|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
23/01/25 21:11
암호화 전문가는 아닙니다만..
[지나치게 약한 암호화(지나치게 짧은 키 사용)] 그냥 긴 키 쓰겠다고 옵션만 주면 되는데... 그리고 더 이상 쓰면 안되는 알고리즘 및 안전하지 않은 키 길이가 구글에 널려 있습니다. [일부 암호화 키는 하드코딩 되어있음] 이건 뭐 말할 필요도..키를 하드코딩 할거면 암호화를 하지말지? [6년전에 지원이 끝난 OpenSSL 1.0.1j 사용] 이것도 그냥 새버전을 넣고 보통은 약간의 수정만 해주면 되는데.. 요즘은 학부생도 저렇게는 안짤텐데요.. 저걸 돈을 받았다고..
23/01/25 21:41
금융 관련 IT 서비스는 모바일만 쓴지 꽤 됐네요.
모바일 뱅킹이 인터넷 뱅킹에 비해서 더 보안이 좋은지는 모르겠지만 일단 이것저것 까는 건 없어서요.
23/01/25 21:56
앱은 이미 다 설치된 완제품으로 받으셔서 따로 설치할 필요가 없습니다. 크크
본문의 솔루션도 앱에서는 라이브러리가 이미 포함되어 있어서 정보를 알아서 수집해 갑니다.
23/01/25 23:15
해당 업계에서 일을 해본 경험이 있는데…
(신X은행 관련 프로젝트 밑 기타 몇몇 금융권 보안 관련) 저럴 수 밖에 없습니다. 외국과 다르게, 금융권에 지정된 보안룰을 따르게 강제하고, 그것‘만’ 따르면 금융사고에 대한 무제한에 가까운 면책권을 줍니다. 그리고 그 보안룰조차 국가가 설정하다보니, 공기업 업무를 해보신 분들은 아시겠지만, 필드와는 2만 광년 정도 떨어진 기술 표준을 아직도 씁니다. (법이 현실에 못 따라 오는 것과 같은 속도죠) 그러니, 자칭 보안업체도, 관련 기관의 체크리스트만 통과할 수 있으면 문제가 없는 겁니다. 애초에 국가가 하란대로 한거니까요. 이건 보안 업체의 잘못보다, 지금 이 구조를 만들고 그 마피아 시장을 유지시키는 금감원 꼴통(…)들이 욕을 먹어야 합니다. 저 바닥은 그냥 딱 산업 마피아 시장이에요.
23/01/25 23:23
가이드가 주는 맹점이죠. 나라에서 주는 가이드만 따르면 면죄부같은 특권을 주니 가이드만큼만 딱 적용하고 이후에는 관심없음. 가이드에선 딱 업계 최소한의 가이드만 해주고 나머지는 자율로 푼다음 사고나면 과징금 씨게 때렸으면 좋겠네요.
23/01/26 00:04
정부지원사업에 몇 번 참여해본 경험으로는.. 이건 사용하기 위해서 만드는게 아니라, 검수통과만을 위해 만든다는 느낌이 강했어요. 물론 그 검수사항 자체가 허술하기 짝이 없죠.
비리를 막기 위해서 사전심사는 엄청 빡빡하게 해놓긴 했는데, 그러면 뭐합니까...
|
||||||||||||