문제는.. error_reporting이 URL로 id와 password를 return하기때문에, 그걸 sniffing하는 넘은 저 정보를 늘 보고 있다는 것이죠. 저 두 정보를 URL에 올리지 않는 것이 security의 기본 상식 중 하나 아닌가요 ? 문제는 물론 XE를 가능한한 소스 그대로 사용하는 것이 좋기는 한데, 저런 심각한 문제는 손을 좀 대야 하는게 아닌가 합니다. 최소 password를 return할 필요는 없지 않나 합니다.

여튼 현재 집에서 쓰는데 아무 문제 없고요.. 극단적으로 느린 것은 회사에서만 발생하는 문제인지도 모르겠습니다. 제가 회사에 있는 시간대에 서버에서 무슨 작업을 하는지도 모르지요. 제가 사용하는 시간대와 우리나라에서 보통 사용하는 시간대는 완전히 다르니까요.

장문이 되어 짧게 줄이겠습니다.

운영진 채널에 협의 요청하였습니다. 

1) 운영진 협의 후 일단 소스 상에 주석처리를 했습니다만, php.ini 자체는 수정하지 못했습니다. 이것은 데몬의 재시작이 필요한 부분인데 논리적으로 서버를 내렸다 올리는 것이라 부담이 너무 크기 때문입니다.

2) 그러함에도 불구하고 패킷 확인 결과 XE 자체가 로그인 시 데이터를 평문으로 post 방식 폼 전송하기 때문에 걱정하시는 스니핑은 방어할 수 없습니다. 즉 스니핑 공격을 당하신다면 콜백 값 확인 전에 전송하는 단계에서 이미 해킹되실 겁니다. 이 부분은 ssl을 적용해 https로 전환해야 하는 사항이고 비용과 꽤 많은 검증이 필요하기에 적용이 어렵습니다. 참고로 이 부분은 본 사이트 및 XE만의 문제가 아니며 ssl 적용하지 않은 모든 사이트에 해당됩니다.

3) error의 URL 상의 값 노출은 XE의 문제가 아니며 전송 값 실패에 대해서 브라우저 차원에서 노출하는 것일 수도 있습니다. 재현이 현재 불가능하기 때문에 확답드릴 수 없는 점 양해구합니다.

저도 지금은 돼요. ㅠㅜ