2008/03/28 00:34 Developer
클라이언트 코드에 노출되는 URL
웹UI 및 기능이 점점더 복잡해지고 있다.
모든 브라우져에서 비슷한 코드로 동작을 하는 자바스크립트립의 인기도 좋아졌다.
대부분의 브라우져에서 호환성(?)을 유지하기때문에 웹클라이언트UI개발용으로는 딱이다.
자바스크립트 코드를 작성하다가 보면 보안성 치명적인 결함을 가지기도 한다.
예를 들어, 사용자가 알 필요가 없는 패스워드나 도메인을 노출하기도 한다.
FTP패스워드같은 것을 노출하는 경우가 있는데, 이건 거의 막장코드라 할수 있다.
대부분 URL은 아무 생각없이 노출을 하는 경우가 많은데, 노출을 하는 경우는 사용자에게 어뷰징을 할수 있는 빌미를 주게 된다.
정말 안전하게 만들고 싶다면, 클라이언트에 URL을 노출을 하고 걱정이 되서 그것을 막는 모듈을 개발을 하는 것보다는 가능한 노출을 하지 않게 해서 어뷰징을 할 확률을 줄이는 것이 더 좋은 방법이 아닐까?
.....아니 아닐수도 있다. 어디에 더 가중치를 두어야 하는 것은 도메인 영역과 어플리케이션을 사용하는 사용자의 습성을 잘 고려해야 한다.
TAG 클라이언트코드
