인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

Google의 디바이스 바운드 세션 자격 증명: 세션 하이재킹의 종말?

2025-08-28

세션 하이재킹은 오랫동안 온라인 보안의 큰 위협이었습니다. 기존의 쿠키 기반 세션 관리는 취약하여 시스템을 공격에 노출시켰습니다. 이에 대응하여 Google은 디바이스 바운드 세션 자격 증명(DBSC)을 도입했습니다. 이는 공개 키 암호화를 활용하여 각 세션에 키 페어를 생성하고 디바이스(예: Windows의 TPM)에 안전하게 저장합니다. 이를 통해 다른 디바이스에서 세션 식별자가 무효화되어 하이재킹을 효과적으로 방지합니다. 현재 Google Workspace Chrome 사용자(Windows)에서 베타 테스트 중이며, 다른 브라우저 공급업체도 채택하면 세션 하이재킹은 과거의 일이 될 수 있습니다.

더 보기
(www.feistyduck.com)
기술 세션 하이재킹 공개 키 암호화

OCSP의 서서히 찾아온 죽음: Let's Encrypt, 지원 종료 선언

2025-01-30

Let's Encrypt가 온라인 인증서 상태 프로토콜(OCSP) 지원을 중단한다고 발표하면서 25년 역사를 가진 이 인증서 해지 확인 기술의 종말을 알렸습니다. 브라우저 구현이 미흡하고 비용이 높아 OCSP는 충분한 보안 향상을 가져오지 못했습니다. 앞으로는 더 짧은 유효기간의 인증서(예: 6일)와 개선된 CRL 메커니즘을 채택하고, 브라우저 공급업체가 CRL의 지속적인 업데이트를 담당하게 됩니다. OCSP는 특수한 경우에 계속 사용될 수 있지만, 광범위하게 사용되던 시대는 끝났습니다.

더 보기
(www.feistyduck.com)
기술 인증서 해지