웹사이트 운영할 때 질문 - 컴퓨터공학 채널

컴퓨터공학 채널

알림 알림 중 알림 취소

구독자 3399명 알림수신 20명 @SeworL

컴퓨터를 좋아하는 사람들의 모임

웹 웹사이트 운영할 때 질문

자료구조

추천 0 비추천 0 댓글 19 조회수 275 작성일 2021-12-23 07:17:41

https://arca.live/b/programmers/40968627

웹사이트 들어가면 f12로 개발자 모드 들어가서 내가 만든 사이트의 소스코드가 다 공개되면

보안상 문제 있을거 같은데 어떻게 해결하나요

댓글 [19] 글쓰기

갈

2021-12-23 08:00:21 답글

*수정됨

내 개발인생에서 이런 질문 잊을만 하면 꼭 나오는 질문이지. 거의 뭐 1달에 한 번꼴.
웹 사이트 올려놓고서 "전능하신 아카라트여, 영원한 빛으로 날 보호하소서." 하는 것과 같다고 보면 된다.
즉, 포기하라는 거지. 보안 정보는 서버단(자바,닷넷,PHP 등)이 있고, 가장 간편한 저장소는 세션이지.
보안 정보를 웹 사이트에 올리는 것 자체가 빛을 스스로 포기한다는 의미라는 점을 알고 가기 바란다.
공개된 웹 사이트에서 그 어떤 짓을 해도 정보는 공개되기 마련이라는 것이지.

펼쳐보기▼

ruby

2021-12-23 08:03:10 답글

문제가 없을것만 보여주면 됩니다
프론트에서 뭘 처리하려 하지 말고 그저 표시만 한다고 생각하면 편하겠네요

펼쳐보기▼

자료구조

2021-12-23 10:17:34 답글

그런데 개발자모드에서 소스탭들어가면 백엔드 코드도 다 볼수 있지 않나요?

펼쳐보기▼

빅데이터에_알고리즘을_사용한닉

2021-12-23 12:56:32 답글

*수정됨

백엔드는 서버에서 돌아가는거니까 볼 수 없지. 브라우저에서 돌아가는건 볼 수 있는거고.

  자바스크립트가 브라우저에서 해석해서 돌아가는걸 항상 전재하에 생각하면 돼

펼쳐보기▼

ㅇㅇ (210.110)

2021-12-23 13:01:10 삭제 수정 답글

백엔드 코드까진 안보여줌...
요청을 다양하게 줘서 백엔드 코드를 분석할순 있겠지만...

펼쳐보기▼

Wnswl

2021-12-23 14:34:19 답글

못봅니다

펼쳐보기▼

네트워크

2021-12-23 10:12:46 답글

그래서 중요한거나 보여주면 안되는건 전부 백엔드에서 갖고 처리해야하고
프론트에는 보여줘도 상관없는 거만 갖고 있어야댐
당연히 프론트는 걍 백에서 온거 보여주는 역할만 맡아야 댐.

 말은 이렇게 해도 아마 대부분 웹개발 강좌나 책은 알게모르게 이렇게 가르쳐 줄 테니까 크게 무서워할 필요는 없음

펼쳐보기▼

자료구조

2021-12-23 10:17:21 답글

그런데 개발자모드에서 소스탭들어가면 코드다 볼수 있지 않나요?

펼쳐보기▼

네트워크

2021-12-23 10:19:51 답글

ㅇㅇ 그러니까 원래 프론트는 소스코드가 사용자들에게 노출될걸 상정하고 코딩을 하는거임
쇼핑몰이라 치면 결제 같은건 그냥 백엔드에서 전부 처리하고, 장바구니에 상품 담고 이런건 따로 로직이 노출되어도 괜찮으니
프론트에서 처리하고.. 이런식이지

펼쳐보기▼

ruby

2021-12-23 10:26:12 답글

그러니까 프론트는 그냥 값을 보여주기만 하고
실제 처리는 서버에서 하라는의미임
딱 프론트와 백엔드는 모니터와 CPU라고 생각하면 될듯

펼쳐보기▼

미소스

2021-12-23 12:06:32 답글

님은 프론트에있는 자스도 백엔드로 치는것같은데 asp.net 이나 자바 서브렛같은건 백엔드 코드 자체를 못보게 숨겨두고 프론트에는 노출이안됨

Microsoft

ASP.NET Core | Open-source web framework for .NET

Build web apps and services that run on Windows, Linux, and macOS using C#, HTML, CSS, and JavaScript. Get started for free on Windows, Linux, or macOS.

님은 프론트에있는 자스도 백엔드로 치는것같은데 asp.net 이나 자바 서브렛같은건 백엔드 코드 자체를 못보게 숨겨두고 프론트에는 노출이안됨

펼쳐보기▼

빅데이터에_알고리즘을_사용한닉

2021-12-23 12:55:57 답글

클라이언트는  소스코드가 노출된다고 생각하면 돼 그래서 중요한건 서버단에서 처리한다고 보면 되고.

개인정보를 클라에 저장하는 생각은 하지않는게 좋음.

펼쳐보기▼

자료구조

2021-12-23 14:37:33 답글

그렇군여

펼쳐보기▼

빅데이터에_알고리즘을_사용한닉

2021-12-23 22:25:24 답글

추가적으로 csrf, cors, xss 같은 웹 보안관련 단어,  jwt, session, cookie같은 사용자 인증관련기술을 찾아보는걸 추천.

펼쳐보기▼

ㅇㅇ (210.110)

2021-12-23 13:02:59 삭제 수정 답글

*수정됨

HTML이랑 CSS랑 JS만 보고 백엔드 코드도 그럴거라고 생각하면안됨;;
백엔드에선 요청받은걸 가지고 백엔드에서 처리한 정보를 프론트에 던짐...

펼쳐보기▼

kmsd

2021-12-23 14:48:12 답글

가장 맘 편한건 백을 api형식으로 작성하면 될듯.
그럼 필요 이상의 데이터를 넘기지 않음.
누가봐도 그렇구나 할만한 데이터만 넘어가고.
jwt나 login데이터를 cookie에 암호화 해서 넣어둔다면 유저가 해킹당하거나 그러면 문제가 되긴 하겠다만 그정도면 다른 방법을 써도 해킹당할 듯..

펼쳐보기▼

렌

2021-12-23 18:05:06 답글

*수정됨

저도 예전에 만화사이트에서 뜯어보다가 소스 긁는 스크립트 찾은적있음.

근데 보통 제대로된 회사에서 만들고 하면 이런건 이미 감쳐줘요. 소스코드도 개발자 창에 보이는게 다가 아님.

윗분들 말처럼 많은 스택 (풀스택의 경우)엔 그냥 서버에서 렌더링을 다 처리하기 때문에 중요한 정보는 애초에 소스에 올라가지를 않음.

예를들어 회원의 비밀번호가 필요하다 -> 그럼 그걸 그냥 인풋으로 받아서 서버에서 새로운 페이지를 보여주는거지 여기서 실제로 웹페이지가 비번을 가지고 뭘 하면 안됨.

마찬가지로 프론트 백 분리된 웹사이트들도 뜯어보기 쉽지 않아요. 요새 js프레임워크 써서 만드는건 사람이 쓰는 코드와 마지막에 렌더링되는 코드 사이에 꽤 거리가 있기때문에 일단 사람이 뜯어봐도 잘 읽히지가 않고, 이런경우는 소스 스크립트들도 프레임워크에서 숨겨줘요. 한번 사이트 react같은걸로 만들고 뜯어보세요. 님이 만든 펑션이나 함수가 그대로 나오지 않고 minified 된 거대한 자스 파일 하나에서 나올꺼임 (솔직히 찾는것도 인내가 꽤 필요할듯)

펼쳐보기▼

빅데이터에_알고리즘을_사용한닉

2021-12-23 22:33:55 답글

약간 번외적인 이야기지만 가끔 자바스크립트랑 서버사이드 언어랑 특정 정보를 php나 jsp사용해서 스크립트에 끼어넣는식으로 코딩하는 사람들도 있던데

다들 위에서 이야기했지만 자바스크립트는 클라이언트에서 노출이 되기 때문에 그렇게 코딩하면 안돼.

상황에 따라서는 스크립트 조작도 가능해서 데이터 그 데이터가 변경되는 식으로 서버쪽 공격당할수도 있어.

펼쳐보기▼

BAMBI

2021-12-25 06:38:33 답글

프론트엔드 서버가 있고 백엔드 서버가 있어요. 프론트엔드 서버는 님이 보는 걸 담당하는 코드와 자료를 보내줍니다. 이게 F12 개발자 탭으로 볼 수 있는 코드와 자료에요. 님의 브라우저가 프론트엔드 서버로부터 프론트엔드 프로그램 (편의상) 을 받아와 돌리면서, 필요한 자료를 백엔드 서버에 요청합니다. 그러면 백엔드 서버는 딱 그 요청에 맞는 자료만 보내줍니다. 예를 들자면 백엔드 서버는 백엔드 서버의 코드는 보내지 않고 댓글 정보 게시글 정보와 같은 정보를 보내주고, 또 유저가 추가를 하면 그걸 받아서 데이터베이스를 업데이트 합니다. 
물론 백엔드에 구현을 해야하는 것들을 프론트엔드에서 하는 잘못된 웹사이트도 있을 수 있고 또 결국 로그인 정보를 담은 토큰을 쿠키던 세션이던 보안 위험에 노출될 수 있는 유저의 브라우저에 저장해야 하는등 위험은 항상 존재하긴 합니다.

펼쳐보기▼