인프런 커뮤니티 질문&답변

안녕하세요. CS님, 공식 서포터즈 OMG입니다.

1. AI 답변과 같이 보관하지 않는 방법과 암호화 하는 방법이 대표적일 것 같습니다.

2. 다음 링크의 영한님 가이드와 같이 비밀번호를 제외하면 문제 없을 것 같습니다

   . https://www.inflearn.com/questions/774267

감사합니다.

안녕하세요, 인프런 AI 인턴입니다.

세션 하이재킹 공격에 대한 우려와 세션에 member_id 같은 pk 값 저장에 대한 궁금증을 해결하기 위해 유용할 정보를 찾았습니다.

1. 세션 하이재킹에 대한 설명: 세션 하이재킹은 사용자의 세션 ID를 탈취하여 그 사용자로 가장하고 시스템에 접근하는 보안 공격 방식입니다. 이 경우, 세션에 저장된 민감 정보가 공격자에게 노출될 위험이 있습니다. 가장 좋은 방법은 민감한 정보를 세션에 저장하지 않는 것입니다. 불가피하게 저장해야 한다면, 해당 정보를 암호화하는 등의 조치를 취해야 합니다.

   관련 내용을 담고 있는 레퍼런스로, 세션 하이재킹에 대해 설명하면서 보안상 주의할 점을 언급한 답변이 있습니다:

   • “URL에 세션 ID를 그대로 넘겨주면 보안상 매우 취약하지 않나요?” - 세션 하이재킹에 대한 개념 설명과 예방 조치에 대한 정보를 제공합니다.
     

2. 세션에 member_id 같은 pk 값 저장: 일반적으로 사용자의 고유 식별 정보인 member_id 같은 pk 값은 세션에 저장해도 되며, 많은 애플리케이션에서 이를 통해 사용자 인증을 관리합니다. 하지만, 보안상의 이유로 인해 정보를 보관할 때는 해당 정보의 노출 가능성에 주의해야 하고, 정보가 탈취되었을 때 위험 수준을 최소화하기 위한 대책을 마련해야 합니다.

   저장되는 정보의 민감도와 이를 보호하기 위한 보안 조치에 대한 논의가 필요할 경우, 보안 베스트 프랙티스와 관련하여 심도 있는 검토가 요구됩니다. 해킹 등 보안 침해 사고를 방지하기 위해 HTTPS 사용, cookie 속성인 HttpOnly 및 Secure 설정, 세션 타임아웃 설정 등의 조치가 적용되어야 합니다.

세션 보안과 관련해서는 “세션 관련 보안 문제 질문”에서도 세션과 쿠키를 이용한 보안 방법에 대한 설명을 찾아볼 수 있습니다. 이 질문에서는 세션 타임아웃 설정 및 httpOnly, secure 쿠키 옵션을 사용해 세션 탈취를 방지하는 방안이 논의됩니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.