본문 바로가기
728x90

Infra/보안4

개인 정보 암호화 (AES - GCM) 2가지 타입의 암호화 기술 복호화 가능 symmetric (대칭키) 보내는 사람과 받는 사람이 같은 key를 가져야 한다. 속도가 빠르다. key가 어느쪽이든 탈취당할 경우 위험하다. asymmetric (비대칭키) public key와 private key가 존재한다. 두 key는 수학적으로 연관이 된 key다. public key는 누구나 사용 가능하고 private key는 메세지를 해독하는 수신자만 가지고 있는다. 복호화 불가능 hashing 데이터마다 고유한 해시를 생성한다. 암호화된 데이터는 복원할 수 없다. 그렇기 때문에 이전과 같은 데이터 였는지 검증하는 용도로만 사용할 수 있다. SHA, HMAC 등은 해시를 생성하는 방법들이다. 대표적인 암호화 기술 AES symmetric이다. 세계적.. 2023. 5. 31.
Oauth 2.0 (feat. Oauth 1.0) Oauth 1.0 참고 https://medium.com/identity-beyond-borders/oauth-1-0-vs-oauth-2-0-e36f8924a835 https://oauth.net/core/1.0/ 목적 Oauth 1.0의 목적은 Oauth 2.0의 목적과 같다. - third-party application이 resource owner와 http service 간의 합의를 통해서. resource owner대신에 http service에 제한된 접근권한을 가질 수 있게 한다. FLOW 그림 과정 설명 OAuth Authentication is done in three steps: The Consumer obtains an unauthorized Request Token. The User.. 2023. 5. 21.
cookie vs localstorage 참고 : LocalStorage vs Cookies: All You Need To Know About Storing JWT Tokens Securely in The Front-End - DEV Community 필요한 배경지식 1. CSRF(Cross-site request forgery) : 사이트간 요청 위조. 사용자가 의도하지 않은 요청을 수행하도록 강제하는 공격 예시) 피싱 사이트로 이동하게 하고, 비슷한 페이지로 자기 계정의 이메일 정보를 수정하는 API 실행. 쿠키가 함께 전송되어 요청이 실행됨 2. XSS(Cross-Site Scripting) : 웹 서비스에 Javascript 등 스크립트를 실행할 수 있는 코드를 삽입하여 다른 사용자 등에게 공격자가 의도한 스크립트를 실행하게 하는 공격 .. 2023. 2. 1.
SSL 이란? SSL : Secure Sockets Layer 브라우저와 웹사이트 사이에 데이터 전송을 암호화 하는 기술이다. 컴퓨터와 컴퓨터가 통신을 할때 HTTP 형식을 사용한다. 이것을 SSL 기술로 암호화하여 전송하면 HTTPS 된다. 사실 이것을 정리하는 이유는 항상 찾아보고 이해하지만, 기억에 잘 남지 않기 때문이다. 그래서 그림으로 그려보며 간단히 정리해보려고 한다. 대칭키와 공개키 대칭키 : 암호화 할 때, 복호화할 때 같은 키(대칭키)를 사용한다. 공개키 : 공개키로 암호화 하면 비공개키로만 복호화할 수 있다. CA 인증서 CA: cerificate authority (인증 기관) (서버의 정보 + 서버의 공개키) 의 정보가 CA의 비공개키로 암호화 되어있다. 브라우저는 공인된 CA들의 공개키를 가지고.. 2022. 4. 24.
728x90