29 lines
803 B
Markdown
29 lines
803 B
Markdown
# Security, Trust Surface, And User Education
|
|
|
|
## 목적
|
|
|
|
보안은 내부 구현만으로 끝나지 않는다.
|
|
사용자가 무엇을 믿어도 되는지, 무엇이 아직 제한적인지, 자신의 장치와 세션을 어떻게 이해해야 하는지 알 수 있어야 한다.
|
|
|
|
## 사용자에게 보여야 하는 보안 정보
|
|
|
|
- 현재 로그인 장치
|
|
- 최근 접속
|
|
- 원격 로그아웃
|
|
- 세션 만료 또는 재인증 필요 안내
|
|
|
|
## 보여 주지 말아야 할 것
|
|
|
|
- 내부 토큰 구조
|
|
- 원시 오류 코드
|
|
- 개발자 중심 예외 메시지
|
|
|
|
## 교육 원칙
|
|
|
|
- 짧고 차분하게
|
|
- 공포를 조장하지 않게
|
|
- 사용자가 바로 취할 수 있는 행동만 제안
|
|
|
|
## 완료 기준
|
|
|
|
- 보안 정보가 과도하게 무섭지도, 너무 숨겨져 있지도 않아야 한다.
|