JSONP 보안 관점에서의 질문 안전한지?


JSONP보안에 대해서 의문점이 생겨서 일차적으로 질문합니다.

상황

  1. 페이지는 http페이지 이고 아이디조회를 Ajax로 하려고 합니다.
  2. 아이디 조회는 https로 post로 만들었으나 http와 https간에 통신이 되지 않습닏.
  3. 다른 방안으로 JSONP로 해당부분해결하였습니다

위 상황이 현 개발상황이며 보안적인 관점에서 2가지질문이 있습니다.

질문 1.JSONP 로하면 기본적으로 GET방식으로 조회하는것과 같은 원리 인데 .. 보안상에 문제는 없나? 하는것입니다. 파라미터만 변경하면 되는데...

  1. HTTPS로 인증서를 사용하면 일반적으로 보안이 높아진다인데 기본적인 값들은 피들러 등을 통해서 다 캡쳐링 가능하며 해당값들을 변조해서 POST하면 되는데 왜? 보안이 더 높아지는거죠?
  • 2016년 05월 30일에 작성됨

  • 저도 궁금하네요. HTTPS는 캡쳐링 해봐야 비문으로 보인다고 알고 있었는데 말이죠.    처제의일기   2016.5.30 15:16     
조회수 208


1 답변


피들러들을 통해서 보이는건 proxy를 등록하고, 피들러가 생성한 인증서로 https처리를 대신해주는겁니다. (원래라면 A.com에 접속할 것을 localhost:8080에 접속하고 여기에서 A.com으로 대신 접속해주는 것이지요.

여기서 특별한 처리를 해주지 않으면 신뢰하지 않는 인증서로 접속했다며 브라우저가 튕겨낼 수 있는데, 이 처리를 피들러가 강제로 해주게됩니다.

결과적으로는 피들러가 네트워크 망 안에서 가로채기 때문에 HTTPS 임에도 데이터를 볼 수 있게 되는 것이지요.

네트워크 망 밖에서 가로채면, 알고있던대로 암호화된 데이터만 볼 수 있습니다.

  • 2016년 05월 30일에 작성됨

로그인이 필요한 기능입니다.

Hashcode는 개발자들을 위한 무료 QnA사이트 입니다. 작성한 답변에 다른 개발자들이 댓글을 작성하거나 좋아요/싫어요를 할 수 있기 때문에 계정을 필요로 합니다.
► 로그인
► 계정만들기
Close