쿠키(Cookie)

wellsbabo·2023년 7월 12일
0

거인의 어깨 위에 서기

목록 보기
1/6
post-thumbnail

쿠키란?

쿠키는 웹 브라우저에 저장되는 데이터로 서버와 클라이언트 간의 상호작용이 일어날 때 사용자를 식별하는데 사용됩니다.

HTTP는 비연결성, 무상태의 특징을 갖고 있으므로 사용자를 식별할 정보를 저장할 수 없기 때문에 쿠키를 사용하여 매번 번거로운 인증 절차를 하지 않고도 사용자를 구별할 수 있게 되었습니다.

쿠키를 통해 웹 사이트에서 사용자를 식별함으로써 이전에 사용자의 활동 내역(즐겨찾는 탭, 장바구니, 오늘 클릭한 상품 등)을 보여줄 수 있습니다.

쿠키 사용방법

브라우저에서 서버로 요청을 전송할 때 그 요청에 대한 응답 헤더에 Set-Cookie가 포함되어 있으면 브라우저는 그 데이터를 저장하게되고, 이 데이터가 쿠키가 됩니다.

set-cookie: country=korea

응답 헤더에 위와 같이 Set-Cookie 헤더가 포함된 경우, Country라는 키에 korea라는 값이 들어간 데이터가 저장되게 됩니다.

그리고 브라우저에서 쿠키를 담아서 서버에 요청할 때는 헤더에 Cookie를 포함시켜서 전송하게 되고, 서버는 이것을 읽어서 사용자를 식별하고 필요한 곳에 사용할 수 있게 됩니다.

cookie: country=korea

이렇게 쿠키를 주고받게 되는데, 이 쿠키에 세션 ID를 넣어서 사용자를 식별하는 방식이 가장 많이 사용되는 방식입니다.

즉, 쿠키의 생성과 사용과정을 간략하게 설명하면 아래와 같습니다.

  1. 클라이언트가 서버에 정보를 요청한다.
  2. 서버는 쿠키를 생성하여 HTTP 헤더(Set-Cookie)에 담아서 요청한 정보와 함께 클라이언트에게 보낸다.
  3. 클라이언트는 받은 쿠키를 저장한다.
  4. 같은 서버에 요청시, 저장했던 쿠키를 요청과 함께 보낸다.
  5. 쿠키에 업데이트할 데이터가 있으면 서버는 해당 쿠키를 업데이트 해서 요청한 정보와 함께 보낸다.

쿠키 사용의 장점

  1. 사용자를 식별할 수 있기 때문에 매번 로그인할 필요가 없어진다.
  2. 사용자의 이전 활동 내역을 바탕으로 알맞은 설정이나 정보를 줄 수 있다.
  3. 쿠키 정보를 바탕으로 사용자의 패턴을 분석할 수 있다.

쿠키의 단점

  1. 사용자의 로컬에 저장하기 때문에 보안이 취약하여 쉽게 조작되거나 가로챌 수 있다.

쿠키의 속성

쿠키는 key와 value로 이루어져 있으며, 만료기간, 도메인, 경로 등의 정보를 가지고 있습니다.

여기서 중요한건 도메인입니다.
쿠키는 유효한 사이트를 명시하기 위해 도메인을 설정해놓게 되는데,

set-cookie: counrty=korea; Domain=127.0.0.1

위와 같이 도메인을 명시해놓게되면, 이 쿠키는 해당 도메인에서만 유효하게 됩니다.
즉, 127.0.0.1을 대상으로 한 요청에만 counrty 쿠키가 전송되게 되는 겁니다.
(별도의 명시가 없다면 기본값으로 쿠키를 보낸 서버의 도메인으로 설정됩니다)

퍼스트파티 쿠키 & 서드파티 쿠키

위에서 말한 도메인을 기준으로 First-party cookies와 Third-party-cookies가 나뉘게 됩니다.

Thrid-pary-cookies: 사용자가 접속한 페이지와 다른 도메인으로 전송하는 쿠키. 즉, Referer 헤더와 쿠키에 설정된 도메인이 다른 쿠키입니다.

서드파티 쿠키는 서로 다른 도메인으로도 계속해서 전송되기 때문에 사용자를 추적하며 알맞는 광고를 제공할 수 있으므로 애드테크 회사들에서 아주 유용하게 사용하고 있다고 합니다.

(출처: 블로터)

쿠키에 별도의 설정을 하지 않으면, 브라우저는 모든 HTTP 요청에 대해서 쿠키를 전송하게 됩니다. 이러한 특성으로 인해 서드파티 쿠키는 CSRF 공격에 취약할 수 밖에 없습니다.
CSRF 공격의 과정을 설명하면 아래와 같습니다.
1. 쿠키로 사용자 인증을 수행하는 사이트를 공격 target으로 선정한다.
2. 피해자는 이미 공격 대상 사이트에 로그인 되어 있어서 브라우저에 쿠키가 있는 상태이다.
3. 해커는 피해자에게 피싱을 통해 특정 링크(공격 target과는 다른 도메인)를 누르게 한다.
4. 링크를 누르면 공격 target 사이트로 해커가 조작한 HTTP 요청을 보내게 된다.
5. 이 요청에는 피해자의 쿠키가 포함되어 있으므로 해커가 의도한 동작이 실행되게 된다. (ex. SNS에 의도하지 않은 광고, 선정적 게시물 게시)

이러한 문제를 해결하기 위해 SameSite라는 기술이 나오게 되었습니다.

First-party-cookies: 서드파티 쿠키와 반대로 사용자가 접속한 페이지와 같은 도메인으로 전송되는 쿠키입니다.

아래 거인(고수)들의 도움을 매우매우 많이 받아서 작성한 글입니다.
참고링크 1
참고링크 2
참고링크 3

profile
wellsbabo
다음 포스트

Cross-Site와 Same-Site 속성

0개의 댓글