안녕하세요, 궁금한점 이있는데 33~34 강의 편에서 보면 공격자가 세션 쿠키를 희생자의 브라우저에 삽입해서 희생자가 로그인하면 공격자도 희생자의 정보를 탈취하는 그런 내용의 강의가 있었는데요, 궁금한 점은 공격자는 왜 로그인 같은 기타 인증을 하지 않고 기본적으로 세션 쿠키가 생성이 되어있는걸까요? SessionCreation policy 가 always 가 아니고 if required 였던거 같은데 왜 이미 생성되어 있던 것인지 궁금합니다.

안녕하세요.와주 강의 잘 듣고 있습니다.과정 중 궁금한게 있는데요,wazuh 중앙서버에서 설정한 sysmon 정책을 에이전트로 배포할 수 있는 방법이 있을까요?현실적으로 에이전트 환경에서 일일이 sysmon 정책을 적용하게는 어려울 것 같아서요. 

✨ 질의 안내선수 지식이 부족하더라도 걱정하지 마세요. 강의를 통해 필요한 내용을 차근차근 배워나갈 수 있습니다.각 항목별 추천 자료를 통해 기본 지식을 탄탄히 하면 강의 내용을 더 깊이 있게 이해하고 활용할 수 있습니다.디스코드 또는 인프런으로 질문주시면 바로 답변드리겠습니다디스코드 채널 :https://discord.gg/uCQEnRaSMG안녕하세요.'04_Agent방식 Wazuh Sysmon 연계 구축하기 (Linux)'11:15 부분에서 sysmon -accepteula -i ./config.xml 명령어를 입력하면 아래처럼 오류가 발생합니다. 구글링으로 아래 방법을 알게 되어 시도해봤으나 그대로입니다. 혹시 해결 방안이 있을까요?$ wget -c https://ftp.gnu.org/gnu/glibc/glibc-2.29.tar.gz $ tar -zxvf glibc-2.29.tar.gz $ cd glibc-2.29 $ mkdir build $ cd build $ ../configure --prefix=/usr/local/glibc-2.29/build --disable-sanity-checks $ make $ sudo make install출처: https://sung-jae.tistory.com/4 [Dream Pocket:티스토리] 번외로, 올려주신 강의 영상이 도움이 많이 되고 있습니다. 감사합니다.

안녕하세요. 강의 잘 보고,듣고, 익히고 있습니다!customAuthenticationFilter관련 부분보다가 궁금증이 생겨서 질문 남깁니다. authenticationManager, authenticationProvider 로직을 SecuriyConfig의 필터가 아닌 일반 서비스 로직 내부에서도 똑같이 커스텀해서 사용이 가능한가요? (Contoller에서 dto로 받아서 서비스에서 id/pw 검증 후 이후 과정을 처리하는 그런 흐름이 가능한건지 궁금합니다) jwt 관련 로그인을 구현하려고 하는데, 전체적인 구조는 SpringSecurity의 맥락을 그대로 가져가고 싶은..생각입니다.

 HttpSecurity에서 가져오는 AuthenticationManagerBuilder와주입받는 AuthenticationManagerBuilder가 사로 다르지만 타입이 같아 메서드는 똑같을텐데 managerBuilder.authenticationProvider(new DaoAuthenticationProvider()); builder.authenticationProvider(new DaoAuthenticationProvider());후자일경우 수업 내용처럼부모 프로파이더에는DaoAuthenticationProvider() 가 들어가고providers 에는 커스텀과 익명 프로바이더 2개가 들어가는데요 전자 즉 직접 참조하는 AuthenticationManagerBuilder는부모 프로바이더는 null 인데 반해 기존 providers 에 생겨서 총 3개가되고있습니다 물론 실제 실행할때에는 똑같은 결과지만 함수authenticationProvider 은 public AuthenticationManagerBuilder authenticationProvider(AuthenticationProvider authenticationProvider) { this.authenticationProviders.add(authenticationProvider); return this; }인데 왜 각각의 작동이 다른지 궁금합니다   

우선 강의 정말 잘 듣고 있습니다! (꾸벅)서브넷과 ENI 모두 public과 private 설정이 가능하다는 것은 강의를 통해 이해했습니다. 실제로는 다음과 같은 네 가지 구조가 있을 것 같은데요Public Subnet + Public ENIPublic Subnet + Private ENIPrivate Subnet + Private ENIPrivate Subnet + Public ENI실무에서 2번(Public Subnet + Private ENI)과 4번(Private Subnet + Public ENI)을 어떤 상황에서 활용하는지 궁금합니다.

실전모의고사20제중 15번에대한 질문이있습니다.적절하지 않은것을 고르는 문제인데요. 4번이 개인정보처리시스템의 접근권한 변경이력을 3년보관해야하는 원칙때문에 답인것은 이해되지만, 2번에 개인정보처리시스템에 공용계정을 사용하는것도 적절하지 않지않나요? 개별적 권한 및 최소환으로 사용되어야한다고 이해됩니다. 실제로 회사 내부정책도 대부분 개인정보처리시스템에 여러명이 공용으로 계정을 사용하는건 제한하고있구요. '필수적인사유' 로 인해 문제가없는걸까요?

UserDetailsService()을 커스텀으로 만든 후에 UserDetail이 아닌 타입을 반환할 수 있나요? 아니면 UserDetail의 멤버변수들 뿐 아니라 더욱 많은 멤버 변수들을 추가해서 사용해도 문제가 없나요?

스프링 부트 3.4.3, 스프링 시큐리티 6.4.3 기준입니다.다음과 같이 설정하게 되면 api/**는 적용되지 않고 oauth/**에만 적용됩니다.http.securityMatchers(matchers -> matchers.requestMatchers("/api/**") ) .securityMatchers(matchers -> matchers.requestMatchers("/oauth/**") );

만약에 CustomProvider를 빈으로 정의한다면 DAOProvider를 저희가 만든 CustomProvider 가 대체하는것으로 이해 했는데 그렇게 되면 저희가 빈으로 정의한 UserDetailsService는 사용하지 않는건가요?

안녕하세요. 설명을 잘 해주셔서 강의를 끝까지 잘 듣게 되었습니다.ISMS인증기준 강의 마지막에 "모의고사 8회분"을 잘 풀어보라고 설명하셨는데, 모의고사 자료가 어디 있는지 못찾았아서 질문 올립니다. 자료 위치를 안내해주실수있는지요? 부탁드리겠습니다.

강의 내용 중에 POST 와 같이 데이터를 변경하는 요청의 경우 csrf 토큰을 생성한다는 내용이 있는데 로그인 페이지 요청시 GET 으로 요청하는데 csrf 토큰이 input 태그에 포함되어 있는 걸로 보아  POST 와 같이 데이터틀 변경하는 요청의 경우 csrf 토큰을 생성하는 게 아니라 csrf 토큰을 검증하는 것이고, csrf 토큰은 모든 요청에 대해 반환해준다가 맞을까요?  또 csrf 토큰이 난수를 조합해 계속 변경해서 클라이언트에 반환한다고 들었는데제가 잘못 본 건지 모르겠지만 토큰을 디코딩할 때난수를 조합하는 코드를 보면 토큰의 길이로 난수를 만드는 것 같은데,토큰의 길이로 난수를 만든다고 하면토큰을 변하게 하지 않는 이상 인코딩된 토큰의 결과가 똑같을 것 같거든요.  그래서 세션당 고유 토큰 값은 똑같다고 한다면로그인 전에는 클라이언트에 반환하는 토큰이계속 바뀌고 (=익명 사용자 세션이니)로그인 이후에는 클라이언트에 반환하는 토큰이 일정한 게 아닐까 하는 물음이 생겼습니다.어느게 맞는 걸까요 ?

안녕하세요. 강사님 실습을 하던 중 강의 17:00에 보이는 갯수와 달리3개밖에 안보입니다. 어떤 차이 때문에 11개가 보이지 않는 것인지 궁금합니다. 

제가 알고있는 사항이 맞는지 긴가민가하여 확인 차 질문남깁니다.영문으로 된 온라인 쇼핑몰에서 달러 결제(PAYPAL 등)로 상품을 구매한 EU 거주자가 존재한다면 GDPR 적용하여야 하는지요?2018년 당시 KISA 문의했을때 적용 범위가 아니다라고 했던거 같은데.. 지금도 이런 해석이 맞는지 모르겠습니다. 적용 범위가 아닌 이유 : EU 거주자를 대상으로 한 것이 아니기 때문

안녕하세요. 좋은 강의 감사드립니다.다만 강의자료에 CSRF 통합 챕터 깃 주소를 들어가면 아래와 같이 404 에러가 발생합니다.

'각 강의 브랜치 주소는 챕터가 시작하는 화면 하단에 표시되어 있으니 참고하여 주시기 바랍니다.' 라고 하셨는데, 화면 하단에 어디에 있는지 모르겠습니다.  해당 화면에 대해서 스크롤도 안되고, 메모같은 것도 없어서 현재는 github 를 뒤지면서 보고 있는데, 명확한 가이드를 주실 수 있나요 ? 깃허브에 뒤져가면서 보더라도  숫자-내용basic-내용 형태의 브랜치들 밖에 없다보니 뭘 봐야할지 헷갈립니다.

WebUtil이 지원하지 않는거 같은데 맞을까요?(WebUtils만 보이네요)

실제로 UserDetails를 구현하고 있는 건 "AccountContext" 이지 "AccountDTO"가 아니기 때문에, @AuthenticationPrincipal AccountDto accountDto를 하면 null이 반환될 수 있지 않나요?그래서 차라리 @AuthenticationPrincipal AccountContext accountContext를 해서 if (accountContext != null) { model.addAttribute("username", accountContext.getUsername()); } else { model.addAttribute("username", "비회원");}이렇게 하는게 더욱 올바른 방법이 아닌가요?

안녕하세요.  네이버에서 구매할 수 있는 핵심기본 개념서를 2024년 10월 30일(수) 구매 하였습니다.  해당 날짜에 구매한 파일이 최신본인지 문의 드립니다.  감사합니다.

강의를 다시 복습하니, SecurityContextHolder 가 지연로딩을 해 주는 역할도 하지만 다른 필터에 SecurityContext를 전달하는 DTO 같은 역할을 하는 것 같다고 느꼈는데 선생님 생각은 어떠신가요?