어디 공단이나 부두, 사내 시스템 같은 거 접근할 기회 있으면 한 번 아무 요청이나 해서 디버깅 프록시로 따봐
권한이 구축 되어 있는 시스템도 의외로 요청에 크리덴셜 없이 사용자 ID만으로 되어 있는 경우가 많고,
예상 사용자 규모가 한정 된 사이트는 WWW에 올라가 있어도 서버사이드에서 board.innerHTML = {사용자 입력} 이러고 있는 경우 엄청 흔함.
진짜 보안이 중요한 곳도 인트라넷이니까 됐다는 식이라, 일단 망에 들어가면 보안이라는 게 없는 경우가 많고.
실제로 저런 걸 만드는 모두가 이걸 '위험하다'라고 생각하지 않는 건 아냐. 기본적인 보안을 구축하는 게 그리 어려운 것도 아니고
안 위험하게 하는 데에 이 정도 시간과 비용이 드는데 하실?하고 클라이언트에게 물어보면 그러라고 하는 경우가 없을 뿐
그래서 좆소 SI가 작업하면서 이런 문제에서 비교적 자유로운 건 전자정부 정도인 듯.
걔네는 보안 요구사항이 기본적으로 존재하고, 보안은 사양을 설계하는 게 어려운 거지 구현하는 게 어려운 게 아니니까.
나는 절대 쇼핑몰이니 뭐니 소규모 사이트에서 개인정보 제대로 작성 안 함....
니들도 oAuth 되는 사이트는 무조건 oAuth로만 이용해라
