구글, SHA1을 뚫다
·
IT/정보글
지금까지 SHA1은 이론상으로만 안전하지 않았지만, 이제 진짜 안전하지 않다는 점을 입증할 방법을 구글이 만들어냈습니다. https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html 이 결과를 얻기 위해 구글은 구글의 클라우드 인프라를 동원했다고 합니다. 규모가 정말 엄청나네요.
클라우드플레어 메모리 유출 사건 - 클라우드블리드
·
IT/정보글
지난주에는 보안 이슈가 두 가지나 있었습니다. 우선 더 심각하다고 느껴지는 클라우드블리드에 관한 글입니다. 클라우드플레어는 CDN 업체입니다. 각각의 지역에 서버를 두고 자주 사용하는 파일(자바스크립트나 CSS 파일등)을 지역별로 캐시해 놓고 사용자가 요청하면 가장 가까운 서버에서 받아옴으로써 속도를 빠르게 해 주는 서비스를 제공하고 있습니다.각 지역별로 서버가 있다보니 디도스 방어 기능도 제공하고 있습니다. 물론 디도스 방어는 규모가 커지면 돈을 받습니다만 왠만한 소규모 디도스들은 무료로 다 막아줍니다. 다만 한국에서는 가장 가까운 ICN 서버를 사용하지 못해 빠르게 느끼지는 못합니다. 이 부분은 다음 포스팅을 통해 설명드리겠습니다. 이러한 기능 외에도 웹서버의 Rewrite 기능을 간단하게 대체할 수..
끄투 서버 오픈소스화
·
IT/정보글
최근 그투라는 게임 서비스를 접하게 되었다. 끝말잇기 서비스인데 웹 상에서 이루어지며 다른 사람들끼리 대결을 하는 방식이다. 재밌게 하다가 지겨워져서 한동안 쉬고 돌아왔더니 서비스 종료 공지가 떴다. 공식적으로 2017년 2월 19일 11시 59분부터 서버 접속을 할 수 없게 된다 (그런데 디도스 때문에 현재는 닫혀있는 상태이다). 운영을 중단한다니, 최근에 운영을 중단한 마인크래프트 서버 Overcast Network가 떠오른다. 이 곳은 소스 코드를 오픈소스화 하였고, 현재 많은 개발자들이 Github 상에서 오픈소스 프로젝트에 기여하고 있다. 끄투 개발자님이신 조리핑(?)님도 끄투를 오픈소스로 바꾸고 Github에 소스 코드를 공개하였다. (개발자 조리퐁님의 글, Github 저장소)다만 서버 셋팅..
크롬 안전하지 않음?
·
IT/정보글
추천 글: 정말 간단한 피싱사이트 판별법크롬 56 버전부터 비밀번호나 카드 번호 같은 개인정보를 수집하는 페이지인데 HTTPS(보안 접속)를 사용하지 않을 경우 위처럼 안전하지 않다고 표시되도록 업데이트되었다.덕분에 네이버와 다음등의 국내 대형 사이트 홈에도 안전하지 않다는 표시가 표출되고 있다. (심지어 이 블로그까지 표출된다. 댓글 입력 창에 비밀번호 때문인 듯 하다.) 네이버는 조치를 취하기는 했는데, 조치 내용이 메인에서 로그인창 없애기이다. (...)이미 네이버 모바일 홈은 HTTPS가 적용되어 있는데 PC만 적용을 안 시키고 있다니.. PC 홈 화면에 HTTPS를 적용시키지 않는 이유에 대해서 네이버 측 입장은 이렇다.메인화면은 이미 공개된 정보고 HTTPS를 적용할 경우 접속 속도가 느려질 ..