오늘 배운것
- https 뭔데? - security를 위해, 암호화 개념,
- SSL, TSL : 최초/ 나중 국제표준화 승격, 약간 최신버젼, 거의 동일 묶어서 대체로 SSL로 칭함
- 암호화의 두 가지 방법 -> 대칭키 vs 비대칭키
- https에서는 비대칭키 : 공개키(문고리, client) - 개인키(열쇠, server)
- CA : 인증기관에서 인증서를 만들고, 브라우저마다 신뢰하는 인증기관 다를 수 있다, 개인이 임의로 만든 certd의 경우, 보안 경고가 뜨는 걸 볼 수 있음
- https가 왜 필요한데?
-
무결성,기밀성을 위해
-
무결성 : intergrity, 정보가 변조되지 않는다는 것, <->중간자공격
-
기밀성 : 사용자의 개인정보 보호 (http의 경우, wireshark과 같은 프로그램으로 클라-서버간 http요청,응답을 들여다 볼 수 있다)
-
그래서 그 암호화 어떻게 하는 건데? Hash
- Hash? 해쉬 브라운 : ㅇㅇ 잘게 부수다, 알아볼수 없게 결과를 변형
원래의 값 -----해쉬함수 -----> 변형된 값 :이게 암호화 - Q.그럼 반대로 복호화, 변형된 걸 원래로 돌릴 수 있을까?
A. yes or no, 수학적으로 가능은 하지만, 그 시간이 상당히 걸린다, 사실상 불가능, -> 그렇다면 완벽하게 안전하겠네? - No, 레인보우테이블의 예 (원래 값, 해시로 변형한 값을 대조한 테이블 같은 거에서 같은 해시 찾아서 원래값 유추하기)
- Salt : 원래값에 소금쳐서(임의의 문자추가, 서버가 기억, 또는 값마다 다르게 생성해서 서버에 저장하거나..) 해시함수에 넣으면 전혀다른 해시값 생김 -더욱 안전, + 이렇게 나온 해시값을 다시 해시함수에 넣고 다시 넣고, 겹겹 - 더더욱 안전 ex) bcrypt
*추가 상식: 케르크호프스의 원리 : 알고리즘이 노출되어 있으면 위험한거 아닌가요? no, 수학적으로? 키가 공개되지 않으면, 알고리즘이나 기타 다른 부분이 다 공개되어 있어도 안전하다는 것을 증명...
** 딴소리: 자료구조 해시테이블의 해시는 사전적의미상의 비슷한 맥락은 있지만 암호화의 해시와는 조금 다른 주제 - Hash? 해쉬 브라운 : ㅇㅇ 잘게 부수다, 알아볼수 없게 결과를 변형
- Cookie
-
http의 무상태성을 보완
-
서버에서 일방적으로 클라이언트에 보내는 데이터 (나라에 따라 의무적으로 사용자에게 허락을 구하도록 하기도, ex)팝업창-쿠키동의? )
-
최초로 클라에서 서버에 요청 보낼때, 서버에서 헤더에 넣어서 보낸다, 뭐를? 쿠키에 session_id를!
그럼 브라우저는 해당도메인과 쿠키를 저장하고
이후에 해당 도메인에서 요청보낼 때 쿠키가 있다면 늘 session_id 함께 보낸다, -> 상태를 기억할 수 있다, ex)다크모드, 장바구니 담긴 상품들 등
-> 그래서 요 쿠키에는 중요한 정보가 담겨있으므로 피씨방 로그아웃을!
-> 이런 위험을 보안하기 위해, session의 maxAge, expire등 옵션이 생겨남 -
express-session - 서버에서 자동 connect.sid를 만든다 - 공식문서 좀 더 봐야됨, sprint - ing
TOY 33_ LIS_ 연속되지 않은 오름차순 부분배열: "연속되지 않은"이 꾸미는 건 부분배열이다, 요소(수)가 아닌. 국어가 더 어려움
-> 레퍼의 naive 코드를 따라 돌려보니 아무리 작은 배열을 넣어도 바로 맥스콜스택..ㄷㄷ DP 고 뭐고 완전탐색이라도 기본기를 좀 쌓고 익혀야 할텐데ㅠ
느낀 점
- 스프린트 할 땐, 머야머야 왜 안돼, 되네, 안 되네? 된다? 무한반복,
개념 정리할 땐 재밌어, 신기해.. - 쿠키라고 지은사람 누구야...귀엽게
- 청와대 사이트 http 실화입니까아ㅠ IE 서비스 종료 된다한지가 꽤 됐는데, 공공기관 사이트 다 어찌 하고 있는걸까...
내일은
- 인증/보안 기초 이어서 token?
