Chapter 14 - 보안 HTTP

📌 읽으면서 밑줄친 내용 그대로 옮겨 적음. *이 붙은 문장은 생각.
  • 중요한 트랜잭션을 위해서는, HTTP와 디지털 암호화 기술을 결합해야 한다.
  • HTTP의 보안 버전은 효율적이고, 이식성이 좋아야 하고, 관리가 쉬워야 하며, 현실 세계의 변화에 대한 적응력이 좋아야 한다.
  • HTTPS를 사용할 때, 모든 HTTP 요청과 응답 데이터는 네트워크로 보내지기 전에 암호화된다.
  • 안전 소켓 계층(Secure Sockets Layer, SSL)
  • 전송 계층 보안(Transport Layer Security, TLS)
  • 암호는 상대적으로 간단한 알고리즘으로 시작했는데, 사람이 직접 인코딩하고 디코딩해야 했기 때문이다.
  • 대부분의 경우, 인코딩 및 디코딩 알고리즘은 공개적으로 알려져 있으므로, 키만이 유일한 비밀이다!
  • 무차별로 모든 키 값을 대입해보는 공격을 열거 공격이라고 한다.
  • 공개키 암호 방식의 알고리즘은 계산이 느린 경향이 있다.
  • 디지털 서명은 메시지에 붙어있는 특별한 암호 체크섬이다.
    • 서명은 메시지를 작성한 저자가 누군지 알려준다.
    • 서명은 메시지 위조를 방지한다.
  • 디지절 인증서에 대한 전 세계적인 단일 표준은 없다.
  • 브라우저들은 여러 서명 기관의 인증서가 미리 설치된 채로 출하된다.
  • HTTPS는 HTTP 프로토콜에 대칭, 비대칭 인증서 기반 암호 기법의 강력한 집합을 결합한 것이다.
  • 보안 HTTPS 트랜잭션은 항상 서버 인증서를 요구한다.
  • 인증기관에 의해 서명된 서버 인증서는 클라이언트가 정보를 보내기 전에 그 서버를 얼마나 신뢰할 수 있는지 평가하는 것을 도와줄 것이다.
  • SSL은 복잡한 바이너리 프로토콜이다.
  • 클라이언트가 서버로 보낼 데이터를 서버의 공개키로 암호화하기 시작했다면, 프락시는 더 이상 HTTP 헤더를 읽을 수 없다!
  • HTTPS SSL 터널링 프로토콜
  • 클라이언트는 먼저 프락시에게 자신이 연결하고자 하는 안전한 호스트와 포트를 말해준다.

알게된 점

  • 이번 챕터 전부.. ?

관련해서 같이 이야기 나누고 싶은 점

  • 최근에 다량의 안드로이드 앱들에 악성 코드가 심어진 기사를 봐서 그런지, 브라우저가 변조된다면? 이라는 생각을 해봤습니다. 브라우저가 해킹되어 브라우저에 설치된 서명 기관의 인증서가 변조된다면…?