안녕하세요🙌! 개발자 갈레입니다! 이번 글에서는 스프링 프로젝트에서 AWS SecretsManager를 이용하여 보안 프로퍼티를 주입하게 된 과정과 결과에 대해 알아볼겁니다! 들어가며 글을 읽으면서 여러분들이 스스로의 프로젝트에 맞는 적절한 도구를 선택하고 pros and cons를 생각하며 적용까지 할 수 있는 시야 혹은 사고 과정 틀을 얻을 수 있으면 합니다. 이를 얻으면 여러분의 프로젝트가 제것과 다를지 몰라도, 논리적인 사고 과정은 큰 틀을 벗어나지 않기 때문에 분명 도움이 될거라 생각합니다. 그럼 시작해볼까요! 궁금증(호기심)을 가지면 좋은 컨텐츠 보안 프로퍼티를 왜 신경써야할까? 보안 프로퍼티 관리 도구는 어떤 특징을 가져야할까? 현재 프로젝트에 적용하기 좋은 방식은? 글을 읽으시면서 핵심 부..
💪동기 현재는 redis와 mysql만 도커 이미지로 사용하고 spring 프로젝트는 도커 이미지로 사용하고 있지 않았음. 배포를 따로 하지 않았기 때문에 문제가 되지 않았음. 하지만 배포를 하게 되면 spring 프로젝트도 도커 이미지로 빌드 되기 때문에 이를 저장할 저장소가 필요했음. 🏃♂️목표 도커 이미지를 저장할 저장소 찾기 🗒️데이터 특성 파악 도커 이미지가 어떻게 저장돼있는지 알아야 이를 저장할 공간을 선정할 수 있음. docs.microsoft에 따르면 도커 이미지는 연속된 레이어로 구성된 파일 묶음임.[1] 해당 레이어는 윈도우 기준 C:\\ProgramData\\docker에 저장돼 있지만, “image”와 “windowfilter” 디렉토리에 나눠져 있음.[2] 도커 이미지를 다룰 때..
안녕하세요🙌! 개발자 갈레입니다! 이번 글에서는 사용자의 UX를 고려한 로그인(세션, 쿠키) 보안 전략 수립에 대해 다뤄볼겁니다! 들어가며 컨텐츠만 보면 막 궁금증이 있는 분들이 있으실거에요! 보통 기술 구현에만 집중하다 보면 잊을 수 있는 중요한 질문들입니다:) Q. 로그인에 사용자 UX를 고려할게 있나? Q. 로그인 보안 전략이랄게 있나? 실제로 로그인을 구현하다보면 사용자 UX를 고려한 여러 보안 전략🔒을 세울일이 많답니다! 사용자 UX를 고려하지 않으면, 사용자가 자주 로그인😡해야할 수도 있습니다. (사용자는 친절하지 않습니다:)😬) 그렇다고 사용자 UX만을 고려하자니 사용자의 의 정보 탈취 가능성이 높아집니다! 편의와 보안은 Trade off인 경우가 많습니다. 글을 읽으면서 여러분들이 스스로의..
안녕하세요👋! 개발자 갈레입니다! 오늘은 filter를 사용하여 반복되는 응답 로직 제거하는 방법에 대해 알아보겠습니다! 들어가며 제 인사말을 듣고 딱! 궁금해하시는 분이 있으실거에요! Q.반복되는 응답 로직을 제거 하는 방법은 filter로 해야하나요? 다른 방법은 없나요? 아주😃! 좋은 질문입니다👍👍👍! 저희는 반복되는 (응답) 로직을 제거하는 방법들에 대해서 알아본 후, 반복되는 '응답' 로직을 제거하려면 어떤 방법들을 쓰는게 좋을지 상황에 따라 비교 분석할겁니다. 궁금증(호기심)을 가지면 좋은 컨텐츠 반복되는 응답 로직을 왜 제거하나요? 이점은? 제거 방법들엔 뭐가 있나요? 비교 분석? 언제 사용 해야하나요? 예외 사항은? 글을 읽으시면서 핵심 부분(노란)과 꼬리질문(초록) 부분에 집중하며 읽어주..
안녕하세요🙌! 개발자 갈레입니다! 지난 글 브루트포스 공격 특성을 고려한 비밀번호 해싱 알고리즘 선정(1)에 이어서 비밀번호 해싱 알고리즘 선정을 마무리하고 Spring 프로젝트에 적용까지 해보겠습니다! 들어가며 비밀번호가 암호화된 정보는 복호화가 되면 안돼기 때문에 단방향 해싱 함수를 썼어야 했습니다. 하지만 조금만 구글링 해도 과 같이 SHA 알고리즘의 문제점을 확인할 수 있었죠! 자 문제점(요구 사항)이 생겼습니다! 해결하기 위해 개념을 이해하기에 좋은 무기⚔️ '왜❓'를 꺼내봅시다! 궁금증(호기심)을 가지면 좋은 컨텐츠 그렇다면 SHA-1은 왜 지원 중단 됬을까요? SHA-1은 어떤 문제가 있었을까요? SHA-2는 안전할까요? 글을 읽으시면서 핵심 부분(노란)과 꼬리질문(초록) 부분에 집중하며 읽..
안녕하세요🙌! 개발자 갈레입니다! 여러분들은 비밀번호를 평문으로 저장하면 안된다는 것을 알고 계셨나요? 권장 사항이냐구요? 강제 사항입니다! 법으로 실제로 명시가 돼있거든요 ㅎㅎ 은 가장 최근에 개정된 개인정보 법입니다:) 개인정보의 기술적·관리적 보호조치 기준[시행 2020. 1. 2.] 제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. Q. 그렇다면 '왜' 비밀번호는 평문으로 저장하면 안될까요? 개발자A: DB가 탈취되면 민감한 개인정보(비밀번호)등이 유출될 수 있기 때문에요! 해당 개인 정보는 개발자도 볼 수가 있어요! 실제로 페이스북🌐에선 비밀번호를 평문으로 저장했었습니다. 난리가 났었죠! 페이스북, 내부 서버에 사용자 비밀번호를..
