60 days
[ Don't try to memorize,
just repeat it
Until you automatically read it ]
Chatterbox Client를 통해 서버의 메세지 입출력을 실험하고, XSS 공격을 통한 보안 필요성에 대해서 공부를 진행했다. XSS 공격에서 다양한 일들이 벌어지고 이러한 것을 어떻게 막아야하는지 생각해볼 수 있었다. 어제 개인적으로 코드를 만져보면서 Select는 진행했는데, 정작 페어님이랑 같이 진행한 코드에서 시간이 부족해서 Select 를 적용해보지 못한 것이 좀 아쉽다.
더불어 점심시간에 짬내서 실시간으로 fetch를 진행시켜봤는데 적용되서 신기했다. 동기님들 코드가 실시간으로 올라오는 걸 지켜보는 재미는 있었다 ㅎㅎ 주말동안 좀더 보강해서 올려보고 헬프데스크 질문도 올려봐야겠다.
브라우저 보안에 대해서는 공부해야하는 시간이 짧다보니 사실 정리하는데도 많은 시간이 들었다. 오늘 다 정리 못 했는데, 내일 본격적으로 또 이 보안 부분과 더불어 서버에 대한 스프린트가 진행된다.(멘붕쓰) 추석 전까지 이어지는 분기별 스프린트 내용이 어마무시한 느낌...주말 내리 해야할 것이 또 많아진 기분이다.
TIL(진행마감사항 + 하루 마감 후 작성)
- Browser Security → 해당 포스팅
- 내용 수정 진행 중 : CORS
- Chatterbox - Client
서버 메세지 입출력 가능최근 메세지 상단으로 올리기→ 개인 자유 (적용완료)- 채팅방 그룹 설정(select 태그)
- 서버에 만들어진 것을 이용하는가?
→ 중복된 채팅방 그룹 삭제 - 목록을 만들어둬야하는가? → 개인 자유이므로 하단 방향성에 대해 생각해보기
→ 기본 세팅은 있어야 하지않을까?
→ 유저에 의해 새롭게 개설된 채팅방 - 특정 룸을 선택해서 메세지 전송하기
- 서버에 만들어진 것을 이용하는가?
실시간 반영- 그룹설정을 이동했을 때도 미적용 상태
추가적 공부
1.암호학은 내가 하고싶은대로 하지마라(트랙메코드) → 검증된 코드를 써라.
- NaCl, libsodium, and Tink
2.치트시트 : 잘 구현된 미들웨어나 라이브러리 사용 - 아카이빙
Cross Site Scripting Prevention Cheat Sheet
Cross-Site Request Forgery Prevention Cheat Sheet
3.내가 읽고있는 데이터가 '최신'인가?(기술에서는 특히 중요) → but, 바뀌지않는 원리는 크게 구애 받지 않음.
4.유저의 인풋을 절대 신뢰하지 말자.
5.WAF(Web Application Firewall) 알아보기 → 참조링크
6.SCAN YOUR SITE(https://securityheaders.com)
