소소한 일상 기록

1f60d

라이믹스란?

요즘 인터넷 환경은 네이버 블로그나 페이스북과 같이 특정 사이트에 가입하면 개인적인 글을 올릴 수 있습니다. 하지만, 이러한 서비스는 직접적으로 돈을 내지 않을 뿐 비용이 전혀 없다고는 할 수 없습니다. 특정 기업의 정책에 반하는 글을 올렸다가 계정이 정지되어 버리기도 하고, 싸이월드의 사례처럼 서비스 자체를 변형하는 과정에서 의도하지 않게 비밀글이 공개되기도 하며, 내가 개인적으로 작성한 글들이 내 통제를 벗어나기도 합니다. 라이믹스는 누구든지 자유롭게 '독립적인' 공간을 만들 수 있게 하자는 목표를 가지고 있습니다. 이러한 공간은 벤처기업이나 동호회와 같이 어떤 단체의 홈페이지일 수도 있고, 누군가의 블로그일 수도 있습니다.

라이믹스를 통해 만들어지는 공간은 앞서 말한 목표를 달성하기 위해서 사용자가 느끼지 못하는 순간에 반영할 수 있는 신기술을 반영하려고 노력하는 중입니다. 특정 기업의 서비스를 사용하지 않았음에도 원치 않게 정보가 누출되는 일은 없어야 한다는 생각이기 때문입니다.

라이믹스는 정식 배포판을 아직 배포하고 있지 않기 때문에 버전이란 개념은 적절치 않지만, 이 글에서는 XpressEngine 의 버전 정보를 반영하면서 생기는 버전 정보를 기준을 편의상 사용하겠습니다. 이번 1.9.8.1 (현재 라이믹스에만 존재하는 버전) 버전으로 마크된 master 브랜치에 포함된 "SSL 전용 쿠키 사용"에 대해서 간단히 살펴보겠습니다.

"SSL 전용 쿠키 사용"

컴퓨터에서 '쿠키'라고 하면 다들 아시다시피 어떤 웹사이트를 방문했을 때 브라우저에 저장해두는 파일을 말합니다. 이 쿠키의 내용은 방문한 사람의 컴퓨터 브라우저 공간에 저장되어 있다가, 같은 사이트를 방문하거나 조건을 만족하는 사이트를 방문하면 브라우저가 자동으로 서버에 전송합니다. 서버는 전송 받은 쿠키의 정보를 통해서 사용자에 대한 정보를 추출해내어서 로그인이라든지 선호한다고 기록한 언어라든지, 보이지 말라고 기록한 팝업창 등에 대한 다양한 정보를 알아냅니다. 이 쿠키가 전송되지 않으면 서버는 IP 주소나 브라우저가 서버에 접속할 때 보내는 기타 정보들 (HTTP 헤더) 을 통해서 적절한 정보를 제공합니다.

여기까지 들으면 '쿠키'와 'SSL' 은 어떤 연관성이 있는 것인지 하는 생각이 드실 것 같습니다. 브라우저에 저장되는 정보인데 'SSL'은 무엇인지?..

SSL? 쿠키?

'SSL'은 흔히 말하는 '보안접속'에 사용되는 방식입니다. 브라우저로 일반 사이트를 접속할 때 쉽게 알아보는 방법은 주소창에 'http://'가 아닌 'https://'라고 표시되는 것입니다. 하지만, 이렇게 보안접속을 지원하는 사이트 조차도 특별한 설정이 되어 있지 않으면 http:// 로도 접속하는 경우가 많습니다. 요즘 사이트 전체 페이지에 보안접속을 적용하는 것이 추세가 되었지만, 이 경우에도 보안접속이 아닌 경로로 접근을 하면 보안접속으로 이동하기 직전에 보안접속이 아닌 페이지를 한번은 만날 수도 있습니다. 이런 상황을 피하기 위해서 미리 브라우저에 '이 사이트는 보안 접속으로만 접속합니다'라는 정보를 기록해두는 방법도 있지만, 여기서는 다루지 않기로 합니다.

어쨌든, 그런 고로 보안접속이 아닌 경로에서 브라우저는 어떻게 동작할지에 대해서 생각해봅시다.

브라우저 입장에서는 보안접속이 아닌 경로로 사이트에 접속하더라도 기본적으로 서버에 사용자에 대해 저장된 정보(쿠키)를 전송합니다. 이렇게 동작하는 것이 이전부터 기본 동작이었습니다. 하지만, 보안접속이 아닌 구간에서 페이지를 변조하여서 사용자 정보를 빼돌리는 방식에 대해서 경계하기 시작했고, 쿠키에도 이렇게 보안접속이 아닌 구간에서 정보를 전송하지 않도록 표시하는 표준이 있습니다.

이렇게 표시하는 것은 매우 단순합니다. 쿠키에 ';secure' 라고 적어주기만 하면 됩니다.

라이믹스의 새 기능은 이런 것입니다. 라이믹스에서 만들어내는 쿠키들에 기본적으로 'secure' 표시를 해주는 것입니다. 이렇게 되면 사이트 전체에 보안접속을 사용하고 있는 사이트를 이용하는 중에 보안접속에서 빠져나가는 순간이 생겨나더라도 쿠키에 기록된 정보를 네트워크에서 엿보는 것이 어려워집니다. 쿠키에 담긴 정보가 보안접속 중인 순간에만 전송되기 때문입니다. 이렇게 길게 설명하긴 했지만, 그렇다고 이게 엄청나게 보안성을 높여주지는 않습니다. 가장 추천할만한 설정은 HSTS preload 를 설정하는 것입니다.

아무튼, SSL 전용 쿠키 사용이라는 기능은 현재, 기본 값으로는 꺼져있는 기능입니다. 브라우저로 접속하는 경우에는 당연히 라이믹스 개발팀이 확인한 대부분의 브라우저가 정상적으로 작동하기 때문에 문제가 없지만, 그 외의 상황이 있을 수 있어서 현재는 기본값이 사용안함입니다.

사용해보시고 싶으면 사용함으로 돌려보세요.

라이믹스 관리자 페이지 스크린 샷

라이믹스 관리자 페이지를 기준으로는 설정 > 시스템 설정 > 보안 설정 > SSL 전용 쿠키 사용을 통해서 확인하실 수 있습니다. 이 항목을 사용하신다면, 바로 위에 있는 SSL 전용 세션 사용도 사용하셔야, 제대로된 효과를 보실 수 있습니다.

감사합니다.

1f425

List of Articles
과학기술 Python function for the Runge-Kutta 4th Order Method 2018.10.24 17
기타 제주도 브릭캠퍼스 - '레고' 예술품 전시 2018.09.15 78
기타 Fast.com 을 이용한 속도 측정 2018.09.01 99
과학기술 한국형발사체 성공을 빕니다. 2018.08.29 83
기타 HP 공유 프린터/팩스 올인원 복합기 취약점 2018.08.23 101
기타 [라이믹스 새로운 기능 살펴보기] "SSL 전용 쿠키 사용"에 대하여 2018.08.22 106
맛집 일본 맛집 검색 사이트 다베 로그 2018.08.15 103
기타 Madeon 의 Pop culture 와 TAK 의 K-Pop culture. 2 2018.07.31 128
과학기술 jQuery CDN 서비스 제공자들 어디를 쓰는 것이 좋을까? 2018.06.03 203
기타 여러 물질의 예측된 logP, logD 구하기 2018.05.13 155
과학기술 패킷 훔쳐보는 정부?... 그렇게 하지 않아도 되지 않나요? 2018.05.12 204
기타 키라라 라는 음악가의 ct16041 + ct16031 을 들었다. 2 2018.03.31 248
기타 로그인 로그 모듈에 문제가 있는듯 하다.. 2018.03.25 191
기타 농협 인터넷 뱅킹의 비밀번호가 수상하다. 2018.03.12 248
기타 대통령이 수소연료전지차를 시승했다. 2 2018.02.06 196
기타 '꿈'은 직업이 아니다. 2018.02.02 178
기타 블록체인 기술을 이용한 암호화폐 2018.02.01 154
기타 TEPS 가 2018년 5월부터 새로워집니다. 1 2018.01.30 170
기타 애플 가로수길이 오픈했다. 2018.01.29 308
기타 '공인'인증서 제도 폐기 소식을 환영합니다. 2018.01.23 149
서버에 요청 중입니다. 잠시만 기다려 주십시오...