-
Notifications
You must be signed in to change notification settings - Fork 0
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
3 changed files
with
23 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,3 @@ | ||
## Cookie - Http only | ||
|
||
서버에서 Cookie에 Http only 태그를 추가하는 것으로 브라우저(js)에서 쿠키를 접근하지 못하게 막아 Xss 공격 방어을 방어했다. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,12 @@ | ||
## HTTP와 HTTPS: 차이점은 무엇일까요? | ||
|
||
TLS 설정을 적용하여 패킷을 암호화한다. | ||
Let's encrypt project를 사용하는 것으로 인증을 진행할 public한 웹서버만 열러 있다면 일반 사용자도 무료로 HTTPS 인증을 할 수 있다. | ||
단 90일 정도로 이 인증은 만료된다. | ||
|
||
이 인증을 특정 기간 간격으로 자동화 할 수 있는 툴들이 많다. Certbot이 대표적이다. | ||
Kubernetes로 이 웹서버 - TLS 인증 자동화를 위한 툴로 Cert manager를 사용하였다. | ||
|
||
Kong cert manager : `https://docs.konghq.com/kubernetes-ingress-controller/latest/guides/cert-manager/` | ||
let's encrypt : `https://letsencrypt.org/ko/how-it-works/` | ||
CloudFlare : `https://www.cloudflare.com/ko-kr/learning/ssl/why-is-http-not-secure/` |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,8 @@ | ||
## Http secure | ||
|
||
Http only 태그로도 Http 패킷 자체를 탈취당하면 cookie 정보를 확인할 수 있다. | ||
Https 통신 키를 탈취당하거나 개발자의 부주의로 Http로 통신되는 경우 암호화하지 않은 요청 정보로 cookie의 정보를 그대로 확인할 수 있다. | ||
|
||
서버 쪽에서 쿠키를 발급할 때 Http secure 태그를 함께 하는 것으로 브라우저가 HTTPS 통신 외에서는 쿠키를 전송하지 않도록 하였다. | ||
|
||
`https://nsinc.tistory.com/121` |