♥️7분 빠른 소식 전달해 드립니다♥️

웹 애플리케이션에 인증하면 개인화된 브라우징을 하게 되고, 한편 세션 관리 시스템은 모든 요청과 응답내용을 추적하고 관리하여 쇼핑이나 지불 결제와 같은 다단계 행위를 할 수 있도록 돕습니다. 말하자면 같은 냄비 안에 든 두가지 콩이라고 할만합니다. 애초에 HTTP 프로토콜은 이전 상태를 추적하지 않는 프로토콜로 만들어졌기 때문에 인증이나 세션 관리 모두 고려되지 않았습니다. 하지만 인터넷이 무르익어가면서 이 두 가지 특성이 더 많이 이용됨에 따라 상황은 더욱 복잡해 졌습니다. 불행히도 인증과 세션 관리는 많은 웹 애플리케이션을 취약하게 만든 셈입니다. 그 각각을 공격하는 도구와 기술은 조금 다르지만 서로 밀접합니다. 경로 횡단 공격은 웹 서버의 디렉토리 구조에 접근할 권한이 있을 때 발생하게 됩니다. 이..

12bme 2017.06.18 23:19 개인정보 수집, 이용 등에 대한 규제 개인정보란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말하며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼수 있는 것을 포함합니다. 또다는 정의로는 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼수 있는 부호, 문자, 음성, 음향 및 영상에 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함)를 의미합니다. 비식별화된 개인정보 비식별화된 개인정보는 개인정보일까요? 개인정보가 아니라면 더 이상 '개인정보'로서 별도의 법적 ..

12bme 2017.06.19 12:59 비식별화 개념 비식별화, 비식별 조치, 익명화는 프라이버시 보호와 함께 데이터를 활용할 때, 관계형 모델을 따르는 마이크로 데이터의 일회성 변환/배포에 해당되는 개념입니다. 식별자(Identifiers) 개인을 식별할 수 있는 속성들(1:1 대응이 가능한 모든 정보)을 말합니다. 주민번호, 전화번호, 이메일, 이름, 계좌번호, MRI 사진, 유전자 정보 등이 있으며, 암호화된 값도 식별자로 분류됩니다. 비식별 조치시 무조건 "삭제" 되어야 합니다. 준식별자(QI: Quasi-Identifiers) 자체로는 식별자가 아니지만, 다른 데이터와 결합을 통해 특정 개인을 간접적으로 추론하는데 사용될수 있는 속성들(거주 도시명, 몸무게, 혈액형 등)을 말합니다. 비식별화 ..

12bme 2017.07.08 11:09 Java는 오래전부터 자체적인 보안 관련 기능을 제공하고 있습니다. 보안 관련 기능 중에서 JCA(Java Cryptography Architecture)는 가장 핵심이라고 할 수 있습니다. JCA는 프로바이더 구조를 사용하면서 보안과 관련한 다양한 API를 제공합니다. JCA는 매우 다양한 기능을 제공하는데, 전자서명(Digital Signature), 메시지 다이제스트(MessageDigest, hashs), 인증서와 인증서 유효성 검사(Certificate Validation), 키 생성 및 관리 그리고 보안 랜덤 수(Secure Random Number) 생성 등 현대 정보 통신 암호 기술 중에서 필수적인 것은 모두 제공한다고 할 수 있습니다. JCA를 이..

12bme 2017.07.21 01:34 인증 (Authentication) Basic Auth를 사용하지 말고 표준 인증 방식을 사용하세요 (예로, JWT, OAuth 등) 인증, 토큰 생성, 패스워드 저장은 직접 개발하지 말고 표준을 사용하세요. JWT (JSON Web Token) - 무작위 대입 공격을 어렵게 하기 위해 랜덤하고 복잡한 키값 (JWT Secret)을 사용하세요. - 요청 페이로드에서 알고리즘을 가져오지 마세요. 알고리즘은 백엔드에서 강제로 적용하세요. (HS256 혹은 RS256) - 토큰 만료기간(TTL, RTTL)은 되도록 짧게 설정하세요. - JWT 페이로드는 디코딩이 쉽기 때문에 민감한 데이터는 저장하지 마세요. OAuth - 허용된 URL만 받기 위해서는 서버단에서 red..

연승 파이터였던 아스크렌 충격의 2초 ko패 경기 종료 30분 후 바로 인터뷰 아리엘 헬와니 : 바로 이렇게 인터뷰에 응답해줘서 고맙다. 아스크렌 : 하고 싶은 말이 있다. 여러 부모들은 아이들이 실패를 겪는 걸 두려워한다 (아스크렌은 고등, 대학부 레슬링 코치를 겸업하고 있습니다), 특히 어린 스포츠인들이 패배를 겪는 걸 보호하려 든다 하지만 나는 내 아이들이 오히려 이를 겪기를 원한다. 왜냐면 그게 그 사람의 특성을 만들어 주는 것이기 때문이다. 그리고 내가 지금 그 실패를 겪고 있지 않은가, 싫기는 하지만 말이다. 하지만 이런 게 너 자신을 만들어 주는 것이고 이런 걸 경험하는 게 굉장히 중요하다고 본다. 동료 파이터의 변호에도.. 헤더 하디 : MMA는 어려운 스포츠이다. 선수들이 졌을 때 조롱하..

함께 일하는 여성 스태프들을 성폭행·추행한 혐의로 경찰 수사를 받는 배우 강지환(42·본명 조태규)의 구속 여부가 이르면 12일 결정된다고 합니다. 강지환은 이날 오전 11시로 예정된 영장실질심사에 출석하기 위해 오전 10시쯤 수감돼 있던 경기 분당경찰서 유치장을 나와 경찰서 현관에 모습을 나타냈습니다. 강지환의 범행은 피해 여성 중 한 명이 현장을 목격하면서 드러났다. 경찰에 따르면 강지환은 피해 여성들이 자는 방에 들어와서 A씨를 성폭행했다. 이 모습을 A씨 옆에서 잠을 자던 B씨가 목격했다. 놀란 B씨가 소리를 지르자 강지환은 범행을 중단하고 곧장 밖으로 나갔다. B씨는 자신의 옷매무새가 심하게 흐트러져 있자 본인도 피해를 봤다고 판단해 바로 방문을 걸어 잠갔다고 합니다. 경찰 관계자는 “강지환은 ..

아파치 웹 서버와의 연동 톰캣은 HTTP 서버 기능을 내장하고 있고 자바 NIO를 사용하는 커넥터를 구현하는 등 전보다 많은 성능 향상이 이루어졌지만 톰캣 단독으로 사용하기보다는 아파치 웹서버 등 별도의 웹서버와 연계해서 사용하는 경우가 많습니다. 이렇게 사용하는 데는 여러가지 이유가 있지만 주되 이유는 다음과 같습니다. 정적 콘텐츠 서비스 효율이 뛰어남 웹서버가 이미지 파일이나 동영상 등 정적 콘텐츠를 제공하는 데 더 성능이 뛰어난 것으로 알려져 있습니다. 주의할 점은 특정상황(톰캣에 APR native와 sendFile 사용)에서는 톰캣이 정적 콘텐츠 처리도 더 빠른 경우도 있으므로 Apache Benchmark나 jMeter 등의 성능 측정 도구로 직접 서비스 사이트를 측정할 필요가 있습니다. 유연..