-
카테고리
-
세부 분야
웹 개발
-
해결 여부
미해결
안녕하세요! 질문있습니다.
20.12.26 17:13 작성 조회수 208
8
안녕하세요. 영한님, 항상 좋은 강의 감사드립니다.
한가지 궁금한 점이 생겼는데요.
만약 http 통신을 하는 상황에서, 로그인을 한 후에 set-cookie로 발급받은 sessionId를 해커에게 탈취당하면 해커는 해당 sessionID를 이용하여 제 아이디로 로그인이 가능한 상황이 되는 건가요??
답변을 작성해보세요.
18
김영한
지식공유자2020.12.26
안녕하세요. 웹이드님 좋은 질문입니다.
말씀하신 것 처럼 sessionId를 탈취당하면 큰일납니다.
이것은 sessionId 뿐만 아니라, 대부분의 인증에서 동일한 문제가 있습니다.
그래서 네트웍 구간을 암호화 하기 위해 HTTPS를 사용하고, 추가로 session의 생존 기간을 짧게 가져가야 합니다.
감사합니다.
답변 1