기본 콘텐츠로 건너뛰기

5월, 2013의 게시물 표시

웹 애플리케이션의 보안 취약점을 찾기 위한 통합 침투 테스트 도구 - OWASP Zed Attack Proxy

웹 애플리케이션의 보안 취약점을 테스트하기 위해 그동안 Paros 란 프로그램을 사용해 왔었는데, 안타깝게도 이 프로그램이 업데이트가 되지 않은지 너무 오래돼서 최신의 보안 취약점 검사에는 한계가 있어 이번에 다시 한번 열심히 검색해서 제 나름 기준으로 꽤 좋은 도구를 하나 찾아서 소개해볼까 합니다.

분명 국내에는 저보다 더 능력이 되시는 많은 보안 테스터분들께서 더 좋은 도구를 가지고 테스트를 하시리라 믿습니다만.. 구글에서는 어찌 된 것이 아무리 검색해도 한글로 된 자료를 찾기가 참 어렵습니다.

아마 오늘 제가 소개해 드리는 이 프로그램도 제가 최초가 아닐까? 조심스럽게 생각해 봅니다.

그리고 저도 아직까지 이 프로그램의 모든 기능을 전문적으로 사용하고 있지 못하기 때문에 관련된 자료나 방법을 아시는 분은 같이 공유해주시면 고맙겠습니다.

오늘 소개해드리는 프로그램은 제가 OWASP 홈페이지를 검색하면서 찾아낸 도구입니다.

이 프로그램은 Paros에서 갈라져 나온 프로그램으로 기본적인 사용방법은 Paros와 거의 똑같습니다.

다만 Paros에는 없는 여러가지 기능들이 포함된 정말 종합선물세트와 같은 프로그램입니다.

이 프로그램이 무엇이냐?

바로 OWASP Zed Attack Proxy 라는 프로그램입니다.

이 프로그램에 대한 자세한 내용은 https://www.owasp.org/index.php/ZAP 에서 보실 수 있습니다.

프로그램 소개에는 한국어도 지원한다고 하지만 제 경우에는 아무리 해도 한국어로 나오지는 않네요.

프로그램을 다운로드 하셔서 설치하시고 Weekly Release도 같이 설치하시기 바랍니다. Weekly Release는 zip 파일의 압축을 해제하셔서 설치 디렉토리업 덮어쓰기 하시면 됩니다.

설치를 다 하셨으면 이제 이걸 쓰는 법을 알아보겠습니다.

우선은 브라우저에서 프록시 설정을 해주셔야 합니다.

프록시를 설정하시는 방법은 프로그램에서 F1을 누르셔서 도움말을 실행하신 후에 Getting Started - Configuring pro…

Google Books가 변했어요.

얼마전 열린 Google I/O로 한 몇일동인 인터넷 게시판이 시끌시끌 했습니다.

머 여러가지가 발표되었지만 당장 일반적인 사용자에게 와 닿는 변화는 아마도 구글 플러스 사진과 행아웃이 아닐까 싶습니다.

하지만 제 기억이 맞다면 발표 내용에는 없었지만 책을 좋아하는 사람에게는 환영할만한 업데이트가 Google Books에 있었습니다.

바로 epub 이나 pdf 파일을 업로드 하여 Google Books 앱에서 읽을 수 있게 되었습니다.

모바일에서는 업로드가 불가능하고 웹으로 접근해서 업로드를 해야 합니다.

https://play.google.com/books/uploads

로 접속하셔서 가지고 계신 파일들을 업로드해서 보시기 바랍니다.

아쉬운 것은 이렇게 업로드하는 것보다는 구글 드라이브랑 연동하는 것이 더 좋지 않았을까 싶습니다만.. Goole Keep도 어설프게 연동되어 있는 마당이니..

구글은 먼가 획기적인 듯 하면서도 꼭 먼가 어설픈게.. 좀 그렇습니다.

오늘 아침에 보니 야후가 텀블러를 인수했더군요..

이 소식도 그냥 SNS에 짤막하게 올릴까 했지만 그러기에는 내용이 좀 길고 블로그에 올리려니 좀 짧은 소식인데.. 이럴때는 텀블러가 참 유용한 서비스이긴 한데..

야후가 과연 틈새시장을 창출해 낼 수 있을지.. 구글에 비해 관심을 덜 받게 된 야후지만.. 노장은 죽지 않을지.. 지켜볼만할 것 같습니다.

그나저나 구글은 구글 플러스나 얼릉 업데이트 해주면 좋겠네요..

행아웃으로 모두 통일시킨다면서 구글 플러스 메신저는 왜? 흠.. 역시 먼가 어설픕니다.

그나저나 구글 플러스 사진은 정말 좋아졌습니다. 허허허..

뮤리안의 사용성 테스트 추천 도서 3rd - 알기 쉬운 UX 디자인 평가

알기 쉬운 UX 디자인 평가 -
빌 알버트 외 지음, 김도균 외 옮김/지&선(지앤선)
오늘 소개해 드릴 책은 '알기 쉬운 UX 디자인 평가' 입니다.

책 제목은 알기 쉬운 UX 디자인 평가이지만 실제적인 내용은 부제목인 '대규모 온라인 사용성 조사 가이드'가 더 적절합니다.

이 책은 오프라인이 아닌 온라인 상에서 대규모 사용성 조사를 수행하는 방법에 대한 가이드입니다.

책은 정말 좋은 내용인데, 제가 미력하여 머라 표현을 하지 못하는 것이 아쉽습니다.

사용성 테스트에 관심이 있으시거나 현재 수행하고 계신 분들은 꼭 한번 읽어보시기를 추천해 드립니다.

이 책은 기존에 제가 소개해 드렸던 '사용자 경험 측정'과 '스티브 크룩의 사용성 평가, 이렇게 하라!' 와 같이 보신다면 더욱 좋을 것 같습니다.

사용성 테스트를 처음 시작하시는 분들에게는 '스티브 크룩의 사용성 평가, 이렇게 하라!'를 추천해 드리고 그 다음으로 좀 더 깊이 있는 사용성 테스트를 원하시는 분들에게 이 책을 추천해 드립니다.

그런데, 이 책은 막상 깊이 있게 다루었으면 하는 내용들이 조금 부족한 부분들이 있습니다.

그런 부분들은 '사용자 경험 측정'과 같이 읽으신다면 큰 도움이 되실거라고 생각합니다.

특히 이 책은 책 뒷부분에 다양한 사례가 첨부되어 있어 많은 도움이 됩니다.

아래는 개인적으로 책을 읽으면서 느꼈던 몇가지 아쉬운 점들입니다.

1. 참고도서를 소개해주는데 '더마스와 레디쉬의 책(1999)'와 같은 식으로 소개해주기 때문에 막상 어떤 책을 찾아야하는지 애매모호합니다.

2. 몇몇 용어들은 실무에서 쓰이고 있는 용어들과 조금 차이가 있습니다. 논란의 여지는 있을 수 있지만 예를 들면 '퍼소나'를 '페르소나'로 소개하고 있는 식입니다.

3. 생각보다 쉽게 읽히지는 않습니다. 번역 때문에 그런지 알 수 없지만 읽다 보면 중간 중간 조금씩 막히는 부분이 있…

라즈베리 파이는 먹는게 아니랍니다. - 거침없이 배우는 라즈베리 파이

거침없이 배우는 라즈베리 파이 -
에벤 업튼 & 가레스 할퍼크리 지음, 유하영.전우영 옮김/지&선(지앤선)
이 책을 받을 때까지 전 라즈베리 파이를 들어본 적이 없습니다.

IT로 밥을 먹고 사는 사람이.. 둔한건지...

처음에 라즈베리 파이를 보면서 든 생각은 .. 요리책?

먹는게 왜??

외국애들은 요즘 먹는걸로 프로젝트 이름을 붙이는게 유행인가봅니다.

그렇게 책을 받아서 잠시 구석에 짱박아두었는데..

현재 참여하고 있는 프로젝트에서 DCU로 라즈베리 파이를 검토하고 있더군요..

라즈베리 파이라고?? 어디서 많이 들어본거 같은데.. 라고 생각해보니.. 제가 받은 책 중 하나더군요.

그래서 잽싸게 꺼내서 먼지 후~ 탁탁 두들기고 신나게 읽어보았습니다.

책의 내용은 꽤 쉽고 재미있게 써져 있어서 술술 잘 읽힙니다.

그런데, 책을 덮고 나서 드는 생각은 라즈베리 파이보다는 '들어가며' 에 소개되었던 '디지털 네이티브'라는 단어에 꽂혔습니다.

라즈베리 파이라는 이 장비를 누가 어떤 용도로 쓸 것인가에 대한 근본적인 시작이 디지털 네이티브에서 시작하고 있습니다.

책의 내용을 조금 옮긴다면 '원하는대로 프로그래밍을 할 줄 아는 그런 아이들이야 말로 진짜 디지털 네이티브라 할 것이다.' 라고 얘기하고 있습니다.

그 내용을 읽으면서 솔직히 조금 충격을 받았습니다.

저는 IT로 밥을 먹고 살고 있지만 프로그래밍을 할 줄 모릅니다.

젊을때는 프로그래밍(정확히는 게임을 직접 만들어보고 싶었습니다.)을 너무나 하고 싶어서 독학으로도 공부를 해보았고, 대학교에서 교양강좌로 남의 과에 가서 운영체제, 전산학, 프로그래밍, 전자 회로 등을 닥치는대로 들어도 보았지만.. 결국에는 포기했습니다.

저에게는 프로그래밍이라는 세계는 너무 낯설고 이해하기 힘든 영역이었습니다. 이론 물리학보다 더 어려운 세계였습니다.

프로그래밍 언어의 컴파일도 잘 이해를 못했고, 어셈블리어도 배워보았지만 내가 짠 프로그래밍 언어를 컴퓨터가 이해하고 장치를…

편한 듯 하지만 은근히 불편한 블루투스 헤드셋 HBS-730

저는 이어폰 줄 끊어먹는데에 귀재입니다.

얼마전에도 이어폰 줄 하나를 끊어먹었습니다. LG 옵티머스 G 번들 이어폰인 쿼드비트 이어폰 줄을 끊어먹었지요.

몇달에 한번씩 줄을 끊어먹다보니 이것도 은근 스트레스더군요.

줄 안끊어먹구 오래 쓸만한 이어폰이 머 없을까? 심히 고민해보았습니다.

그러다가 얼마전에 모 업체에서 테스트했던 블루투스 헤드셋이 떠올랐습니다.

예전과 달리 블루투스도 기술의 발전에 따라 배터리를 그다지 많이 소모하지 않던 것이 떠올랐습니다.

그래.. 요즘이라면 블루투스도 괜찮을거야라는 생각이 들었습니다.

그래서 또다시 열심히 뒤져보았습니다.

제가 테스트했던 헤드셋은 일반인들이 사용하는 그런 제품은 아니었고, 해당 업체의 다른 헤드셋은 아직 국내 출시가 되지 않아서 제외하고..

뒤져보니.. 대부분의 블루투스 제품은 모노 제품이 많더군요.

하지만 음악도 듣고 하려면 스테레오가 필요한데 찾아보니 대부분의 제품들이 넥밴드라는 형태더군요.

그런데 저는 안경을 쓰기 때문에 귀에 걸치는 형식은 불편할수밖에 없어서 다른 분들이 추천해주시는 제품은 섣불리 구매하기가 꺼려지던차에 LG에서 나온(하지만 AS는 LG에서 안해준다는 풍문이 있던데.. 사실 여부는 다시 한번 더 확인해 볼 필요가 있습니다.) HBS-730이라는 제품을 알게 되었습니다.

목에 두르는 목걸이 같은 형태에 일반 이어폰과 같은 형태의 제품으로 아래와 같이 생겼습니다. 이런 형태의 제품은 딱 이제품 뿐이더군요. 역시 LG인가?



구매해서 사용해본 소감입니다.

1. 헤드셋 자체의 배터리는 수준급입니다. 출퇴근 5시간 동안 음악 감상에 하루 9시간씩 대기 시 2~3일 정도 쓸 수 있습니다. 그리고 덤으로 넥서스 4는 블루투스를 상시 켜놓아도 예전처럼 배터리가 광탈하거나 하지는 않더군요. 그리고 충전은 아주 빠르게 됩니다.

2. 음질은 그냥 막귀라서 대충 듣습니다. 대신 이어폰이 귀에 꼭 맞게 밀착되지는 않아서 외부 소음이 크면 소리가 잘 들리지 않습니다. 머 이건 사람마다 조금 다를 수 있고 외부 소음…

올레 던전의 웹 접근성 인증 마크 획득이라..

얼마전부터 페이스북이나 여러 게시판으로부터 잊혀질만하면 한번씩 회자되는 소식이 하나가 있었다.

바로 올레닷컴(이라 쓰고 올레던전이라 읽는다.)의 웹 접근성 마크 획득에 대한 뉴스였다.

자세한 내용은 아래 기사를 읽어보시기 바란다.

KT, 한국장애인인권포럼 웹접근성 인증마크 획득

그런데 이 소식을 접한 분들의 제가 아는 한에서 나오는 반응은 웅? 이란 반응이었다.

올레닷컴은 예전부터 사용성이 최악인 사이트로 올레던전이라는 별명으로 더 유명한 사이트이다.

나도 사용성 테스트 실습을 할때 아주 애용하는 사이트이다.

이 사이트는 뭐라고 말하기도 귀찮을 정도로 최악중의 최악의 사용성을 보여주는 극악의 불지옥 난이도급의 사이트로 유명하다.

그런 사이트가 웹 접근성 인증 마크라고? 라는 것이 내가 접한 반응이었다.

이런 반응의 배후에는 많은 분들이 사용성과 접근성을 동일시 하는 경향이 있기 때문인듯하다.

즉, 사용성이 좋은거면 접근성도 좋은거니.. 둘은 비례관계인데..

사용성이 최악인데 어떻게 웹 접근성 마크를 획득할 수 있지라는 오해를 많이 하시는 듯 하여 부족한 지식으로 한 몫 거들어볼까 한다.

사실 접근성과 사용성의 차이에 대한 자료는 구글에서 검색 한번만 해보시면 이미 많은 능력자분들이 잘 설명해 놓은 자료들이 차고도 넘치고 있다.

그럼에도 불구하고 미천한 나까지 이렇게 숟가락을 올려야 하는가 싶기도 하지만..

테스팅 블로그랍시고 테스팅 내용이 올라온적이 언제인지 기억도 없을 지경에 이르다보니.. 이렇게 숟가락을 올리고자 한다.

하지만 이 이후 내용은 제 개인적인 생각으로 어떠한 논리적이거나 학술적인 증명은 힘든 관계로 저와 건설적인 논쟁을 원하시는 분들의 댓글은 환영하지만 딴지는 정중히 사절하는 바입니다.

우선 접근성과 사용성을 밀접하게 바라보게 되는 이유는 여러가지가 있을 수 있겠지만 개인적인 생각으로는 ISO/IEC 25010 표준이 가장 큰 영향이 아닐까 싶다.

예전 표준인 ISO/IEC 9126 시절부터 꾸준하게 ISO 측은 접근성을 사용성의 부특성으로 다…

내 자동차 주유구는 어느 쪽이지?

자동차를 처음 사서 주유소에 가던 기억이 아직도 생생합니다.

그런데 처음 자동차를 사거나 렌트 업체에서 자동차를 빌리고 주유소 앞에 도착하면 헷갈리는 것 중 하나가 자동차 주유구가 어느쪽인지 잘 모를때가 있습니다.

이게 표준처럼 왼쪽이면 왼쪽, 오른쪽이면 오른쪽 이렇게 정해져 있으면 좋으련만...

차마다 제각각이다 보니 기름 종류 선택하는것 다음으로 어렵습니다.

그런데 운전석에 앉아서 아주 쉽게 주유구 위치를 알 수 있는 방법이 있습니다.

요즘 나오는 대부분의 차(외제, 국산 다 포함해서)에 적용할 수 있습니다.

어떻게 알 수 있느냐?

자동차 계기판의 연료 게이지를 보면 알 수 있습니다.

아래 사진처럼 연료 게이지를 보면 주유구의 위치가 화살표로 표시되어 있습니다.



스파크는 오른쪽에 있네요.

여러분 차 계기판도 다시 한번 잘 살펴보세요.

그런데, 다시 보면 유용한 정보이지만 참 직관적이지 못하게 설계된것이 아닐까 싶을 정도입니다.

여러분은 이 사실 알고 계셨나요?

타이어 공기압 경보 장치(TPMS) 구매기 - Tyredog의 TD-1400X

제가 없는 살림에 쥐어짜서 차를 구매한지도 벌써 1년 6개월정도가 되었습니다.

이제 1년 6개월만 더 할부금을 내면 제 차가 되는군요.. 타고 다니는 건 전데.. 소유권이 도데체 누구에게 있는건지..

차를 끌고 다니다보니.. 전 남자인데도.. 정말 어려운것이 관리입니다.

세차부터 각종 필터, 오일 등등..

서비스 센터를 가지 않더라도 운행 전에 살펴볼 것은 참 많습니다만.. 정기적으로 이런거 꼼꼼하게 살피시는 분 많으신가요?

저는 그다지 신경을 잘 쓰지 못하고 있습니다.

좀 둔감하고 귀찮기도 하고.. 사실은 잘 몰라서 못하고 있습니다.

그중에서도 가장 애매모호한 것이 타이어 공기압이 아닐까 합니다.

발로 팡팡 차보기도 하고 이리저리 살펴보아도 이게 지금 적정 공기압인지 모자란건지 너무 많이 들어간건지 알기 힘듭니다. 마치 신나게 두드려 산 수박이 맛이 없는 것처럼 말이죠.

그래서 그동안 벼르고 별렸던 TPMS를 구매했습니다.

요즘 나오는 비싼 차는 다 있다는 TPMS.. 저도 한번 달아보았는데요.. 돈값은 합니다. 무척 편합니다. 물론 공기압에 대한 신뢰도를 물어보신다면.. 잘 만들었겠죠..

TPMS를 구매하기 위해서 지난 1년간 각종 커뮤니티를 모두 읽어본 결과 많은 분들이 Tyredog 제품을 추천해주시더군요.

그런데 이 회사 구글신에게 물어봐도 홈페이지가 나오지를 않습니다. 쿨럭..

이 회사 홈페이지는 아래로 가시면 됩니다.

http://www.tyredog.co.kr/

홈페이지의 Support 의 고객 Q&A에 가시면 TD1400-X 구입 방법 이라는 게시물이 있습니다.

게시물에 적혀 있는 방법으로 구매하시는 것이 가장 저렴한 방법이라고 생각됩니다. 저도 그렇게 구매했습니다.

게시판을 잘 살펴보시면 의외로 불량율이 높은것 같지만 전 뽑기운이 좋았는지 제대로 작동하는 제품을 수령했습니다.

설치 방법도 엄청나게 간단합니다.

이 회사 제품은 타이어 공기 투입구에 뚜껑 형태로 부착되는 제품이라서 도난에 대한 불안감이 가장 큰데, 회사 설명에 따르면 분실…