Learn-json-web-tokens: 보안 취약점

@sarneeh 이 문제를 열어주셔서 감사합니다. 👍
풀 리퀘스트를 만들 시간이 있다면 가십시오! (_이 저장소에 대한 쓰기 권한이 있습니다_)

JWT에 적용되는 보안 문제는 다른 토큰 체계와 동일합니다.
악의적인 사용자가 도메인에서 XSS 공격을 실행할 수 있는 경우 JWT를 획득하고 이를 사용하여 클라이언트에 저장되는 방법에 관계없이 사용자를 가장할 수 있습니다.
악성 JS는 쿠키와 localStorage를 쉽게 읽고 유출할 수 있습니다.

JWT를 사용하는 사람들에게 OWASP 공격으로부터 보호하지 않으며 서명된 클레임/데이터를 전송하는 _편리한_ 방법일 뿐임을 알려야 합니다. 📝

@nelsonic

JWT에 적용되는 보안 문제는 다른 토큰 체계와 동일합니다.
악의적인 사용자가 도메인에서 XSS 공격을 실행할 수 있는 경우 JWT를 획득하고 이를 사용하여 클라이언트에 저장되는 방법에 관계없이 사용자를 가장할 수 있습니다.
악성 JS는 쿠키와 localStorage를 쉽게 읽고 유출할 수 있습니다.

부분적으로 동의합니다. 공격자가 JWT를 획득하는 것을 방지하는 httpOnly 및 secure 쿠키와 같은 것이 있습니다. 그러나 XSS 공격에 노출되어 있다면 누군가가 사용자를 대신하여 작업을 수행할 수 있으므로(토큰을 훔치는 것이 아니라 악의적인 스크립트를 삽입하는 등) 이것으로 아무 것도 보호할 수 없다는 데 전적으로 동의합니다.

그래서 결국 localStorage 를 사용하든 cookie 를 사용하든 상관없다고 생각합니다. OWASP 공격에 노출되어 있다면 망한 것입니다. 그러나 그들로부터 보호를 받는다면 두 가지 방법 모두에서 안전해야 합니다.

나는 약간의 PR을 준비하고 싶지만 지금은 시간이 촉박하고 앞으로 1-2개월 안에 자유로워질 것입니다. 누가 저보다 못뛰면 홍보 좀 할게요 😄

@sarneeh 이 문제를 열어주셔서 감사합니다.
풀 리퀘스트를 만들 시간이 있다면 가십시오! (_이 저장소에 대한 쓰기 권한이 있습니다_)

JWT에 적용되는 보안 문제는 다른 토큰 체계와 동일합니다.
악의적인 사용자가 도메인에서 XSS 공격을 실행할 수 있는 경우 JWT를 획득하고 이를 사용하여 클라이언트에 저장되는 방법에 관계없이 사용자를 가장할 수 있습니다.
악성 JS는 쿠키와 localStorage를 쉽게 읽고 유출할 수 있습니다.

JWT를 사용하는 사람들에게 OWASP 공격으로부터 보호하지 않으며 서명된 클레임/데이터를 전송하는 _편리한_ 방법일 뿐임을 알려야 합니다.

위에서 말했듯이 쿠키는 httpOnly 옵션을 가질 수 있습니다.
이 기사 에 따르면 httponly 쿠키 대신 localstorage를 사용하는 것은 정말 안전하지 않습니다.

이전 섹션에서 민감한 정보를 로컬 저장소에 절대 저장해서는 안 된다는 점을 분명히 했지만, 특히 JWT(JSON Web Tokens)를 호출해야 할 필요성을 느낍니다.
오늘날 내가 보는 가장 큰 보안 위반자는 JWT(세션 데이터)를 로컬 저장소에 저장하는 사람들입니다. 많은 사람들은 JWT가 본질적으로 사용자 이름/비밀번호와 같은 것이라는 사실을 깨닫지 못합니다.
공격자가 JWT 사본을 얻을 수 있는 경우 공격자가 사용자를 대신하여 웹사이트에 요청할 수 있으며 사용자는 알 수 없습니다. JWT를 신용 카드 번호나 비밀번호처럼 취급하십시오. 절대로 로컬 저장소에 저장하지 마십시오.