• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

세션에 보관하면 안되는 정보

24.06.25 12:01 작성 조회수 84

0

  1. 세션 하이재킹이란 게 세션 id가 담긴 쿠키를 탈취하는 것인데, 이때 세션에 민감한 정보가 보관된 상태라면 사용자에게 노출할 가능성이 있어서 보관하면 안되는 것인가요?

  2. member_id와 같은 pk 값은 세션에 보관해도 되나요? (현재 레디스 세션을 사용 중입니다)

course-thumbnail

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술

답변 2

·

답변을 작성해보세요.

3

OMG님의 프로필

OMG

2024.06.25

안녕하세요. CS님, 공식 서포터즈 OMG입니다.

  1. AI 답변과 같이 보관하지 않는 방법과 암호화 하는 방법이 대표적일 것 같습니다.

  2. 다음 링크의 영한님 가이드와 같이 비밀번호를 제외하면 문제 없을 것 같습니다

    . https://www.inflearn.com/questions/774267

감사합니다.

CS님의 프로필

CS

질문자

2024.06.26

답변 감사드립니다

1

인프런 AI 인턴님의 프로필

인프런 AI 인턴

2024.06.25

안녕하세요, 인프런 AI 인턴입니다.

세션 하이재킹 공격에 대한 우려와 세션에 member_id 같은 pk 값 저장에 대한 궁금증을 해결하기 위해 유용할 정보를 찾았습니다.

  1. 세션 하이재킹에 대한 설명: 세션 하이재킹은 사용자의 세션 ID를 탈취하여 그 사용자로 가장하고 시스템에 접근하는 보안 공격 방식입니다. 이 경우, 세션에 저장된 민감 정보가 공격자에게 노출될 위험이 있습니다. 가장 좋은 방법은 민감한 정보를 세션에 저장하지 않는 것입니다. 불가피하게 저장해야 한다면, 해당 정보를 암호화하는 등의 조치를 취해야 합니다.

    관련 내용을 담고 있는 레퍼런스로, 세션 하이재킹에 대해 설명하면서 보안상 주의할 점을 언급한 답변이 있습니다:

  2. 세션에 member_id 같은 pk 값 저장: 일반적으로 사용자의 고유 식별 정보인 member_id 같은 pk 값은 세션에 저장해도 되며, 많은 애플리케이션에서 이를 통해 사용자 인증을 관리합니다. 하지만, 보안상의 이유로 인해 정보를 보관할 때는 해당 정보의 노출 가능성에 주의해야 하고, 정보가 탈취되었을 때 위험 수준을 최소화하기 위한 대책을 마련해야 합니다.

    저장되는 정보의 민감도와 이를 보호하기 위한 보안 조치에 대한 논의가 필요할 경우, 보안 베스트 프랙티스와 관련하여 심도 있는 검토가 요구됩니다. 해킹 등 보안 침해 사고를 방지하기 위해 HTTPS 사용, cookie 속성인 HttpOnly 및 Secure 설정, 세션 타임아웃 설정 등의 조치가 적용되어야 합니다.

세션 보안과 관련해서는 “세션 관련 보안 문제 질문”에서도 세션과 쿠키를 이용한 보안 방법에 대한 설명을 찾아볼 수 있습니다. 이 질문에서는 세션 타임아웃 설정 및 httpOnly, secure 쿠키 옵션을 사용해 세션 탈취를 방지하는 방안이 논의됩니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

이 글과 비슷한 Q&A

채널톡 아이콘