피드로 돌아가기
Hacker NewsHacker News
Security

Slack Video Embed의 iframe 허점을 이용한 E2EE 통신 구현

Show HN: Exploiting Slack's video embeds to achieve E2EE communication

2026년 6월 15일4intermediate

Context

Slack의 표준 메시징 프로토콜 내에서 종단간 암호화(E2EE)를 구현하기 위한 제약 사항 분석. 서버가 복호화 키에 접근하지 못하도록 클라이언트 사이드에서 모든 암호화 연산을 처리해야 하는 설계적 요구 사항 발생.

Technical Solution

  • Slack Video Block의 video_url 검증 로직이 HTTP 상태 코드(2xx, 3xx)만 확인하는 점을 이용한 임의의 iframe 삽입 구조 설계
  • Browser Crypto API 및 OpenPGP.js 라이브러리를 활용하여 클라이언트 브라우저 내에서 Private Key 복호화 및 메시지 서명 수행
  • 서버의 데이터 저장 최소화를 위해 KV DB 기반의 Slug 시스템을 도입하여 필요한 암호화 메타데이터를 동적으로 전달
  • 사용자 Passphrase를 통한 로컬 복호화 과정을 거쳐 서버가 평문 키를 절대 인지하지 못하는 Zero-Knowledge 아키텍처 구현
  • ephemeral messages 내 Video Block 미지원 제약 사항을 파악하여 표준 메시지 기반의 인터랙션 흐름으로 설계 변경

1. Third-party 플랫폼 통합 시 API 문서에 명시되지 않은 런타임 제약 사항(예: ephemeral message 제약)을 사전 검증했는가

2. 민감 데이터 처리 시 서버를 단순한 데이터 전달자로 제한하고 클라이언트 사이드 암호화를 적용할 수 있는 구조인가

3. 외부 라이브러리(OpenPGP.js 등) 도입 시 자체 구현 대비 보안 표준 준수 여부와 개발 비용의 Trade-off를 분석했는가

원문 읽기