sessionStorage

요새 예전엔 이해 못했지만 듣고 넘어갔던 것들에 대해서 실제로 써볼 일들이 있고 또 설명을 보면 이해가 되는 경우가 많아져서 기쁘다.
오늘 공부한 sessionStorage도 그런 경우다.

localStorage vs sessionStorage

로컬 == 데이터 저장 기간 제한 X, 도메인 마다 별도의 저장 영역 생성 (== 같은 도메인에 속해있는 웹 페이지들은 모두 접근 가능 ) 세션 == 데이터 저장 기간 제한 (탭 닫거나 창 닫으면 사라짐 (==세션 종료시)), 각 세션마다 별도의 저장 영역 생성 (== 다른 윈도우에서 생성되었다면 서로의 스토리지에 접근 불가)

참고한 이미지

그럼 sessionStorage에 저장하는 건 안전할까?

• Is it safe to store password in HTML5 sessionStorage?

• Is it safe to store a jwt in localStorage with reactjs?

첫번째 글은 좀 엣날 글이긴 하지만, 결론적으로 localStorage에 뭘 저장할 생각은 아예 하면 안되는 것 같고(?), sessionStorage는 괜찮은 거 같다. 두번째 글을 보면 Web Storage가 XSS vulnerabilities가 있긴 하지만 모-더언 웹프레임워크를 사용하면 어느 정도 보호가 된다는 것 같다.

글들을 보면 webStorage vs. cookie w/ protection 으로 싸우는데… webStorage의 취약점은 XSS고 coockie의 취약점은 CSRF라고.. (별다줄…?)

XSS (cross-site scripting)

사이트 간 스크립팅(또는 크로스 사이트 스크립팅, 영문 명칭 cross-site scripting, 영문 약어 XSS)은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 한다.

출처 - 위키피디아

CSRF (Cross-site request forgery)

사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나다.

사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.

출처 - 위키피디아

이래서 크롤링이 항상 내맘대로 잘 안됐군?
크롤링을 우습게 본 것은 아주 큰 잘못이었으… 글 참고

여하튼.. 오늘 firebase로 sms 인증하는 것도 해보려고 했으나 실패. 내일 해봐야지.