안녕하세요.
현재 하나의 사이트를 개발하고 있는도중 비밀번호 암호화 문제 및 전송부분에서
의문점이 들어 이렇게 질문글을 올립니다.
현재 이렇게 개발을 진행하고 있습니다.
회원가입페이지 -> SSL연결 -> 값받음 -> 암호화 -> DB 저장순서인데
어떤분이 소스를 보시고는 이렇게 개발하면 다뚫린다고
암호화를 한다음에 보내라고 하시는군요..
근데 제생각은 SSL 을 통한 연결인지라 이미 전송되는 부분에선 암호화가 되었을것이고
받은부분에서 암호화를 진행후 DB에 입력하여도 상관이 없다고 생각하기 때문입니다.
제가 생각한대로 개발을 진행하면 안전하지 않은 방법인가요?
¼¹ö°¡ ÇØÅ·µÉ¸® ¸¸¹«ÇÏ´Ù¸é ±»ÀÌ ¾ÏÈ£È Çؼ DB ÀúÀåÇÒ ÇÊ¿äµµ ¾ø°ÚÁÒ.
¿ä»õ ±¸±Û¿¡ ÀÚ¹Ù½ºÅ©¸³Æ® ¾ÏÈ£È ¶ó°í ÇÏ¸é ¼¹ö¿¡¼ °ø°³Å°¸¦ ¹Þ¾Æ ÀÚ¹Ù½ºÅ©¸³Æ® ¾ÏÈ£ÈÇÏ¿© Àü¼ÛÇÏ´Â ¿¹Á¦°¡ ÀÖ½À´Ï´Ù.
±×°É Âü°íÇØ º¸¼¼¿ä
´Ü ºñ¹Ð¹øÈ£ ¾ÏÈ£È ¹æ½ÄÀº
´Ü¹æÇâ ÀÌ¸é µË´Ï´Ù.
SSL ·Î ¿¬°áµÇ¾ú´Ù¸é ±× Áß°£¿¡ ÆÐŶÀ» ÈÉÃļ ±îº¸´Â ÇØÅ·¿¡´Â °ÇÏÁö¸¸ ¿¬°áµÈ ¼¹ö´Ü¿¡¼ ±× ³»¿ëÀ» º¹È£È Çϱ⿡ ¼¹ö´Ü¿¡¼ ÇØÅ·À» ÇÏ¸é µµ·ç¹¬ÀÌÁÒ.
¸¸¾à¿¡ ¼¹ö °ü¸®ÀÚ°¡ ¾ÇÀÇÀûÀ¸·Î ¼Ò½ºÄÚµå»ó¿¡ db ¾ÏÈ£È ÀÌÀü¿¡ µ¥ÀÌÅ͸¦ º¹»çÇعö¸®¸é ¾î¶»°Ô µÇ³ª¿ä?
Áï ¸ðµç »ç¿ëÀÚÀÇ ¼û°Ü¾ßÇÒ ÀÔ·Â Á¤º¸°¡ ³» PC¸¦ ¶°³ ÈÄ¿¡´Â ÇÑ ¼ø°£ÀÌ¶óµµ Æò¹®À¸·Î Á¸ÀçÇؼ± ¾ÈµÇÁÒ.
ÀϹÝÀûÀÎ ·Î±×ÀΠȸ¿ø°¡ÀÔ¶© ¼¼¹ö submit½Ã¿£ º°µµ ¾ÏȣȾø½À´Ï´Ù.
À̹«»çÀÌÆ®³ª ȸ¿ø°¡ÀÔÇÒ¶§ F12 °³¹ßÀÚ¸ðµå ³×Æ®¿öÅ©¿¡¼ ÇØ´ç url. ĸÃÄÇؼ requestÁ¤º¸º¸½Ã¸é ¾Æ½Ç°Í°°½À´Ï´Ù.
±×·¸´Ù¸é ±»ÀÌ DB ¿¡ ³Ö±âÀü¿¡ ¼¹ö¿¡¼ ´Ù½Ã ¾ÏÈ£È ÇÒ ÇÊ¿ä°¡ ÀÖÀ»±î¿ä?
¼¹öÀÇ ±ÇÇÑÀ» Å»Ãë´çÇÒ Á¤µµ¶ó¸é ´Ù¸¥ ¾î¶² ¹æ¹ýÀ¸·Îµç Á¤º¸¸¦ Å»ÃëÇÒ ¼ö ÀÖÀ¸´Ï ¹«ÀǹÌÇÏÁÒ..
¾îÂ÷ÇÇ DB¿¡ ÀúÀåµÇ´Â µ¥ÀÌÅ͵µ plain text + salt¸¦ Çؽ÷Π¹Ù²Û °ÍÀÔ´Ï´Ù.
ÀÌ ¸»¾¸ÀÌ Å¬¶óÀ̾ðÆ® PC¿¡¼ Çؽø¦ ÇÑ´Ù´Â ¸»¾¸ÀÌÁÒ?
ÀÌ¹Ì Çؽà ¾ÏÈ£È µÈ µ¥ÀÌÅÍ°¡ SSL ·Î Àü¼ÛµÇ´Â °ÍÀÌ´Ï±î ¾ÈÀüÇÑ °ÍÀÌ°í ¼¹öÃø¿¡¼ º°µµ·Î ¾ÏÈ£ÈÇÒ ÇÊ¿ä¾ø´Ù´Â °Å ¾Æ´Ñ°¡ ½Í¾î¼ ÀÔ´Ï´Ù.
±×°Ô ¾Æ´Ï¶ó¸é ¼¹ö ±ÇÇÑÀÌ Å»ÃëµÇÁö ¾Ê¾Æµµ ºñ¾ç½ÉÀûÀÎ ¼¹ö °ü¸®ÀÚ°¡ »ç¿ëÀÚÀÇ ¾ÏÈ£ ¿ø¹®À» °í½º¶õÈ÷ °¡Á®°¥ ¼ö ÀÖÀ¸´Ï±î¿ä.
±× ¾ê±â ¿´½À´Ï´Ù.
ȸ¿ø °¡ÀÔÆäÀÌÁö -> ¾ÏÈ£È -> SSL -> °ª¹ÞÀ½ -> DB ±¸¼ºÀÌ µÇ¾îÀÖ´Â »óÅÂÁÒ.
¸®ÇÃÀ» Àо¸é.. Á¦°¡ ¹º°¡ À߸ø¾Ë°í ÀÖ´Â °ÍÀÎÁö¿ä?
°°Àº ¾ê±â¸¦ ÇÏ°í Àִµ¥ °°Àº ¾ê±â¸¦ ÇÏ¸é¼ ¾Æ´Ï¶ó°í ÇÏ´Â °Í °°¾Æ¼ ´õ Çرò¸®³×¿ä.
´ë·«ÀûÀ¸·Î ¾î¶² Á¡ÀÌ ´Ù¸¥Áö ¾Ë°Ú½À´Ï´Ù.
±¸Çö ¹æ¹ý¿¡ µû¶ó º¸¾È ·¹º§ÀÇ Â÷ÀÌ°¡ È®¿¬ÇÏ°Ô ³ª´Â °ÍÀ̱º¿ä.
sslÀº ¾îµð±îÁö³ª ±¸°£¾ÏÈ£ÈÀÔ´Ï´Ù.(Åë½Å)
·Î±×ÀÎâÀº SSL Àû¿ë.
Çؽ¬´Â SHA2 ±Ç°í. SHA1Àº ¹Ì»ç¿ë ±Ç°í. MD5´Â »ç¿ë½Ã¿¡ Ãë¾à ÇÁ·ÎÅäÄÝ·Î °áÇÔ¿¡ °É¸³´Ï´Ù.
Æ®·¡ÇÈ ¶¹À»¶§ , °¡ÀÔÀÚ°¡ submit ÇÏ´Â ½ÃÁ¡¿¡¼ ³×Æ®¿öÅ©¿¡¼ Æò¹®À¸·Î ĸÃÄµÇ¸é °áÇÔÀÔ´Ï´Ù.
SSLLÀº ¾îµð±îÁö³ª ±Ç°íÀÔ´Ï´Ù
±¸°£Àü¼ÛÁß ½º´ÏÇÎ ´çÇϴ°͵µ ºÒ¹ý »çÇ×ÀÌ µÇ³ª¿ä? ¤¾¤¾
¼¹ö¸¸ Àß ÁöÅ°¸é µÉÅÙµ¥¿ë
SSL Àǹ«¾÷üµéÀº ±âÁØÀÌ ÀÖ¾î¿ä ¸ðµÎ ÁöÅ°Áö ¾Ê¾ÆµµµË´Ï´Ù.