핑백과의 만남.

Web 2009.08.17 10:04

최근 회사에서 여유가 잇어 미투데이를 접하면서 핑백이라는 녀석을 처음 만났습니다.

구미에서 일만 하다보니 이런게 있는 줄도 몰랐네요.ㅠㅜ 

트렌드를 빨리빨리 소화해야하는데 뒤쳐진 느낌.ㅋ

뭐 알아보니 트랙백에서 좀 더 소셜하게 업그레이드된 정도 인 것 같네요.

트랙백 :

- 단일 방향으로 글이 링크된다.

- 상구님이 치토님의 글에 트랙백을 달면 치토님에서 상구님으로 가는 링크만 있고 상구님에서 치토님으로 갈 수 있는 링크는 없다.

핑백 :

- 양방향으로 글이 링크된다.

-
상구님이 치토님의 글에 트랙백을 달면 양 쪽으로 서로 왔다갔다 할 수 있게 상호 링크가 걸리게 된다.



음...

간만에 포스팅을 하나 했네요...

갈수록 재미있어 지는 웹. 히히.


 

Posted by 행복한 프로그래머 궁금쟁이박
TAG SNS,

댓글을 달아 주세요

웹의 3대 보안 기법

Web 2008.06.29 09:12

Authentication

인증은 가장 기본적인 사용자 접근 처리 기법으로써 사용자가 아이디와 패스워드를 전송하면 유효성을 체크하여 권한을 주는 방식이다. HTML 폼을 이용한 인증 기법이 주를 이루며, SSL 인증서나 물리적 토큰, 스마트 카드등도 제한적이지만 이용되고 있다.  보통의 인증 기법의 취약점은 설계의 결함에서 많이 노출된다. 이는 사용자의 패스워드에 대한 제어가 없거나 최소화 됨으로써(짧은 패스워드, 주민등록번호와 같은 패스워드, 사전에 있는 단어 등의 사용), Brute Force 공격에 의하여 쉽게 패스워드가 노출되게 된다. 또 다른 위협의 예로는, 인증 실패시의 메시지(“해당 아이디가 존재하지 않습니다.”, ”비밀번호가 틀렸습니다”)를 자세하게 제시하여 공격자의 공격 속도를 빠르게 할 수 있는 구조적인 위협도 존재한다.

이러한 위협을 방지하기 위해 패스워드의 최소한의 요구사항을 강제하여야 하며, 사용자가 강력한 패스워드를 저장할 수 있도록 지원해야 한다. 또한 자동화된 도구로의 공겨을 막기 위한 수단(여러 차례 로그인 실패시 계정을 임시 차단, 암호 찾기시 이메일 인증)이 구현단계에서 추가되어야 하며, 모든 인증 관련 사건을 로깅하고, 공격 방지를 위해 brute-force등의 공격이 탐지시, 실시간 경보등의 예방 대책들이 마련되어야 한다.

 

Session Management

세션은, 오늘날의 많은 웹 응용이 동적인 페이지를 사용함으로써, 상태를 유지하기 위해 사용되는 데이터 구조로써, 이를 이용하여 인증을 통해 성공적으로 로그인 한 사용자의 후속 행위에 대한 접근제어에 사용된다.  서비스 제공자는 각 사용자에게 세션을 식별할 수 있는 토큰을 제공하며, 사용자는 웹에서의 모든 요청을 해당 토큰을 이용하여 전송한다.

 이러한 사용자의 이메일이나 아이디와 관한 정보를 저장하는 세션이, 쉬운 암호를 사용하여 이를 인코딩할 경우 매우 위험하다. 또 의미있는 형태의 세션의 모습은 아니지만, 순서나 패턴등을 쉽게 예측 당할 수 있는 세션 토큰을 사용할 경우에도 공격자에게 악용될 소지가 있다.  또한 세션 자체를 얻는 것을 목적으로, 네트워크를 통해 전송되는 세션이 hijacking당하여 악용될 가능성도 존재한다.

세션 해킹을 방지하기 위해 세션 토큰은 HTTPS로 전송되어야 하며, 로그 아웃시에 정보를 저장하고 있는 세션토큰을 비우는 기능이 구현되야 하고, 적절한 시간이 지나면 세션이 자동 파괴되고, 동시 로그인을 허용하지 않는 방법등이 강구되어야 한다.

 

Access Control

사용자 접근 제어의 마지막 단계로써, 사용자가 특정한 행위나 자원에 대한 접근을 요청할시 허가할 것인지에 대한 결정을 확정 짓는 처리단계이다. 접근 제어는 인증과 세션 관리를 기반으로 하는 보안기법이고, 보통은 정교한 로직을 통해 구현되며, 응용의 영역이나 기능의 종류에 따라 고려 사항이 달라진다. 접근제어는 두 영역으로 구분되는데 첫째는 수직 접근제어, 두번째는 수평접근제어이다. 전자는 서로 다른 사용자가 서로 다른 기능을 사용할 있도록 제어하는 것(관리자vs일반 사용자)이고 후자는 사용자들이 서로 다른 자원에 대해 서로 다른 권한을 갖는 것(메일 응용과 같은)을 말한다.

접근제어가 깨어질 경우, 웹서버에 접근한 임의의 사용자가 자신에게 허가되지 않은 문서를 조회할 가능성도 있고, 이를 통해 페이지의 네이밍 규칙이 파악되면 많은 정적인 자원들이 대량으로 유출될 위험이 존재한다.

접근 제어의 요구 사항은 복잡하므로, 보안 취약점이 되는 경우가 많다. 개발자들은 사용자의 행위에 대해 종종 결함이 있는 가정을 하며, 접근 제어 체크를 누락하기도 한다. 공격자들은 각 기능 단위마다 접근 제어 취약점을 찾는 일이 번거로울 수 있으나, 접근 제어의 결함은 워낙 만연하므로 가치 있는 노력으로 간주 된다.

 따라서 접근 제어를 통제하기 위해, 사용자가 전송한 파라미터를 반드시 재검증 후에 사용해야하고, 중요한 데이터를 접근 할 경우에는 반드시 로그를 남김으로써 사후 처리를 할 수 있게 해야한다.

 

Posted by 행복한 프로그래머 궁금쟁이박
TAG 보안,

댓글을 달아 주세요

언젠가부터 우리 생활이 PC 중심으로 이뤄지면서 그 운영체제(OS)를 독점한 마이크로소프트는 무소불위 권력을 과시해왔다. ‘윈도’라는 OS의 영향력만큼 MS ‘왕권’은 날로 굳건해졌고, 여기에 도전한 기업들은 쓴맛을 봐야했다.

90년대 중반 인터넷이 막 보급되던 시절 브라우저 시장 90% 이상을 차지했던 넷스케이프가 그 대표적 희생양이다. MS가 윈도에 브라우저 ‘익스플로러’를 탑재하자 넷스케이프는 순식간에 무너졌다. 지금도 익스플로러는 시장 점유율 70% 이상을 확보, 경쟁제품 파이어폭스나 사파리의 추격을 불허하고 있다.

이 뿐만이 아니다. 오피스를 비롯한 MS 소프트웨어들은 대부분 윈도, 혹은 도스와 함께 우리에게 친숙해졌고, 코렐·IBM·볼랜드 등은 이 벽을 허물지 못했다.

하지만 2000년대 초 등장한 구글은 달랐다. 단순 검색 사이트인줄 알았던 이 구글이란 ‘괴물’은 MS에게 전에 없던 위기감을 선사했다.

구글독스
왜냐하면 구글은 OS에서 독립된 인터넷이란 공간에서 소프트웨어를 무상 제공하고 있기 때문이다. ‘세계 어떤 PC도 인터넷만 된다면 SW를 이용할 수 있다’라는 것이 구글의 주장이다. 이는 이제까지 MS가 굳게 믿고 있던 ‘윈도’를 하루아침에 무용지물로 취급한 발언이기도 하다.

이제 세계 네티즌들은 인터넷으로 소프트웨어를 대여하는 ‘Saas(software as a service)’와 '구글독스'처럼 무료 웹 애플리케이션으로 웹상에서 작업을 하는 ‘클라우드(Cloud) 컴퓨팅'으로 눈을 돌리고 있다. 돈 내고 MS 소프트웨어를 구매해 윈도서 사용하는 방식은 '구형'이 된것이다.

MS도 이런 상황을 감지, 부랴부랴 코드명 ‘앨버니(Albany)’라는 웹 오피스를 준비한다고 발표했지만 정확한 서비스 시기는 알려지지 않았다.

■ 보안 ‘보장’해야 웹으로 간다

이렇게 MS를 압박하는 구글이지만 진정한 웹 중심 세계를 만들려면 넘어야할 산이 아직 있으니, 바로 보안이다.

다스베이더가 경계(?) 선 구글 보안팀.
구글이 제공하는 웹에서의 업무환경이 윈도보다 빠르고 성능이 좋다고 가정해도, 보안을 생각하면 걱정이 되는 것이 사실이다. 내 PC안에 있어도 유출될까봐 불안한 파일을 구글에 맡길 용기가 생길까.

물론 PC도 보안을 안심할 수는 없지만, 그렇다고 웹으로 갑자기 이사하기가 쉬운 것도 아니다.

특히 개인이 아닌 기업들이라면 이런 문제에 더 민감할 수밖에 없다. 비교적 가격이 싼 '구글앱스' 대신 하드웨어와 소프트웨어 구입비용을 내면서 끝까지 윈도를 지키고 있는 기업들이 대부분인 것이 이 때문이다.

이런 상황을 타개하기 위해 구글은 이달 8일 호스팅 형태 기업 보안 서비스(Web Security for Enterprise)를 출시, MS에 승부수를 던졌다. 웹의 보안마저 강화해 윈도우 입지를 한층 허물겠다는 속셈이다.

■ 구글, 기업 보안 서비스…MS에 치명타?

서비스 내용을 살펴보면 웹과 이메일 상 작업에 있어서 악성코드를 비롯한 보안 위협을 차단해 준다는 것. 이는 단순 백신이 아닌 기업 전체 보안체계를 구글이 관제 및 컨설팅하는 형태이다. 여기에는 구글이 지난해 6억2천500만 달러들 들여 인수한 보안기업 ‘포스티니’의 기술이 탑재돼 있다.

구글 보안강화가 윈도를 흔들 것인가.
구글코리아 정김경숙 이사는 “새로 나온 구글의 보안 서비스는 대형/중견 기업을 모두를 대상으로 한다”며 “원거리서 모바일로 작업하는 직원도 보호받을 수 있다”고 밝혔다.

이 서비스는 아직 성능이 검증되지 않았지만 미국 시장서 벌써 큰 기대를 모으고 있다(한국에는 아직 계획이 없다). 씨넷을 비롯한 외신들은 벌써부터 구글이 MS에 치명타를 가하고 있다며 관심을 집중하는 모습이다.

보안기업 퀄리스의 필립 쿠토 대표는 “구글이 보안이 강화된 웹과 검색광고의 시너지로 MS의 목을 조일 것”이라고 예언(?)했다.

하지만 이런 반응은 아직 섣부르다는 목소리도 있다. 한 해외 보안 관계자는 “만약 구글의 보안 서비스 성능이 실망스럽다면, 그나마 웹으로 오던 기업들도 다시 OS로 돌아가는 역효과를 낼 것”이라며 “구글 보안 전략이 불러 올 효과는 좀 더 지켜봐야 한다”고 전했다.

이제 세계 IT 업계는 웹과 OS라는 두 ‘우주’를 내세운 구글-MS 대결에 보안이 어떤 변수로 작용할지 주목하고 있다. @

흠... 이제는 웹을 모르고는 IT 를 말할 수 없는 것 같아...

늘 시대의 흐름을 알아야 승리할 수 있음을 있지 말자.
Posted by 행복한 프로그래머 궁금쟁이박
TAG MS, 구글,

댓글을 달아 주세요