You are viewing a single comment's thread from:

RE: STIMCITY 셀러 필수! , 새로워진 스팀페이 파헤치기.

in #kr6 years ago

답변 감사드립니다. 우선 근본적으로 착오하고 계신것이 있습니다.

스팀커넥트2는 키를 서버에 저장하지 않습니다. 당연히 메인키도 요구하지 않습니다. 전송 권한도 획득하지 않습니다. 해당 계정에 대한 포스팅 권한과 보팅 권한 등을 획득하는게 전부입니다. 그 권한조차 app account 소유자에게 있는것이고 스팀커넥트가 가지지 않습니다. 전송이나 프로파일업데이트 딜리게이션 등이 필요할때는 그때그때 액티브키를 받아서 사용합니다. 이런 목적으로 액티브키를 사용할때 는 키는 서버로 가지 않습니다 당연히 사인된 상태로 노드로 바로 브로드캐스팅 됩니다. 즉 이경우는 프라이빗 키가 단말을 떠나지 않는다는 이야기와 같습니다. 모이또가 하는것과 별반 다를게 없다는 이야기입니다. 메인키 요구 없이 말입니다. 스팀커넥트에 대한 정확한 이해 없이 추측만으로 깍아내리는것은 조금 위험한 발언이 아닌가 싶습니다.

유토피안 해킹이 스팀커넥트의 보안과 관련짓는것은 기본적으로Oauth2로 돌아가는 모든 서비스를 신뢰할수 없다는 말과 별반 다르지 않습니다. Google Amazon Facebook 뿐만아니라 수많은 서비스들이 oauth2를 사용합니다. 그 서비스들이 토큰을 아무렇게나 관리해서 문제가 발생하면 그게 어떻게 구글 페북 아마존의 문제인가요? 그게 아니면 스팀커넥트 기반으로 구현된 모든 Dapp에 보안 취약점이 있다는 주장이신지요.

최악의 상황을 가정하여 스팀커넥트가 해킹당해봐야 키는 탈취되지 않습니다. 키가 애초에 아무곳에도 저장이 안됩니다. 최악의상황에 일어날수있는 사건은 보팅과 글 리스팀 되는것 뿐입니다. 반면에 모이또가 Compromized 된 디바이스에 설치되면 어떤 일이 발생할까요? 단말에 저장한다고 안전하다는것은 완전히 잘못된 생각입니다. 단말이야말로 한번 Compromised 되면 아무것도 못막습니다. 그리고 해킹당해봐야 한계정이라고 하신것은 놀라운 발상입니다. 그 한계정이 개인에게는 전부입니다. 취약점이 발견되어 타겟이 되면 한계정이 아니라 설치한 모든 계정으로 쉽사리 번질수 있구요.

@hanyeol 님과 댓글을 주고받으며 상황을 조금 심각하게 받아들이게 되었습니다. 물론 제가 틀린부분이 있을수도 있고, 저또한 잘못된 지식에 기반한 주장을 펼치고 있을수도 있습니다. 이런것들을 바로잡으려면 공론화를 통해 다수의 전문가의 의견을 들어볼 필요가 있어 보입니다. 스팀잇에도 보안 전문가들이 계시는것으로 알고있으니 심도있는 토론이 될것 같습니다.

Sort:  
Loading...