[jsp] 보안 로그인

[jsp] 보안 로그인

포털 사이트를 구축한 곳에서 보안 로그인에 대해서 이슈가 나왔습니다.

로그인시에 아이디와 암호가 평문 전송 된다는 것입니다. 

여러가지 자료를 검토해 본 결과 3가지 정도의 적용안을 잡았습니다.

1) https 로그인 페이지로 전환하여 로그인 한다.

2) 기존 로그인 방식을 유지하고 로그인 정보에 대해서 RSA 공개키 기반 암호화를 적용한다.

3) 보안 로그인 체크 박스를 두어 체크시 https로 전환하고 로그인 후 http로 전환한다.

2)의 RSA 공개키 기반 암호화는 괜찮은 방법으로 보입니다. 

자바스크립트 RSA 라이브러리는 (http://www-cs-students.stanford.edu/~tjw/jsbn/) 

BSD license 제공하고 있어서 대형 웹사이트에서 로그인시에 많이 사용하고 있었습니다.

어떤분이 샘플예제를 만들어서 설명을 잘 해 주었더군요 (  http://blog.coders.co.kr/?p=61  )

구글에서는 http://code.google.com/p/crypto-js/ 라는 자바스크립트 암호화를 제공하고 있습니다.

보안 로그인 쪽에 대해서 기술 조사를 하다보니까 이제는 웹사이트를 구축한다면 https를 적용이 필수인 것 같

습니다. 돈을 주고 구매를 해야 하는데 매년 사용료를 지불해야 합니다. 

개인적으로 사용 할 것이라면 사설인증서를 만들어서 사용하면 되지만 

고객 서비스 사이트라면 문제가 될 것으로 보입니다.

[jsp] 보안 로그인