유능한 적군보다 위험한 것은 무능한 아군이다. 분야와 크기를 불문하고 조직에서는 항상 탁월한 인재를 유치하는것에 대해 고민한다. 그리고 인재를 유치하기 위해 가장 중요한 문제는 당연하게도 어떤 사람이 인재인지를 판단할 수 있어야 하는 것이 아닐까. 1. 알고리즘 테스트 기업에서 알고리즘 테스트를 도입한 것은 그리 오래되지 않았다. 대략 5년에서 10년쯤 되지 않을까 싶은데, 그 이전에 컴퓨터공학 출신 엔지니어를 기업에서 채용할 때 어떤 면을 평가했었나? 대부분의 기업에서는 평점과 그 외 언어(TOEIC 등) 점수를 평가했던 것 같다. 여기서 왜 기업은 평점과 언어 점수를 평가지표로 삼았는지를 생각해보면 그 오류가 무엇인지, 어떻게 해결할지 실마리를 찾을 수 있을 것 같다. 인사담당자였던 적이 없어 추정밖..

테스트 코드 짤 시간에 비즈니스 로직을 짜는 게 엔지니어를 잘 활용하는 방법 아닌가? 굳이 기능도 아닌데 테스트 코드를 짜는 게 의미가 있나? 주의 제목과 서두가 자극적이다. (제목과 서두만 자극적일 수 있다) "비즈니스 로직이 급한데 테스트 코드가 굳이 필요한가?" 그렇게 생각할 수 있다. 그리고 실제로 그럴 수 있다. 빠르게 제품을 만들어내고 문제점을 찾아내야 하는데 테스트 코드만 작성하다가는 투자금은 몽땅 날리고 제품은 최소 실행 가능한 수준도 안되고 엔지니어는 지치는 상황이 발생할 수 있다. 비슷한 예로, 백오피스는 관리자가 사용할 부분인데 굳이 이 기능에까지 테스트 코드가 필요한가? 에 대해 아래 글에서 언급한 그 multiple vulnerability에 대한 글과 함께 테스트 코드가 필요한지..

해외에서 소프트웨어 설계와 관련되어 논의되는 주제가 있다. "ORM is antipattern" "ORM is bad" "ORM is fxxk" 등 데이터베이스를 구성하는 소프트웨어 개발에 흔히 사용하고 있는 ORM(Object Relational Mapping)의 설계적 관점에 대한 논의이다. (당연하게도 ORM 라이브러리를 사용하면 엔지니어가 신경 쓸 부분이 줄어 개발 속도는 상당히 증가한다. ) 1. 왜 ORM을 사용하는가 사용이 간단하다. 길게 말할 것 없이 ORM을 사용하는 이유는 성능, 구조를 떠나 간단하기 때문이다. 조금 강하게 말해보자면, SQL과 집합에 대한 지식 없이 코드 개발만 익힌 엔지니어도 데이터베이스 연동 개발을 성공적으로 진행할 수 있다. (실제로 대부분의 코딩 교육기관에서 S..

거의 모든 서비스는 사용자 인증 기능을 갖는다. 주의. 당연히 사람마다 역량이, 환경마다 차이가 있을 수 있음을 인지하고 있으며 이 글은 극단적인 예시를 포함하고 있다. 서비스라는 게 사용자에게 제공하는 어떤 편리한 기능적인 역할을 해야 하니 따지고 보면 당연할 수 있다. (계산기 같은 편리함을 말하는 것이 아니라 고객이 처리할 일을 대신해주는 어떤 그런 서비스 정도를 생각했다.) 하지만 정책, 혹은 기술적인 보안 요소를 완전히 이해하지 못하고 사용자 정보를 저장하는 케이스들이 생각 외로 많이 발생한다. 우리나라의 경우 다양한 정부 관련, 혹은 연구 기관에서 안전한 보안 환경을 위한 정책적 연구를 수행하고 그에 따른 권고안을 제시한다. 개인정보 보호 관련 정책에서 볼 수 있듯 비밀번호의 경우 단방향 암호..

일반적으로 XSS는 다양한 웹 취약점들 중 높지 않은 수준으로 분류된다. 주의. 현재 Chrome이나 Edge등 메이저 브라우저들은 Reflected XSS 필터에 많은 우회방법이 있다는 점. 그리고 CSP를 통해 개발자가 직접 보호정책을 세울 수 있기 때문에 XSS Auditor를 deprecate했다. ( 이 취약점을 제보했을 당시 정상동작 했던 Chrome XSS Auditor를 포함하는 내용이다. ) ( https://www.chromium.org/developers/design-documents/xss-auditor ) 그중 Reflected XSS는 브라우저의 보호 기법 등으로 인해 더 이상 진짜 역사 속으로 들어간 취약점으로 취급되어 일반적으로 공격자들이 사용하지 않기도 하는 데다가 버그 바..