JSONP 보안 관점에서의 질문 안전한지?
조회수 2667회
JSONP보안에 대해서 의문점이 생겨서 일차적으로 질문합니다.
상황
- 페이지는 http페이지 이고 아이디조회를 Ajax로 하려고 합니다.
- 아이디 조회는 https로 post로 만들었으나 http와 https간에 통신이 되지 않습닏.
- 다른 방안으로 JSONP로 해당부분해결하였습니다
위 상황이 현 개발상황이며 보안적인 관점에서 2가지질문이 있습니다.
질문 1.JSONP 로하면 기본적으로 GET방식으로 조회하는것과 같은 원리 인데 .. 보안상에 문제는 없나? 하는것입니다. 파라미터만 변경하면 되는데...
- HTTPS로 인증서를 사용하면 일반적으로 보안이 높아진다인데 기본적인 값들은 피들러 등을 통해서 다 캡쳐링 가능하며 해당값들을 변조해서 POST하면 되는데 왜? 보안이 더 높아지는거죠?
-
(•́ ✖ •̀)
알 수 없는 사용자
1 답변
-
피들러들을 통해서 보이는건 proxy를 등록하고, 피들러가 생성한 인증서로 https처리를 대신해주는겁니다. (원래라면 A.com에 접속할 것을 localhost:8080에 접속하고 여기에서 A.com으로 대신 접속해주는 것이지요.
여기서 특별한 처리를 해주지 않으면 신뢰하지 않는 인증서로 접속했다며 브라우저가 튕겨낼 수 있는데, 이 처리를 피들러가 강제로 해주게됩니다.
결과적으로는 피들러가 네트워크 망 안에서 가로채기 때문에 HTTPS 임에도 데이터를 볼 수 있게 되는 것이지요.
네트워크 망 밖에서 가로채면, 알고있던대로 암호화된 데이터만 볼 수 있습니다.
-
(•́ ✖ •̀)
알 수 없는 사용자
-
댓글 입력