2023년 06월 30일
일맥상통
📚 오늘 도전하고, 배운 것
계속 조금 더 완벽하게 해야지 하는 생각때문에 진도를 못빼고 있다. 세상에 완벽한 것은 없기 때문에 일단 해놓고 계속 고쳐나가도록 해야겠다. 잘 알면서 마음대로 잘 안된다.
인증과 보안에 대해서 이틀간 생각을 해봤다. 그러던 중에 한 메시지를 발견했다.
사용자 로그인 세션은 다양한 방법으로 탈취될 수 있습니다. 가장 좋은 방법은 XSS 공격에 취약하다는 사실을 받아들이는 것입니다. 그리고 사용자 세션이 탈취되었을 때 발생할 수 있는 피해를 완화할 수 있는 방법에 대해 생각해 보세요. 은행에서 사용하는 한 가지 예는 사용자가 송금할 때마다 일종의 2FA 단계를 요청하는 것입니다. 공격자는 로그인 세션은 가지고 있지만 2FA 코드는 가지고 있지 않을 수 있습니다.
앞서 내가 100% 완벽하게 하지 못하는데 굳이 붙잡고 있는 것도 어리석은 짓이라는 걸 깨달았다. 대신 최악의 상황이 벌어졌을 때 이를 이겨낼 수 있어야 한다. 인증도 마찬가지...
이걸 보니 이틀 전에 운동하면서 들었던 인터뷰 내용이 생각났다. 애널리스트의 인터뷰였는데 많은 투자자들, 소위 말하는 부자들이 조언을 하라고 하면 대부분 '마음가짐'에 대한 조언을 한다고 한다. 그것에 대해서 어떻게 생각하냐는 질문에 첫째로, 당연히 그들이 미래의 모든 것을 알지 못하기 때문에 그렇게 밖에 조언을 할 수 없고 또 그렇기 때문에 어떤 상황이 와도 침착하게 대응할 수 있는 마음가짐의 중요성을 강조하는 것 같다고 했다.
어쩐지 이번주는 모든 것이 일맥상통이다.
🤔 학습하면서 궁금하거나 어려웠던 점
토큰 인증 방식을 사용하면서 로그인을 유지하는 방법에 사람들이 다양한 방법을 사용하고 있다.
- 토큰이 만료되기 전에 새로 가져오기 (refresh token)
- localStorage에 저장하기
뭐가 나을까, 당연히 localStorage에 저장하는 것은 XXS 취약점 때문에 문제가 발생할 것이다. 1번도 생각해봤는데 불필요한 요청을 하는 것 같기도 하다. 내일까지 꼭 결정을 내리도록 하자.
🌅 내일은 무엇을?
✒️ log
- 피곤하다. 체력관리가 중요하다.