우선 저희 사이트는 부분 SSL을 사용하고 있습니다. SSL을 사용시 다소 제약이 되는 부분도 있긴합니다. 여기 유챗을 달려다가 SSL에서 사용하지 못해 다른 채팅이 달리기도 하구요.
과연 로그인과 관리자페이지 이외에서 전송과정 중에 중요정보가 탈취될 가능성이 있는건지 궁금하네요.
https://xe1.xpressengine.com/index.php?mid=download&package_id=22753594
기진곰님께서 부분SSL 사용시 위 자료를 사용하면 상당한 수준의 보안이 담보된다고 이야기 하셨던 거 같은데요.
저희는 SSL에서 일부 프로그램을 사용하지 못해서 부분SSL을 사용하는게 아닌 필요성을 느끼지 못해 사용하지 않고 있습니다.
검색시 주소의 차이도 생기고하고 여려 변수가 있어서요.
제가 혹시 알지 못하는 다른 중요한 부분이 있을지 궁금하네요.
일반 페이지에서 탈취할 수 있는 대상이 뭔지 궁금해서요. 회원제 사이트로 가정을 하고 로그인이 끝난 후 입력하는 내용들은 웹상에 그냥 보여지는게 대부분일 듯해서요. 비회원도 사용 가능한 경우 글 작성 패스워드 같은것이 입력되어 전송이 되겠지만요.
일반 페이지를 방문할 때도 세션 쿠키(PHPSESSID)는 매번 어김없이 전송되지요.
이 세션 쿠키를 가로채면 관리자 페이지까지도 접속이 가능하고요.
링크하신 세션 쉴드 애드온은 쿠키를 여러 개로 나누어서 이 문제를 어느 정도는 보완해 주지만,
이것도 완벽하진 않습니다. SSL이 아닌 페이지가 한 개라도 있으면 사이트 전체에 취약점이 있는 거예요.
자기 사이트에서 SSL을 쓰든 말든 자기 마음이지만,
남에게 서비스하는 채팅 등의 프로그램이나 API가 SSL을 지원하지 않는다면
사용자의 개인정보를 껌으로 여긴다고밖에 생각할 수 없습니다. 안 쓰는 게 안전하죠.
그리고 자물쇠 아이콘으로 하여금방문자들에게 "우리는 신뢰할 수 있는 사이트입니다"이라고 느낄 수 있게 해줍니다.