혹시 SSL 기반 WebSocket으로 공인인증기능 구현을 시도한 사례가 있을까요?
글쓴이: dlwlalsggg / 작성시간: 수, 2015/07/08 - 11:34오전
우리나라 정부가 공인인증기능을 포기하고 싶어하지 않는거 같으니 웹표준 기술로 공인인증을 구현할 방법에 대해서 잠깐 궁리해 봤는데요.
1. 공인인증프로그램은 WebSocket 서버 라이브러리를 탑재하여 백그라운드 서비스로 계속동작.
2. 웹페이지가 공인인증을 하고싶을 때 공인인증 WebSocket 서버로 인증을 요구. (localhost 서버)
3. 백그라운드로 돌던 공인인증프로그램이 공인인증창을 표시함.
4. 사용자가 인증서로 공인인증시도함
5. 인증 성공여부를 WebSocket으로 웹페이지에 전달.
6. 이 모든 동작을 SSL로...
이러한 방식을 사용하면 키보드보안도 동작시킬 수 있을거 같은데요.
백그라운드로 뭔가를 계속 돌려놔야 한다는 단점이 있습니다.
설치도 exe방식으로 해야되구요.
절대해서는 안되는 방식일까요?
Forums:
본질을 못 잡으신 것 같군요.
우리나라 정부가 포기하고 싶지 않은게 아닙니다. 국k1들하고 보안업체들하고 비리로 만들어진 생태계일 뿐입니다.
솔직히 생각해보세요. 한국 웹페이지들 액티브x 애드온들 뭐 그리 특출한 기술도 아니고 실제로 쓸만한 기술도 아닙니다. 공돌이를 쳇바퀴 돌리는 거죠. 유럽쪽이였으면 벌써 "이건 미친짓이야!" 하고 퇴출 여론 일었을겁니다. 엄청난 인력 낭비죠.
뭐랄까. 제도적인 해결은 자기 기득권 때문에 안되니까 기술로 치장해 보겠다는? 그런 상황이죠. 통신 보안의 부족한 점은 제도적으로도로 보완하고, 서로 상호보완적으로 굴러가야 하는데 이걸 누가 신경이나 지금 쓴답니까.
실제 결정권자들은 웹 표준이니 사용자의 편이니 그런거 안중에도 없어요.
그건 그렇고. exe를 돌린다니. 웹 표준도 잘못 알고 계시네요. 웹 표준은 video 태그 같이 W3C에서 정하고, 브라우저 구현체들이 따라 구현하는 겁니다.
h264로 인코딩된 mp4 파일을 video 태그로 크롬, 파폭, 오페라, IE, 사파리를 돌리는 윈도, 리눅스, 맥 등에서 모두 볼 수 있는게 웹 표준이죠. W3C가 제정하는 표준에는 액티브 x니 플러그인이니 그런거 없어요.
MSE같은 확장은 제정하기는 하지만, 이것도 역시 플렛폼 제약이 없다는 전제가 깔려 있어요.
리눅스에 크롬 깔아다 이베이서 페이팔로 물건 살 수 있어요. 미국인들이 바보라고 클라이언트 믿고 키보드 보안이니 인증서 같은거 적용 안한답니까.
키보드 보안도 일종의 "엄마 손은 약손" 프로그램들 중 하납니다. 권한 획득하고 백신 엔진 바이페스만 하면 의미가 없어지죠. '보안 프로그램'이라 주렁주렁 달리는 것들은 모두 다.
CA validation, 암호 확인 기능을 구현한다 하면 웹소켓을 사용할 순 있겠습니다만. 웹소켓까지 필요 없고, ajax 비슷하게 인증서 파일을 post 해서 결과만 얻으면 되니까요. 암호 확인, 유효성 검사는 서버에서 하는게 더 효율적이죠.
굳이 클라이언트에서 인증서의 암호를 확인하는 기능을 넣겠다면 자바스크립트로 openssl 비슷한 걸 구현해야 할겁니다. 아마 비슷한게 나와 있을 법도 한데..
사용도 불편할 법도 한게, 웹 브라우저는 컴퓨터의 파일에 직접 접근하지 못합니다. 보안문제 때문에 그걸 일부러 막죠. 클립보드 접근도 막아서 사용자에게 직접 컨트롤+C 를 치라고 대부분의 웹표준 지키는 페이지들은 그럽니다.
지금 은행들 공인인증 다이얼로그에서 USB, 하드디스크 등 인증서 위치를 초간단하게 선택하는 기능을 순수하게 웹 브라우저로는 구현 못합니다. 파일 업로드처럼 사용자가 직접 인증서의 위치를 지정해 줘야 하죠.