ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • [버그] 메가박스 CORS 정책 위반 & HTTPS에 대하여
    소소한 IT 이야기 2019. 4. 27. 15:15
    반응형

    저의 경우에는 VIP 회원권을 가지고 있어서 메가박스에서 영화를 시청할 경우 무료로 영화시청이 가능해서 메가박스를 자주 사용하곤 하는데 메가박스의 웹사이트가 많은 문제점이 있는것같아 글을 작성해보게 되었습니다.


    전에 가상화폐 열풍이 불면서 스캠사이트들도 굉장히 많아졌고, 웹브라우저의 권한이 날로 늘어감에 따라 컴퓨터에 심각한 문제를 줄수있는 웹사이트들도 많아졌기때문에 항상 어떤 웹사이트에 접속하면 가장 URL부터 확인하는 습관이 생겼습니다.


    어떤 웹사이트를 평가하는 저의 개인적인 기준중 1순위는 HTTPS가 적용되어있는가? 입니다. 웹사이트에서는 필연적으로 많은 데이터(ID, 패스워드, 카드정보등)가 전송될수밖에없는데 HTTPS는 기본적으로 이를 암호화하는 기능을 포함하고 있고, 최근 구글 크롬의 정책에 따르자면 HTTPS가 적용되지 않은 웹사이트는 검색에서 후순위로 배정하겠다는 정책을 세우면서 기본적으로 웹사이트를 개발할때 HTTPS는 필수로 적용하는것이 바람직합니다.


    저의 경우에도 토이 프로젝트들을 개발할때에도 무조건 HTTPS 적용을 하고 있습니다. 특히 최근에는 Let's Encrypt에서 무료로 SSL인증서를 발급하고 있고 많은 웹호스팅 업체에서도 SSL 구입 장려 및 지원을 해주고 있기때문에 웹사이트에 대한 확장 및 보안에 조금이라도 신경을 쓰고 있다면 이러한 최소한의 기준은 지켜야한다고 생각합니다.


    티스토리의 경우에도 과거 HTTPS 지원을 하지 않았기 때문에 개인서버에 워드프레스 블로그로 이전작업을 생각했으나, 최근들어서 티스토리 또한 SSL 보안인증서를 적용함으로서 크롬에서 더이상 '주의 요함' 모양이 표시되지 않습니다.


    메가박스의 경우에는 대부분 앱을 사용하는지 제가 이 버그를 발견한게 대략 8개월전인것같은데 아직도 수정이 되지 않았습니다. 


    Google Chrome 74.0.3729.108 64bit, 확장프로그램의 영향을 받지 않기위하여 시크릿모드에서 테스트하였습니다.


    가장 첫번째로 눈에띄는 버그는 로그인이 되지 않는 버그입니다.



    로그인 버튼을 눌러도 화면에 아무런 반응이 없습니다. 문제는 Request를 HTTPS로 시작하는 URL으로 날렸는데 현재 URL은 HTTPS가 적용되지 않은 URL이니 CORS 정책을 위반하였기때문에 보안을 위하여 웹사이트가 정상적으로 작동되지 않은것입니다.


    이상한점은 request을 HTTPS로 적용했다는것은 개발 단계에서 이미 HTTPS 적용 유무를 결정했다는것인데 메가박스의 HTTPS로 URL을 설정해서 접속하면 HTTPS가 없는 HTTP URL로 자동으로 Redirect 된다는 점입니다. 이 문제는 결국 로그인 기능은 작동했으나 CORS 정책에 따라 다음 기능이 작동하지않은것으로 새로고침을 하면 로그인 기능은 작동함을 확인할수 있습니다.


    가장 큰 문제는 어떤 request를 보내고 데이터를 받아오는 환경에선 기능들이 전혀 작동하지 않는다는점입니다.



    카드정보와 각종 정보를 입력한후 조회를 해보아도 콘솔에 오류만 찍힐뿐 기능이 작동하지 않음을 확인할수 있습니다. 원인은 동일하게 CORS 정책을 위반함으로서 기능을 비활성화 했기때문입니다.


    문제를 해결하는 방법은 구글 크롬 설정을 수정하여 CORS 정책을 위반하더라도 기능을 작동하게 할수 있으나 이건 기본적으로 서버측에서 해결해주는게 가장 좋은 방법이며 일반 사용자들의 경우 이런 기능을 활성화하는 방법도 대부분 모를 뿐만아니라 보안측면에서도 CORS 정책을 위반하는것은 웹 표준을 위반하는것입니다.


    일단은 1:1 문의를 통하여 메가박스측에 웹사이트 개선 요청을 했는데 답변이 어떻게 올지 모르겠습니다.


    사실 메가박스 뿐만아니라 많은 웹사이트들이 이 문제를 가지고 있는데 웹사이트 개발자들이 좀 더 웹표준 & 보안쪽에도 신경쓸수 있는 문화가 정착되었으면 좋겠습니다.

    반응형

    댓글 0

Designed by Tistory.