로그인 안되는 증상 보다가...
2011.05.11 11:32
http://www.kpug.kr/?user_id=아이디&password=비밀번호&x=숫자&y=숫자&keep_signed=Y
식으로 일반텍스트 URL이 주소창에 뜨더군요. 로그인은 안되고.
캐시 비우니까 로그인은 되었지만, 주소를 저렇게 보내고 로그인이 되어왔다고 하면 좀 문제가 있네요.
URL 자체에 비밀번호가 암호화되지 않은 채로 전송되어 왔다는 소리인데 해킹당하기 딱 좋아 보입니다.
코멘트 9
-
위험하군요.
일단 연락처정보/비밀번호 등은 암호화되어 저장되어야 합니다.
-
그래서 SSL 보안 인증을 써야 하죠...
일반적으로 SSL보안이 적용 안된 홈페이지에서 키로그나 보안이 안된 무선랜을 사용하면 모든 비밀번호 암호를 간단하게 알아낼수 있습니다.
우리 홈페이지 CMS인 XE에서의 비밀번호는 안전하게 암호화되어 저장되고 있습니다.
이 내용에 대해서는 오해는 하지마시고 운영진의 입장을 정리해서 올려드리겠습니다.
-
근데 위의 문제는 저장이 아닌 전송의 문제이니 각각에 대해 잘 정리 부탁드립니다.
-
넵.. 현재 상황에 대해서 잘 파악하고 있고, 운영진과 고문들의 논의가 끝난뒤에 올려드리겠습니다.
운영진과 고문분들은, 고문게시판에 관련 게시물 내용을 확인해주시고 토의해주시길 바랍니다.
-
관리자페이지에서 '선택적으로'는 회원가입, 정보수정 등의 지정된 action에서 SSL을 사용 하면 되는 거 아닌가요?
그 옵션 꽤 옛날에 만들었던 건데...
개인적으로는 XE등의 범용 툴 에서의 암호는 적절히 배치하고 있다는..
서버관리자라면 아파치 로그에도 나타나게 할 수 있지요.
-
예전 KPUG.net 때도 저런 식으로 해서 로그인 했었습니다.
다들 그렇게 쓰는 것으로 압니다.
-
예전부터 제로보드 기반 사이트에서 저런 방식으로 로그인하는 것이 많이 통용되었던 건 사실이지만, 요즘 시대가 시대이다 보니 말이죠. ㅎㅎ 게다가 최소한 form 작성을 해서 보내는 건 URL에 그냥 실어 보내지 않는 게 좋죠.
-
음냐... 이번업데이트 때 로그인 관련 보안패치가 이루어져서 그에 따른 로그인 불가 상황이 나오고 있습니다.
현재 최신 버전은 로그인 시 주소창에 아이디와 비번이 노출되지 않습니다.
문제가 있긴 있네요...