소프트웨어 업데이트시 클라이언트와 서버 검증

안녕하세요.

남는 시간동안 간단한 프로젝트로 소프트웨어 업데이트 모듈을 개발하고자 하는데요.
그 과정에서 클라이언트와 서버가 서로를 검증하는 과정에 대해 궁금한점이 있습니다.

간단하게 인터넷에 돌아다니는 정보를 찾아본 결과,
서버가 업데이트 파일을 클라이언트로 보낼 때, 그 파일들이 유효하다는것을 보장해주기 위해 서버의 비밀키로 서명을 하게 되고, 클라이언트들은 서버의 공개키를 이용하여 이를 검증하더라고요.
이 과정은 변조된 파일을 업데이트 하지 않게 하기위해 필요할 것 같은데,

제가 궁금한 것은 서버가 업데이트를 요청한 클라이언트를 검증할 필요가 있나 하는 부분입니다.

물론 누군가가 올바른 클라이언트 프로세스가 아닌 다른 방법으로 업데이트 파일을 다운받을 수 있겠지만, 그것이 그렇게 큰 문제가 될것 같진 않은데 여러분의 생각은 어떠신가요??

업데이트 서버가 클라이언트를 검증해야할까요?

1 Like

간단한 검증은 들어갈 수 있겠지만 결국 파일이 클라이언트에 의해 처리되는 이상 파일을 얻어내는 건 어렵지 않을 것 같습니다.

1 Like

그냥 요청 받으면 버전 체크하고 최신버전 던져주면 그만 아닐런지요?

1 Like

굳이 검증하지 않아도 보안적으로 문제가 될건 없을것 같긴하네요.