'security'에 해당되는 글 1건

  1. 2007.05.18 Xtech2007 참관기 - Security and REST Web Services

Security and REST Web Services


Richard Mooney
(Vordel)

This session answers two questions: Are REST Web Services inherently insecure? How can a  security model apply to both SOAP and REST Web Services?


REST방식은 제가 제일 선호하는 Open API 아키텍쳐 패턴입니다. 간편하고 Simple하고 따로 배울 필요가 없으며 비용 대비 효과가 크기 때문입니다. 실제 씽크프리의 Open API 거의 REST 패턴을 따르고 있고 앞으로도 그럴 예정입니다.


Vordel 아키텍쳐인 Richard Mooney 이러한 REST SOAP 비교하고 보안에 대해 세션에서 정리를 했습니다. 그냥 편안히 듣고 고개만 끄덕이고 말았네요^-^ 당연한 거니까…


실제 REST 방식에서 GET 너무 heavy하게 사용하거나 서버의 상태를 변하게 하는 경우가 있다고 합니다. 그런데 사실 이런 경우는 설계가 잘못된것지 기술적인 문제는 아닙니다. REST 설계 방법에 대해서는 제가 정리한 글을 참조하세요.


하여간  결론 HTTP Query String 믿지 말라는 것입니다!! 동감입니다. 뭐가 실려올지 어떻게 신뢰할지요! 따라서 기존의 표준 방법을 REST 적용해서 이를 신뢰하게 만들어야 합니다.


사용자 삽입 이미지


여러 REST상의 보안 방안들


1)URL ACL 걸어 권한을 체크한다.

2)SQL injection 처럼 URL QueryString 문제 소지가 있기 때문에 이를 필터링하여 체크한다.

3)URL 로깅한다. 아시겠지만 SSL 걸면 자동으로 URL 대한 로깅이 됩니다. 

4)아마존 등에서 사용하는 방법으로 Developer Token(Secret Access Key ID) 사용하여 인증을 한다.


그런데 국내 포탈들의 Open API 어떻게 개발되었나요? 크게 관심이 없어 기회가 없었네요..누가 알려주세요..


Posted by 박재현

댓글을 달아 주세요