본문 바로가기

심오한 세상/etc

IE8에서 session 문제

로그인 테스트하던 중 이상한 현상을 발견하였습니다.
도저히 이러한 현상이 발생되지 않아야 한다는 저의 착각인지 모르겠지만...
IE8에서 세션을 공유하는 현상이 발견되었습니다.

이상하게 여긴 전 여러가지 테스트를 해봤죠...

user1이 접속했을 때의 session id
session.getId():18F5157B22F3D74E56779B0865487439

user2가 접속했을 때의 session id
session.getId():18F5157B22F3D74E56779B0865487439

헛 왜????? 세션ID가 같을 까요??????
그래서 또 네이버를 뒤지기 시작했습니다.
근데!!!!! 두둥!!!!!

IE8의 LCIE(Loosely-Coupled IE) Design에서의 Session 문제

File Menu에서 New window, New Tab 또는 Duplicate Tab을 Click하거나 Desktop Shortcut으로 new tab이나 window가 open이 된다면, 이는 원래의 Session을 공유하여 사용하게 된다고 합니다.

하지만, File Menu에 New session을 Click하면 예상하다시피 New browser windows가 열립니다. 이는 말 그대로 기존의 ieexplore.exe와 Session을 공유하지 않기 때문에 동일한 Site에 다른 user로 로그온하더라도 Browsing 을 할 수 있는 기능을 제공한다는 것입니다.


이런 현상이 IE8의 LCIE(Loosely-Coupled IE) Design로 인해서 기인된 현상으로 추측을 하고 있지만...
만약 그렇다면 마소는 왜 이렇게 개발자에게 불편하게 디자인 한건지....
그리고 session이 공유된다는 것이 과연 보안상으로 취약한 점이 없는지 궁금하네요.

아~ 이거 어떻게 처리해야할지 걱정입니다.