중요정보 평문전송 한다고 취약점 제보가 들어왔는데
물론 https는 사용하지 않지만
안전하다고 설명되는 RSA 암호화 방식 도입중입니다. (128비트 이상 암호화 키 사용)
그런데 https가 아닌 http 사용한다고 취약하다고 제보가 들어왔는데
이는 위와 같은 사유로 취약점이 아니라고 보면 되는거겠죠?
예) 취약점 제보가 회원가입 시 패스워드 평문전송 이라는건데,
회원가입 시 매번 패스워드 넘겨주는 값이 랜덤하게 234234234234234346 이런식으로 엄청 길게 암호화하여 넘겨줍니다;
나가 알던 그놈이 아닐 수도 있는거 아닌가요?
브라우저의 공신력 있는 인증서들을 미리 저장해 놓고 쓰는 방식으로 그놈이 그놈인지를 확인하는데..
HTTP는 그 과정이 없으니..
짭 패이지 같은걸 들이밀거나 할때 원본 사이트의 암호화 수준과 무관하게 취약해 진다는 거죠...
다만 이번 취약점 제보는 중요정보 평문전송 건이라 좀 다르게 접근할 여지가 있습니다.
중요정보 평문전송은 웹구간 암호화 솔루션 도입하거나 SSL 도입하게끔 되어 있습니다.
다만, 저희 회사나, KISA에서도 SSL 또는 웹구간 암호화 방식을 도입하라고 표준지침이 있습니다.
아니면 제가 놓치고 있는게 있나 싶어서..
http 에서 패스워드만 암호화가요? ??
몰랐네요...
클라이언트가 인증서를 통해 서버가 원본서버인지 확인할수 있으니깐요
근데 평문전송만 안할려는 목적이면 https 이나 http + rsa나 같쥬 뭐;;
말씀하신 내용대로 그 목적에 한해서는 같다고 봐서요.
개인정보취급하는 사이트는 SSL적용이 의무인 것으로 알고 있습니다.
단순히 SSL자체의 적용여부를 따지는지, 아니면 그에 준하는 보안조치도 해당이 되는지 확인해보세요.
실제로는 안전하더라도 취약점이나 아니냐의 여부는 법대로 판단하니까요...
그리고 윗분말씀대로 ssl은 패킷암호와 뿐만아니라 상호인증의 역할도 하기때문에 rsa암호화랑은 조금 다릅니다.
보안서버 운영이 의무라고 하는데, 개인정보 복호화 서버를 별도 운영하는 것도 보안서버에 포함되는지 여부 확인해봐야겠네요.
일단 평문 전송이면, 해당 데이터가 가입페이지이고, 특정 스트링이 암호와 연관되어 있음을 알 수 있습니다. mitm으로 3자가 가입정보를 가로챌 수도 있구요.