[Web Service] CSRF, XSRF 크로스 사이트 요청 위조

예전에도 한번 찾아봤던 것 같은데 기억이 안나서…CSRF

인증 쿠키가 브라우저에 붙어 다닌다면

내가 접근 권한이 있는 페이지에 내가 의도하지 않은 액션을 수행하도록

웹 페이지에서 가능 하다.

https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0

이 공격을 예방 하려면

  1. update 함수는 당연히 http method POST만 받지 않을까? 이미지 tag에 src 로는 공격 못할 듯.
  2. Request의 Referer를 check한다. (이건 기본인듯…)
  3. csrf 방지 토큰을  form view의 input tag에 심는다. 서버는 form에서 그 값이 잘 실려오는지 그리고 건강한 값인지 검사 한다.

음 다른 방법이 또 있는지 살펴보니.. CAPTCHA가 있더라

post action 뒤에 CAPTCHA 인증을 하면 될 것 같다.

나중에 내가 서버 개발로 돌아가면 좀 더 깊게 파보아야 겠다. ㅎ

 

Advertisements

[xcode] Storyboard warning: prototype table cells must have reuse identifiers

Storyboard warning: prototype table cells must have reuse identifiers

In Short~

Step1. give a name to cell

Step2. Clean “DerivedData”  ~/Library/Developer/Xcode/DerivedData/

Step3. Restart Xcode

 

https://stackoverflow.com/questions/9808621/storyboard-warning-prototype-table-cells-must-have-reuse-identifiers

[Knowledge] 경영, 목표

매출은 후행지표다.

시장을 지배 하는게 더 중요하며 천재적인 아이디어가 돈을 버는게 아니다.

마크 저커버그, 래리 페이지, 잭 도시는 매출이라는 단어 대신 다른 말로 목표를 설정한다고 한다.

  1. 회사가 지향하는 목표, 전략 그리고 회사의 정체성을 만드는 스토리
  2. 어떻게 고객을 사로잡을 것인가.
  3. 어떻게 시장에서 이길 수 있을 것인가.

중요한 것.

  1. 시장점유율, 타깃 고객층 중 몇 퍼센트가 서비스를 이용하는지.
  2. 성장 목표를 설정 할 때 매출이나 돈 대신 철저히 사용자와 광고주 지표를 기본으로 함.
  3. 매출은 후행지표(lagging indicator); 회사가 목표, 전략, 고객, 제품, 직원 등 이 모든 요소의 운영 결과다.

칼럼