자기전에 CDN 빌런은 생각만 해도 웃기네요
43
4
2020-07-23 23:37:10
222.♡.72.209
거의 백신 위험성 주장하는 안아키랑 겹치면서 ..
뭔가 분쟁 조장을 하는대 그걸 어떻게든 이해시켜 보시겠다고
계속 댓글 다시는 분들을 보면서 클량에 대한 정도 한번 다시한번 느껴보고
내 주장과 다르다면서 계속 이상한 소리만 하는 ..
동적 CDN이.. 그 동적 페이지 처리에서 동적이 아닌데.. 하는걸 보면서.
참 IT용어에서 한글이 어렵구나도 느끼고
생각만 할수록 웃음이 나네요.
마지막까지 저에게 공부하라는 투로 댓글 다셨는데 : ) 그냥 웃고 넘겼습니다.
SIGNATURE
요한일서 4장 1절의 거짓 선지자 신천지총회장 이만희
데살로니가후서 2장 3절의 멸망의 아들 신천지총회장 이만희
베드로후서 2장 14절의 저주 받은 자식 신천지총회장 이만희
잠언서 25장 14절의 비없는 구름 신천지총회장 이만희
신천지총회장 이만희는 거짓목자이며 영생하지 못하는 죄인이고 불못에 들어갈겁니다요.
---------------------------------------------------------------------------------------------------------------------------------------
제가 작성한 글이나 댓글에 대하여 댓글, 추천, 비추천, 신고 등을 하는 자는 위 내용에 동의하는 자입니다.
이는 신앙 고백으로 되돌릴 수 없기에 구원대상 144,000명에서 제외됩니다.
---------------------------------------------------------------------------------------------------------------------------------------
일부 유부님들이 '니들은...' 이라고 말하던 결혼은 누군가에게는 너무나 이루고 싶었던 꿈입니다.
서명 더 보기
서명 가리기
말도 안되는 이야기 가지고 사람들이 예시를 들어가면서 그렇게 설명을 해드렸는데 .
IT관이면 주장하신거에 기술검증 페이지나 레퍼런스나 사례도 하나 못들고 오고. 그냥 망상만 가지고 사람들 의견 무시하는건 어떤가요 ?
기술자들에 대해서 놀리면서 조롱하는거랑 다른게 없다는건 모르시는거 같네요 ?
본인의 잘못이나 부족은 하나도 인정도 안하시니 비아냥 거리는것으로만 느끼는거죠.
말도 안되는 이야기하는데 말이 되는 이야기로 받아주시는 분들에게 감사하시는게 좋을실듯합니다.
인정이나 하시고 말하세요
대피소 들어가있는 사이트 전부다 유출되고 국가 기밀이 세어나간다고 뉴스에 나오겠네요.
이제 댓글달면서 이야기하는것 조차 지치네요
괜히 별거아닌 일로 스트레스 받으시는 일이 없으셨으면 합니다! 주무세요!!
문과생이봐도 이해가 되는걸....
재미있네요
요지는 SNI를 쓰지 않는 경우, 중국 CDN 인증서가 와서, 중국 CDN에 private key까지 가지고 있다면, 내용을 깔 수도 있다 뭐 이런 내용인 거 같습니다. 우선 SNI를 쓰지 않고, TLSv1.2에서 ClientHello를 www.client.net 에 전송하여 TLS 세션을 열어본 결과, 인증서는 "subject *.clien.net, issuer AlphaSSL CA - SHA256 - G2" 이렇게 나왔습니다. clien multi-domain 인증서 맞습니다. TLS 프로토콜은 자사에서 개발한 것을 사용하였습니다. 뭔가 주장하는 바와 결과가 달라 보입니다. TLS Cipher Suite는 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) 로 ServerHello가 왔습니다. 인증서나 TLS 관련해서 상세한 시험을 요청하면 응대할 용의 있습니다.
@클량님이 주장하는 것은, 만일 해당 서버가 중국에 있다면, 중국 당국이 clien.net의 개개인 아이디나 암호를 알고자 하면, 충분히 가능해 보이기 때문에, 우려스럽다 정도로 이해됩니다. CDN은 컨텐츠 캐쉬 역할을 하는 것으로 이해하고 있어서, 개인 보안 정보 등은 CDN에 있지 않아 보이지만, 경유할 경우는 가능성이 있어 보입니다.
저는 그냥 우려스럽다 정도로 이해됩니다.
가장 큰 이슈인 로그인 정보의 유출 가능성은 기술적으로 가능하다 하더라도 좀 과도한 걱정이라는 생각이 들었지만요. 이 부분은 그냥 걱정된다 정도의 의견으로 받아들였어요.
그 외의 2개의 주장들은 이분 이야기가 맞다고 생각하게 됬네요. 아래 2개의 주장이요.
1. CDN 서버는 인증서를 가지고 있으며 암호화 된 패킷을 복호화 한다.
2. 특정 조건에서 클리앙으로 전송되는 패킷이 중국계 CDN 서버를 거치는 경우가 있다.
1번의 경우에는 실제로 그렇게 운영된다고 글을 올려주신 분들이 계셔서 어느 정도 교차 검증이 되었고요.
2번의 경우에는 이 분이 올려주신 근거들로 상당히 검증이 되었다고 생각했거든요.
토론 과정에서 정황상 한국인터넷진흥원을 통해서 계약한 CDN 업체들 중 하나일 가능성이 있다는 이야기도 있었고요.
그래서 저는 상당히 신빙성이 있는 이야기라고 생각하게 됬어요.
그거랑 별개로 제가 잘 모르는 분야인데 서로 상반되는 의견들이 난무하고 내용도 되게 복잡해가지고 무슨 주장을 하는 건지 그 주장을 왜 하는 것인지를 이해하는 것 자체가 엄청 어려웠습니다. -_-...
당연히 관련 내용을 심도 있게 알고 있다라는 것을 전제로 근거들만 팍팍 던져 놓은 느낌이라 그걸 꿰어 맞추는게 엄청 어려웠네요 ㄷㄷ..
WAF 를 보면 아시겠지만 데이터를 다까서 SQL INJECTION이니 XSS이니 판단까지 해서 안전한 경우에 웹서버로 보냅니다.
평소 샤오미 등 중국 제품 이용하면 시진핑도 같이 웃는 다는 분위기랑 너무 달라서 당혹...
클량님 행적이 뭔가 있었나요?? 빌런이라니.. 글 수 가 적고 댓글은 이 이슈로 다 밀려있어서 모르겠네요.
클량님 글은 요약하면 이거 두줄이죠?
의혹 : 중국계 CDN 경유가 보이므로 운영진은 확인 바람.
의견 : 중국계 CDN은 사용하지 않았으면 함.
1. CDN에서 민감한 내용 까보는 게 가능한가
- 이용 서비스 종류 따라 다름
- 클리앙 서버 개인키를 제출해야하는 서비스라면 기술적으로 완전히 가능
- 당연히 그거 까보는 건 장사 접겠다는 소리... 지만 시진핑이 출동한다면? 이 걱정사항
- 일반적인 상황 :
클리앙서버가 암호화 ---> 사용자 브라우저가 해체, 사용자가 봄
= 인터넷 특성상 중간에 어딜 거칠지 몰라도 중간에서는 암호화된 내용을 풀기는 매우매우 어려움
- 개인키를 제출해야하는 서비스 라면 :
클리앙서버가 암호화 -> CDN이 풀고 캐싱해서 다시 암호화 -> 사용자 브라우저가 해체, 사용자가 봄
= CDN까지 안전하게 도착하고 CDN이 개봉 후 다시 CDN에서 클리앙서버까지 안전하게 도착함, 이 과정에서 사용자에게 보이는 인증기관 변경도 없음
2. 클리앙에서 의도적으로 해당CDN을 사용한 건 아님
- 클리앙은 수시로 DDoS 공격을 당함, 이와 관련 KISA 지원(사이버대피소)을 받고 있음
- KISA가 사이버대피소에 씨디네트웍스의 서비스를 이용 중 (씨디네트웍스는 ChinanetCenter에 인수된 상태)
- 클리앙은 KISA에 개인키 제출 했을 것 (그분 확인 : KISA 사이버대피소 신청폼에 있다고함)
- 어쩌다보면 (특히 해외 접속 시) 중국CDN에 연결될 수 있는데 정적파일만인지 민감한 내용 포함인지?
- 운영진은 KISA에 문의함
개인키 제출했다면 브라우저에 보이는 인증기관 변경 없이도 가능할텐데요??
cdn 이 서비스 하려면 모든 ssl 처리 된 걸 까봐야 하는 건 당연한거고 그러려면 해당 도메인 인증서의 프라이빗 키가 있어야죠.
또 cdn이 반드시 html, css, js나 이미지 같은 정적인 컨텐츠만 서비스 하는 것도 아니고요. 동적으로 생성 되야 하는 컨텐츠 중에 정적인 성격을 가진 페이지등은 cdn이 아예 렌더링 결과를 캐시 해서 서비스 할 수고 있고 개인화가 필요한 url은 cdn에서 예외 처리 하여 cdn이 오리진에서 가져오게 할도록 구성 할 수 있죠.
cdn서버가 뭐 대단한 것도 아니고 일종의 리버스 프록시의 변형 (아파치 웹서버의 mod_proxy같은) 인데 이걸 개발사 (cdn 운영사) 에서 고쳐서 특정 정보를 빼 돌리는 건 아주 쉬운 일이죠.
만약 클리앙의 login 하는 부분이 (그게 쿨리앙 어플리케이션에서 form을 쓰던 ajax를 쓰던 뭘 쓰던) 결국 cdn 서버의 도메인 네임으로 가면 cdn서버에서는 마음만 먹으면 id, pass를 알 수도 있겠죠.
종합해 보면 cdn빌런(?)님이 주장 하신게 크게 보면 다 맞습니다.