Gentle Breeze

▶ 암호학과 보안 - 암호학(cryptology) = 암호기술(cryptography) + 암호분석(cryptanalysis) - 암호학에 대한 보안 요구사항 - 기밀성 - 무결성 - 인증 - 부인봉쇄 - 암호 시스템의 안전성은 키의 비밀성에 달려있음 - 암호화의 3요소 : 알고리즘, 키, 키 사이즈 - 원시 암호법 : Eg) 시저 사이퍼 - 현대 암호학 - 대치(substitution) - Mono-alphabetic Substitution : 평문의 문자가 항상 동일한 암호문의 문자로 대치 빈도수 분석에 취약 - Poly-alphabetic Substitution : 일정한 규칙 적용, 평문의 동일한 문자가 암호문의 다른 문자로 치환 통계적 분석에 취약 - 전치(transposition) : 평문 문..

▶ 통제 - 운영보안통제 : 통제 적용 시점에 따른 분류(예방, 탐지, 교정) - 예방통제 : 의도되지 않은 오류의 횟수 및 영향 감소 인가되지 않은 침입 통제 사전 방지를 위한 예방 - 탐지통제 : 위협이 현실화 될 때 탐지하기 위한 활동, Eg) IDS Logging을 통한 감사 증적(Audit Trail, 감사추적) - 교정통제 : 복구통제 위협의 현실화를 통한 사고가 발생한 후 손실의 영향을 최소화 사고 후 복구활동, 대응절차, Eg) BCP DRP - 응용프로그램 통제 : 응용프로그램의 불법 동작을 감지, 영향을 최소화 입력통제 - 편집통제(CISSP에서는 같은 의미) 처리통제 - 연산통제(프로그램 로직), 데이터파일 통제(DB), 편집통제 출력통제 - 트랜잭션 통제 : 응용프로그램 통제와 같은..

▶ 응용시스템 - 분산환경 - 프로그램이나 데이터가 네트워크 상에서 2대 이상에 거쳐 처리되는 것 - Agent, Applet 지원, 보안에 취약 - 분산 시스템 구조 : 주/종속 처리, 클라이언트/서버, Peer to Peer(P2P) - 분산 환경의 표준 - CORBA (Common Object Request Broker Architecture) : 표준 스펙 Client Application에서 Remote Server에 있는 한 객체가 가지고 있는 기능을 이용 Client 에서 Broker를 만들어 상호간 통신 Location Transparency(위치 투명성) : Remote Server 위치가 바뀌더라도 클라이언트의 소스는 불변 - RMI (Remote Method Invocation) : ..

The HttpOnly cookie is supported by most modern browsers. On a supported browser, an HttpOnly session cookie will be used only when transmitting HTTP (or HTTPS) requests, thus restricting access from other, non-HTTP APIs (such as JavaScript). This restriction mitigates but does not eliminate the threat of session cookie theft via cross-site scripting (XSS). This feature applies only to session-m..

▶ 통신보안기술 - SSH(Secure Shell) - 패킷을 암호화 하여 IP 스푸핑, DNS 스푸핑 등으로 부터 보호 - RSA 기반의 공개키/개인키 pair 방식을 이용 - SSH1 - 기존의 Telnet 을 대체하기 위해 만들어 짐 - Public Key, OTP 를 이용한 인증 - SSH2 - 다양하며 강력한 암호화 - Secure Hash Algorithm 을 이용한 인증 (SHA256 / SHA512) - SSL (Secured Socket Layer) - 클라이언트는 서버를, 서버는 클라이언트를 인증 - Netscape 에서 개발 - WEB 버전 : HTTPS (클라이언트가 서버를 인증) - S-HTTP (Secure HTTP) - VISA card 에서 개발 - Request 와 Resp..