쿠팡 세션 관리 기능 이거 엉망이네요

쿠팡 PC에서 봤을때는 세션 관리 기능을 찾을 수도 없고 JWT 방식이라 지원이 안되는 줄 알았는데 알고 봤더니 기능 자체는 제공은 하는 모양이고 모바일에서만 들어갈 수 있더라고요. 애시당초 세션 관리 기능이 있다면 PC에서도 쓰게 해줘야죠. 근데 역시나 세션 관리 기능이 제대로 작동을 안하네요.

사진은 맥북의 포토 부스 앱을 이용하여 맥북의 전면 카메라로 찍은지라 화질이 다소 나빠도 양해 바랍니다.

일단 세션 무효화(로그아웃)가 즉시 되지 않습니다. 분명 세션 관리 기능에서 파이어폭스 세션을 삭제했는데도 로그아웃이 되지 않는 것을 볼 수 있습니다. 해보니 시간 차를 두고 삭제가 되는 것 같기는 합니다만은…

앱 쪽도 마찬가지 였습니다.

쿠팡은 JWT를 사용하는 만큼 JWT를 쓰지만 실질적으로는 세션처럼 구현하지 않는 이상은 즉시 세션 삭제는 쉽지 않습니다만은……. 이게 즉시 삭제가 되지 않는다면 이에 대한 고지가 있어야 할텐데 이게 없습니다. 구글 같은 경우에는 세션 관리에서 세션 무효화 하는 버튼 누르니 즉각 세션이 무효화가 되더라고요.

참고로 아마존은 이러한 고지가 존재합니다. 아마존을 따라하는 쿠팡이지만 이런 건 따라하지 않습니다.

그리고 심각한건 현재 세션 상황을 제대로 반영이 되지 않는 경우도 있다는 겁니다.

보시다시피 저는 파폭에서 쿠팡에 로그인 되어 있지만 모바일에서는 이게 반영이 안되어 있는 상황이고 그렇다고 시간이 지났는데 파폭에서 로그아웃이 되지 않습니다.

앱도 사정은 다르지 않습니다.

그 외에도 눈치치신 분들은 계셨겠지만 안드로이드 버전 감지도 제대로 못합니다. 유저 에이전트를 봤더니 안드로이드 10으로 되어 있던데(실제 버전은 이보다 높음) 쿠팡은 제 디바이스 안드로이드 버전을 안드로이드 1.x로 잡습니다. 아시는 분은 알겠지만 안드로이드 1.x는 한국에 보급자체가 잘 안되어 있었습니다.

https://okky.kr/articles/1547687 다른 분은 Unknown으로 뜨는거 보면 유저 에이전트 인식도 잘 안되는 듯 합니다. 이게 인식이 잘 되야 수상한 세션을 선별하죠.

아무튼 쿠팡 쪽 인증 시스템에 문제가 있는 건 확실해 보이며 제가 봤을때는 이번 사태에 개발쪽 책임도 크다고 봅니다.