세션기반 로그인 쓰는데
일침충새끼가 ‘세션쿠키 훔쳐가면 계정 탈취되는데 막아야하지않음?’
이러는데 http only랑 secure 설정되어있어서 보통 상황에선 괜찮을거라고 했더니
개발자모드 키더니 세션쿠키값 복사해서 다른 브라우저에 만들더니
‘이러면 탈취되는데요?’
이지랄하는데 어떻게 해야하냐 아오 씨발련
일침충새끼가 ‘세션쿠키 훔쳐가면 계정 탈취되는데 막아야하지않음?’
이러는데 http only랑 secure 설정되어있어서 보통 상황에선 괜찮을거라고 했더니
개발자모드 키더니 세션쿠키값 복사해서 다른 브라우저에 만들더니
‘이러면 탈취되는데요?’
이지랄하는데 어떻게 해야하냐 아오 씨발련
원하는대로 만들고 PR 올리라고 하셈
이새끼 백엔드도 아니고 기획자임
보안에 많이 신경쓰는 세심한 친구네요 맞는 말이니까 얌전히 2차 인증 구현하죠
2차인증 구현했더니 otp비번 털리면 어쩌냐고 하면 어떡함?
그건 사용자 잘못이니 괜찮아
이것도 어떻게 보면 비슷하잖아 직접 값 추출해서 넘겨준다는건데
PM이 하는 소리는 결국 책임 소재를 넘길 대상이 필요하다는거 아닐까
유저가 스스로 세션키 긁어서 딴데서 쓰겠다는데 뭐가 문제? - dc App
X 에서도 같은 방식으로 탈취가능하다는거 보여주면 어떨까
강도가 칼들고 협박하는거 막아달라고 하는거랑 똑같은 소리같긴 한데.. 세션목록 보여주고 로그아웃 시키는거 만들면 오케이 할듯
은행 사이트들은 그것도 막는데
그거 쓸데없이 막느라 오히려 보안구멍 만들고있는건 알고하는소리임?? ㅋㅋㅋㅋㅋ
방법은 있지 근대 그거 개발할 시간은 준대? - dc App
bypass가 불가능한건 아닌데 자기손으로 직접 쿠키값 복붙해서 탈취된다하는건 진짜 저능아같네