DoVirus.kr

728x90

왜인지 모르는 tworld 사이트 로그인 문제가 1년이 넘게 간헐적으로 발생하여 날 귀찮게 하였다

도저히 해결 방안이 없어 보여서 그냥 대충 요리조리 우회 하여 사용하였는데

 

드디어 해결의 실마리를 찾은거 같다

 

아마 추정 원인은 https 와 http의 와리가리와 tworld.co.kr 접근 했는데 자체 인증 때문에 xtr.tos.sktelecom.com 으로 와리가리 하면서 리퍼러 값이 다르니 파이어폭스에서 뱉어내는거 같다

 

근데 웃긴건 항상 한번 로그인이 성공하면 당분간 잘된다는 점...

아니 뭔 놈의 보안이 이 따구야...

 

그래서 처음으로 성공한 방법을 남겨 보려 한다

 

"strict-origin-when-cross-origin" "ns_binding_aborted"

strict 어쩌고는 해당 리퀘스트가 NS_어쩌고로 아예 요청 시도 자체를 안할때 나오는 리퍼러 정책으로 공통점이다

 

ttps://xtr.tos.sktelecom.com/xtractor/userScript/UserInfoGet?=&url=www.tworld.co.kr/index_psnl.html?sitecd=main&ref=www.tworld.co.kr%2Findex.html&req_type...생략

이 경로와

ttps://www.tworld.co.kr/tidRequestServlet.do?id_token=eyJhbGciOiJIUzI1NiIsImp3...생략

 

이 두 경로에서 발생한다

근데 아래 경로의 경우 원래 tworld 로그인은 팝업이 되기 때문에 해당 URL은 팝업 창에서 호출을 하게 되는데

이게 안될 때는 팝업창이 안뜨고 tworld.co.kr을 입력한 창에서 로그인 페이지가 뜨게 된다.

 

소스가 있어도 해결 못할 것 같은데

일단 해결책은

 

about:config 에서

network.http.referer.defaultPolicy 기본값 2 => 1

로 바꿨더니 바로 로그인이 되었다.

 

해당 값에 대한 내용은 

https://wiki.mozilla.org/Security/Referrer

 

Security/Referrer - MozillaWiki

 

wiki.mozilla.org

여기를 참고 하면 되는데 교차 출처에 대한 룰을 빡쌔게 적용하다 동일 출처에 대해서 적용하는걸로 좀 느슨하게 바꾼거다

 

이게 보안에 어떤 문제가 생길지 모르고 굉장히 취약해 질 수도 있을 법해서 권장은 안한다...

728x90

Comment +0