프런트엔드 LT 회의 참가 -vol.5#frontendlt

개시하다


며칠 전에 전면 LT 회의 -vol.5#fronendlt라는 온라인 행사에 참가했다.
발표자 중에서 내가 개인적으로 마음에 두고 쓸모 있는 것을 골라 총결산하다.

프런트엔드 엔지니어가 알아야 할 보안


안전성을 말하자면 백엔드가 열심히 일한다고 생각하지만 아무리 튼튼한 백엔드라도 백엔드가 약하면 깨지는 상황과 위험이 높아질 수밖에 없다.
참고 자료
수염!미스터의 발표 슬라이드
프런트엔드에 대해 알아야 할 보안

전면에서 가장 주의해야 할 안전성

  • 영패
  • 인증 및 승인
  • 이번에는 시간 문제의 토큰의 예에 대해 설명하였다.

    이른바'영패'


    자주 듣는'영패'는 도대체 무엇입니까?
    많이 찾아봤는데 증거와 기호를 나타내는 단어로 IT 분야에서 인증을 식별하는 데 쓰이는 문자열 등을 많이 가리켰다.
    기호화폐는 증거, 기념품, 기호화폐, 환전권, 상품권 등의 뜻을 가진 영어 단어를 말한다.IT 분야에서는 긴 데이터를 가장 작은 구성 단위로 분해하거나 어떤 증거나 기호가 되는 데이터, 장치, 기구 등을 영패라고 부르는 경우가 많다.
    영패

    문제가 있는 장면


    예컨대 현재 웹에 공개된 사이트를 스마트폰 앱에서 웹뷰로 호출해 운영하려면 페이지만 찾아본 사이트는 문제가 없지만, 회원 페이지와 결제 등 인증 승인이 필요한 경우앱에서 로그인할 때 웹뷰를 통해 어떻게 웹사이트에 토큰을 전달하느냐가 문제다.

    해결책

  • Authorization header에서 제공
  • URL을 통한 쿼리 전송
  • 로컬 스토리지를 통한 전송
  • js가 불이 났을 때의 매개 변수로 전송
  • 토큰이 아닌 일회용 비밀번호 사용
  • 1. Authorization header로 전달


    HTTP에 Authorization 요청 헤더를 추가합니다.
    장점: 이것이 가장 중요한 방법이다.철판.
    단점: SPA(Single Page Application)를 사용할 수 없습니다.

    상세한 상황은 이쪽의 슬라이드가 도해로 이해하기 쉽다는 것이다.
    참조 슬라이드

    2. URL 질의를 통해 전송


    토큰을 URL에 전달하는 쿼리http://hoge?token=fuga.
    장점: SPA도 작동합니다.
    단점: 서버측 로그나 GA에 남김(보안이 좋지 않음)
    와이어슬랙의 감청에 대한 우려가 있다고 자주 말하지만 암호화되어 있지 않습니다.도메인 이름은 알지만 조회는 암호화됩니다.
    그것보다 서버의 로그 추출법에 따라 원시 데이터가 저장될 가능성이 높다고 할 수 있다.
    소위 미니어처 Shark
    LAN에서 유통되는 그룹 "시각화"그룹 캡처 도구
    ~Wireshark에서 "TCP/IP" 모형 훔쳐보기~

    남은 방법에 대해서.


    나머지 3가지 기법은 문헌이 적고 설치 방법이 번거로운 단점이 커 추천되지 않는다.

    장초 기술


    남을 도울 수 있는 기술이 대단하다는 것을 누구나 알고 있다. 누구나 이런 기술과 기술을 사용하는 서비스와 상품을 제공하기를 바란다.
    하지만 역시 이 발표를 보고 난 후 개발 과정에서 내가 즐겼던 것도 중요하다는 걸 다시 한 번 느꼈어요 w
    장초 기술
    Giit 창고

    너 뭐 했어?


    Git의 Contributions에서 인공 잔디가 자란다.

    GTI에 대한 Contributions 업데이트 시기


    Git에서 다음 날짜가 업데이트되면 Contributions가 업데이트될 것 같습니다.
  • Author Date
  • 저자의commiit 제출일
  • git commiit-date로 업데이트
  • Commit Date
  • 제출자의commiit일자
  • git rebase/git commiit-amend로 업데이트
  • 업데이트된 명령을 무한 입력하면 무한 번잡할 수 있죠?


    나는 이런 일은 소일거리와 함께 노는 것도 매우 재미있다고 생각한다.

    좋은 웹페이지 즐겨찾기