2024. 08. 14(Wed)
- 백엔드 팀원들의 일정이 서로 맞지 않아서 제대로 회의를 진행하지 못함
현재 피그마에서 개인 정보 변경 페이지에 접근하기 전에 이메일 인증을 요구하고 있습니다.
- 이메일 인증 후, 다른 페이지를 살펴보다가 다시 개인 정보 변경 페이지에 진입할 때 또다시 이메일 인증을 받지 않도록 하기 위해 세션이나 토큰을 발급하여 일정 시간 동안(예: 10분, 30분) 재인증 없이 접근할 수 있도록 하는 방안을 제안했습니다.
- 세션이나 토큰이 공격자에게 탈취될 가능성(예: 세션 하이재킹, 중간자 공격 등)에 대한 우려가 있습니다.
- 그러나 탈취되더라도 수정 가능한 정보는 '자기소개', '링크', '프로필 사진' 정도이며, 이메일 변경에는 추가 인증이 필요합니다.
- 이러한 정보의 비즈니스 중요도는 단체마다 다를 수 있지만, 크게 크리티컬하지 않다고 판단됩니다.
- 따라서, 세션이나 토큰의 만료 시간을 빠듯하게 설정하지 않아도 괜찮을 것 같습니다. 이에 대한 다른 팀원들의 의견을 듣고자 합니다.