2006년 12월 29일
네트워크에서, 개인 정보와 개인 정보가 아닌 것
Local storage에 있는 "private content"는 물론 100% 개인 정보이며, 그 외의 것에 대해 생각해보자.
IP address
개인 정보라고 볼 수 없지만, 제 3자나 사이트 주인으로 하여금 대략적인 위치를 추정할수 있게 해 준다. 이글루스의 익명 덧글 같이 IP주소가 공개되지 않는 곳보다는 디시인사이드의 덧글 같이 IP주소가 공개되는 곳에서 사용자의 행적이 추적당하기 쉽다.
속이기는 어렵다. Proxy 등의 편법이 있지만 완전하지 않으며 느리다.
client에서 100% 보내는 것이므로 (X)
User-Agent
역시 개인 정보라고 보기 어렵다. 다만 일부 사이트들은 IE가 아닐 경우 아예 사이트 입장을 막는 무례한 모습을 보여주기도 한다.
쉽게 속일 수 있다.
client에서 100% 보내는 것이므로 (X)
사용하는 해상도, 창의 크기, 그외 bpp등
이것은 얼마든지 공개하지 않아도 된다. 창을 중앙에 놓고 싶다면, 서버에서 해상도, 폭, 높이 등을 받아서 그것을 2로 나누어 다시 클라이언트로 보낼 게 아니라, 처음부터 새 창의 위치를 퍼센테이지 비율로 지정할 수 있는 프로토콜로 개선해야 한다.
(O)
마우스의 움직임 읽기
웹페이지에서 JS를 원활히 사용하려면 이것을 막는 것은 어렵다. 다만 E.의 프로세스와 시스템 사이의 입장에서, 이것은 명시적 authorization을 필요로 하는 '권한'이다. 이게 없는 프로세스에게는 click은 물론이고 마우스가 hover중인지 여부도, x/y좌표도 알 수 없어야 한다.
따라서 JS를 사용하는 웹 브라우저는 이 권한을 필요로 한다.
(O)
cf. 마우스의 움직임을 읽어 조세 포탈 여부를 알아낼 수 있다고 하던 외국 어떤 사람의 주장(사이비)에 대한 링크?
cf. 방문자의 행동을 녹화해서 보여주는 Clicktale
IP address
개인 정보라고 볼 수 없지만, 제 3자나 사이트 주인으로 하여금 대략적인 위치를 추정할수 있게 해 준다. 이글루스의 익명 덧글 같이 IP주소가 공개되지 않는 곳보다는 디시인사이드의 덧글 같이 IP주소가 공개되는 곳에서 사용자의 행적이 추적당하기 쉽다.
속이기는 어렵다. Proxy 등의 편법이 있지만 완전하지 않으며 느리다.
client에서 100% 보내는 것이므로 (X)
User-Agent
역시 개인 정보라고 보기 어렵다. 다만 일부 사이트들은 IE가 아닐 경우 아예 사이트 입장을 막는 무례한 모습을 보여주기도 한다.
쉽게 속일 수 있다.
client에서 100% 보내는 것이므로 (X)
사용하는 해상도, 창의 크기, 그외 bpp등
이것은 얼마든지 공개하지 않아도 된다. 창을 중앙에 놓고 싶다면, 서버에서 해상도, 폭, 높이 등을 받아서 그것을 2로 나누어 다시 클라이언트로 보낼 게 아니라, 처음부터 새 창의 위치를 퍼센테이지 비율로 지정할 수 있는 프로토콜로 개선해야 한다.
(O)
마우스의 움직임 읽기
웹페이지에서 JS를 원활히 사용하려면 이것을 막는 것은 어렵다. 다만 E.의 프로세스와 시스템 사이의 입장에서, 이것은 명시적 authorization을 필요로 하는 '권한'이다. 이게 없는 프로세스에게는 click은 물론이고 마우스가 hover중인지 여부도, x/y좌표도 알 수 없어야 한다.
따라서 JS를 사용하는 웹 브라우저는 이 권한을 필요로 한다.
(O)
cf. 마우스의 움직임을 읽어 조세 포탈 여부를 알아낼 수 있다고 하던 외국 어떤 사람의 주장(사이비)에 대한 링크?
cf. 방문자의 행동을 녹화해서 보여주는 Clicktale
# by | 2006/12/29 13:19 | Security | 트랙백 | 덧글(0)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]