통신보안

1.

완벽한 통신보안은 존재하지 않는다.

휴대폰과 마찬가지로 SSL도 인증서 발급 기관에 정부가 압력을 넣으면 보안을 모두 브레이킹 할 수 있나니..

그러니까 구리갑옷입고 말없이 암호화된 파일이 담긴 USB나 주고받는게 좋다[..]

2. 

피싱 사이트에 걸리면 끝장이다.

https고 뭐시고 간에 그냥 아이디 비번 유출되지 않는가.

3.

ssl strip attack은 man in the middle attack 이다.

피싱 사이트와 유사한 점도 있으나 기본적으로 다르다.

end to end 사이에 있는 그 어떤 자라도 ssl strip 공격을 수행할 수 있다.

피싱 사이트 같은 것을 쓰지 않으면 라우터를 점거해야 하므로 고난이도가 되겠지만..

http -> https 로 가는 과정에서 이 공격을 수행할 수 있다.

중간에서 자신이 서버인 마냥 클라에게 https 응답을 주고, 서버와도 https 통신을 하면 된다.

4.

https -> http 로 내려버리면 당연히 보안문제가  다시 생긴다.

물론 https 사용이 오버헤드를 유발하긴 하지만 

보안 측면에서만 본다면 모든 통신을 https 로 하는 것이 좋다.

물론 이 경우에도 유저가 처음부터 https 로 접속해야 ssl strip 에서 안전하다.

5.

이것은 매우 당연하지만 정부기관이 아니더라도 사이트 관리자는 뭐든 다 알 수 있다.

암호화를 하던 뭘 어쩌든 간에 서버에서 최종적으로 패킷을 풀어볼 것이므로..

6.man in the middle attack 은 패킷을 먹튀하는 것이다. 즉, 원래의 목적지로 가는걸 막거나, 변조해서 보내거나..

  리플레이어택은 man in the middle attack 이 아니더라도 가능하다. 엿보기만 하면 되니까.

  라우터를 굳이 점거하지 않더라도 리플레이어택을 수행할 수 있다. (무선통신..)