 알고 있으므로, 서버는 클라이언트가 보낸 비밀번호의 digest가 비..

HTTP 의 인증 Request/Response framework HTTP는 필요에 따라 사용할 수 있는 제어헤더를 통해 인증 프로토콜에 맞춰 확장이 가능한 framework 를 제공한다. HTTP에는 기본인증/다이제스트 인증이라는 두가지 공식적 인증 프로토콜이 있다. 네가지 인증단계는 다음과 같다. 단계 헤더 설명 method/상태 예 요청 첫번째 요청에는 인증 정보 없음 GET GET /family/jeff.jpg HTTP/1.0 인증요구 WWW-Authenticate 서버는 사용자에게 사용자이름/비밀번호를 제공하라는 지시의 의미로 401 상태코드와 함께 요청을 반려. WWW-Authenticate 헤더에 비밀번호가 있는 영역을 설명 401 Unauthorized HTTP/1.0 401 Authori..

Cookie 란? (너를 위해 구웠지) 작은 key-value 쌍으로 이루어진 데이터다. 사용자 식별을 위해 매우 널리 사용되는 방식이나, 단독으로 사용하기 보다는 여러 다양한 기술을 함께 사용한다. 쿠키의 종류 쿠키는 크게 세션쿠키/지속쿠키 두가지로 나뉜다. (차이점은 오직 파기되는 시점) 세션쿠키: 브라우저를 닫으면 삭제됨. 사이트 탐색시의 설정/선호등을 임시저장 지속쿠키: 디스크에 저장하여 브라우저를 닫거나 컴터 재시작에도 삭제되지 않음. 설정정보나 로그인이름을 유지 쿠키에는 Discard 파라미터가 설정되어 있거나, Expires 혹은 Max-Age 파라미터가 없으면 세션쿠키가 된다. 동작 방식 쿠키는 key-value 형태의 리스트를 갖고, 그 데이터를 Set-Cookie 혹은 Set-Cooki..

HTTP 통신은 익명이며 상태가 없다. 연결 자체에 대한 정보가 없으며 매 요청은 독립적이다. 그러나 웹사이트에서는 개인화된 서비스를 제공하고자 하는 니즈가 있다. * 쇼핑 사이트 등에서 개인화된 정보 제공- 맞춤 추천 * 사용자 정보 저장 (신용카드, 주소 등) * 세션추적 (장바구니) 다음에서 HTTP에서 사용자를 식별하는 데 사용하는 기술을 정리한다. HTTP 헤더 사용자에 대한 정보를 헤더에 담아서 보낸다. 사용자에 대한 정보를 전달하는 헤더에는 다음과 같은 것들이 있다. From: 사용자 이메일 이상적으로는 사용자의 이메일 정보는 각각 다르므로 개인을 식별가능하다. 다만 악의적인 서버가 남의 이메일 주소를 모두 습득하여 스팸을 발송하는 케이스가 많아서 실제 brower에서 from 헤더를 보내는..