Exploit without Coffee

읽고 있는 책 : 일취월장 읽을 예정인 책 : 기획의 정석, 세계의 엘리트는 왜 이슈에 집중하는가, 맥킨지는 일하는 마인드가 다르다

마이크로 소프트가 깃헙을 인수했다는 기사를 관심있게 보았다 .  인터넷에서는 부정적인 의견들이   많지만    나 는 마이크로 소프트와   깃헙이 만들어낼 새로운 즐거움과 편의성이  기대된다. https://blog.github.com/2018-06-04-github-microsoft/

AAAA AAA 정보보호기술 AAA Authentication: 신뢰성 있는 인증 Authorization: 권한 검증 Accounting: 과금 기능 위 기능을 체계적으로 제공하는 정보보호기술

call-by-value_call-by-reference Call By Value & Call By Reference 원론적으로 C 언어는 call by value만 지원한다. 단 pointer가 value로 가능하기 때문에 수동으로 저수준 reference 처리를 할 수 있다. C++ 언어에 와서야 call by value 외에 call by reference를 명시적으로 지원한다. (이는 C 언어에서 함수 포인터를 이용하여 OOP를 구현할 수 있지만 C언어가 OOP를 지원한다고 말하지 않듯이 C 언어는 call by value만 지원한다고 한다.) 참고 URL : KLDP 토론 글타래

Secure-Header 보안 헤더 Content-Security-Policy 요약 설정된 URL의 Static Resource만 허용하게 하는 용도로 주로 XSS 공격 방지 목적으로 사용된다. Content 종류 script-src: JavaScript code. connect-src: XMLHttpRequest, WebSockets, and EventSource. font-src : fonts frame-src: frame urls img-src: Images media-src: audio & video object-src: Flash (and other plugins) style-src: CSS 예시 Content-Security-Policy: script-src ‘self’ https://apis.google.com X-Frame-Options 요약 <frame> , <iframe> , <object> 태그를 렌더링할지 막을지 결정하는 것으로 ClickJacking과 같은 공격을 무력화하기 위해 주로 사용된다. 사용 방법 X-Frame-Options: DENY (비 허용) X-Frame-Options: SAMEORIGIN (동일 origin에서만 허용) X-Frame-Options: ALLOW FROM http://some-domain.com (특정 origin에서만 허용) X-Content-Type-Options 요약 리소스 다운 시 해당 리소스의 MIMETYPE이 일치하지 않을 경우 차단하는 헤더로 MIME-Sniffing 공격 차단을 위해 주로 사용된다. 사용 방법 X-Content-Type-Options: nosniff Strict-Transport-Security 요약 HTTPS 통신으로 고정하여(이후 발생되는 HTTP 요청을 브라우저가 자동으로 HTPS로 요청) 중간자 공격을 차단하는 헤더이다. 사용