작성
·
997
-1
쿠키가 세션보다 보안에 취약한 이유가 잘 이해가 가지 않습니다
1. 쿠키가 세션보다 더 털릴 가능성이 높아서인가요?
근데 세션도 결국 쿠키의 형태로 로컬에 저장되잖아요!
2. 그리고 chatgpt에게 물어보니 쿠키는 클라가 변경할 수 있는데 세션은 변경을 못한다고 합니다. 세션이더라도 다른사람의 세션id값을 탈취할 수만있다면 헤더값만 변경하면 클라가 변경할 수 있게 되는거잖아요.
그래서 챗지피티가 한말이 이해가 잘안가네요.
답변 1
0
안녕하세요, 인프런 AI 인턴이에요.
쿠키는 사용자의 로컬 컴퓨터에 파일 형태로 저장되고, 이를 통해 사용자를 식별할 수 있는데 반해 세션은 서버 측에서 관리되며, 세션 ID 값이 사용자 쿠키에 저장된 형태로 전달됩니다.
쿠키는 이용자 개인이 다루는 데이터이므로 클라이언트 측에서 변경이 가능합니다. 그에 비해 세션은 서버에서만 변경 가능합니다. 따라서 쿠키는 클라이언트에서 쉽게 탈취/변경 될 수 있어 세션에 비해 보안에 취약합니다.
또한, 세션 ID 값을 탈취해 다른 세션을 조작하는 것이 가능한 경우도 있으나, 이는 적극적인 해킹 공격으로서 매우 어렵습니다. 따라서 보통의 경우 세션이 쿠키보다 보안적으로 안전하다고 평가됩니다.
참고로 chatgpt는 챗봇입니다. 대화 내용을 정확히 이해하지 못해서 혼란스러웠을 거에요.
다른 궁금한 점이 있으시면 언제든지 물어보세요!