- Connectionless Protocol
- 연결상태를 유지하지 않는 프로토콜 : tcp 연결 설정->요청->응답->tcp 종료
- HTTP/1.1 이후 connection 설정에 keep-alive 속성이 추가되어 일정 시간 연결상태를 유지한다
- Stateless Protocol
- Client 상태정보를 유지하지 않는 프로토콜
- 동일한 클라이언트가 접속을 하고 연결이 끊어지고 나서 다시 접속을 해도 해당 클라이언트에 대한 어떠한 정보도 유지하지 않기 때문에 동일한 클라이언트인지 식별하지 못한다.
- 클라이언트의 상태정보를 유지해야할 필요가 있는 서비스가 존재
- 쇼핑몰 장바구니
- 로그인 상태 정보가 유지되어야 하는 경우
- HTTP상에서 상태정보를 유지하기 위한 기술들이 등장
- 클라이언트 측 기술 : Cookie
1) 클라이언트 상태를 유지할 정보를 cookie(작은 파일)에 담아서 클라이언트에 저장,일정시간 또는 기간동안 유지(Persistent Cookie)
2) 단점 : 클라이언트에 저장되므로 위변조가 쉽다. - 서버측 기술 : Session(Session Cookie)
1) 유지할 정보를 세션(개별 클라이언트 상태정보를 저장하는 자료구조/서버, 세션ID를 통해서 식별)
2) 세션쿠키를 이용용, 메모리 쿠키, 웹 브라우저가 기동하는 동안에만 유지됨. 웹 브라우저가 종료하면 세션쿠키는 사라짐
3) 단점 : 세션ID 탈취 가능
- 클라이언트 측 기술 : Cookie
※참고
알기사 정보보안기사 강의
'정보보안기사&CISSP관련 > Application Security' 카테고리의 다른 글
| [Day 47] Web Log Format (0) | 2020.09.26 |
|---|---|
| [Day 46] 웹 애플리케이션 개발 보안 요구사항 (0) | 2020.09.25 |
| [Day 45] 파일 업로드 취약점 (0) | 2020.09.24 |
| [Day 44] XSS, CSRF (0) | 2020.09.23 |
| [Day 42] HTTP Status Code (0) | 2020.09.21 |