kotalk/문서/57-security-trust-surface-and-user-education.md

Security, Trust Surface, And User Education

목적

보안은 내부 구현만으로 끝나지 않는다.
사용자가 무엇을 믿어도 되는지, 무엇이 아직 제한적인지, 자신의 장치와 세션을 어떻게 이해해야 하는지 알 수 있어야 한다.

사용자에게 보여야 하는 보안 정보

• 현재 로그인 장치
• 최근 접속
• 원격 로그아웃
• 세션 만료 또는 재인증 필요 안내

보여 주지 말아야 할 것

• 내부 토큰 구조
• 원시 오류 코드
• 개발자 중심 예외 메시지

교육 원칙

• 짧고 차분하게
• 공포를 조장하지 않게
• 사용자가 바로 취할 수 있는 행동만 제안

완료 기준

• 보안 정보가 과도하게 무섭지도, 너무 숨겨져 있지도 않아야 한다.