안녕하세요! 질문있습니다.

Question

안녕하세요. 영한님, 항상 좋은 강의 감사드립니다.

한가지 궁금한 점이 생겼는데요.

만약 http 통신을 하는 상황에서, 로그인을 한 후에 set-cookie로 발급받은 sessionId를 해커에게 탈취당하면 해커는 해당 sessionID를 이용하여 제 아이디로 로그인이 가능한 상황이 되는 건가요??

Answer

안녕하세요. 웹이드님 좋은 질문입니다.

말씀하신 것 처럼 sessionId를 탈취당하면 큰일납니다.

이것은 sessionId 뿐만 아니라, 대부분의 인증에서 동일한 문제가 있습니다.

그래서 네트웍 구간을 암호화 하기 위해 HTTPS를 사용하고, 추가로 session의 생존 기간을 짧게 가져가야 합니다.

감사합니다.