포럼
아, 그리고 마지막으로 XE 보안에 관해서
2011.12.19 05:42
우선 사람이 뚫고 들어오는거는 결국 뚤리게 되어있다 하더라도 (항상 해커가 끝에는 이기죠.)
기본적으로 spam bot/bulletin bot/blog bot 은 막아줘야 하는 거 아닌가요?
저는 처음에 스팸글 때문에 고생한다고들 하셔서 사람이 스팸하는 건줄 알았더니, 나중에 다른 글들 읽어보니 bot 때문에 힘들다고들 하시는 내용이더군요.
워드프레스건, 구글이건, 기본적으로 bot 들은 다 차단해 줍니다. 어제 php 버전 바꾸느라 .htaccess 파일 열어봤다가 허걱 했습니다.
bot 차단하는 내용이 아예 들어 있질 않아요... 뭐 복잡한것도 아니던데 (bot 은 사람과 달리 접근 경로가 틀리니) 접근 경로 확인해서 bot 을 접근 금지 하는 방법입니다. 이런식으로.
# no-referrer requests
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .자유게시판\.php*
RewriteCond %{HTTP_REFERER} !.*사이트.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule ^(.*)$ ^http://반사다 ㅆㅂㄻ.com/$ [R=301,L]
또는
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L] (이건 워드프레스에서 사용중인 script)
이걸 무슨 캡차를 다느니 필터사용을 하느니.. 저로서는 좀 이해가 안된다는.... 요즘 bot 중에 캡챠 못 읽는 bot 도 있나요?
구글에 있는 프로그래머 한분 (어린 친구에요) 에게 이메일로 물어보니 구글은 접근경로 확인과 접근하는 시간계산을 해서 스팸을 막는 다더군요. (대략 제가 이해한 부분입니다.) 보고 사용해 보라면서 파일도 하나 보내줬는데 (공개만 하지 말아달라네요), 복잡해서 저로서는 이해하는 걸 포기. 무슨 스크립이 몇장이야... 허거걱.
암튼 bot 들은 다 잡아주셔야지, 안그러면 자동으로 관리자 권한 (ID 랑 password) 을 bot 들이 수집해서 매우 위험해 집니다. 스팸을 올리는 이유는 광고글을 올리기 위한 경우도 있겠지만, 관리자가 그 글을 삭제하려고 접근하는 걸 기다렸다, 관리자의 ID 랑 비밀번호를 추출하기 위해 올리는 것 입니다. 그러니까 한마디로 관리자를 낚시하는거죠. XSS 로 낚시하는 것 처럼.
bot 들이 관리자 권한을 수집해오면 그걸로 사이트에 들어가서 신용카드 정보라던지, 주민번호라던지, 돈되는 정보를 뽑아오구요.
제가 알기로는 이런식으로 한국에서 빠져나가는 돈이 매년 수백억이랍니다 (계속 피해를 보고 있지만 웹사이트 랑 신용카드 회사랑, 보안 전문가? 그냥 쉬쉬한다고 하네요. 대한민국에 무슨 보안전문가가 있다는 말인지. ㅋㅋㅋ.) 이건 국가적으로 큰 손실입니다. 돈 뽑아 가는 나쁜놈들은 다 중국이나 러시아에 있으니...
여기에 보니 XE 랑 쇼핑카트 만들어서 쓰시려는 분들이 계시던데... ㅎ ㄷ ㄷ 입니다. 범죄자가 마음만 먹으면 backdoor shell 하나 심어놓고 심심할때마다 들어가서 신용카드 정보 뽑아 쓸거에요. 저같은 script 한줄도 제데로 직접 못쓰는 초짜도 농협사이트에 들어갈 수 있습니다.
구글도 이래서 한국에는 구글쇼핑 (google check out) 을 제공하지 않습니다. 손님들 개인정보를 보호해줄수 없는게 가장 큰 이유라네요.
암튼 XE 로 상업사이트를 만드는건, 좀 비윤리적인 것 같습니다.
이 얘기 언젠가는 꼭 해야 할 것 같았습니다. XE 사용하며 나중에 한번 얘기하려고 했는데, 제가 XE 를 사용하지 않게되어서 지금 쓰게 되었네요.
안녕히들 계십시오.
댓글 10
-
Goos
2011.12.19 08:16
-
criuce
2011.12.19 14:01
전 워드프레스 쓰는데 스팸때문에 골아프거든요;; 왜 제 워드프레스는 봇을 차단하지 못하는걸까요?
-
Te0
2011.12.19 17:15
그냥 워드프레스 설치하셨다고 bot 이 차단되는게 아니구요, 플러그인을 설치하셔야 차단이 돼죠. -..-;;
http://wordpress.org/extend/plugins/spam-free-wordpress/
스팸차단을 안하시면 음.... 당연히 스팸이 들어오겠죠?
-
K.Soma
2012.01.03 17:21
XE도 그러면 비슷한 모듈이 나오면 되는거 아닌가욤....
플러그인이면 애드온이랑 비슷한 개념일텐데...
-
봇은 필요악 이라고 표현해야겠네요.
검색되길 원하는 자와 검색되길 원하지 않는자.
-
Te0
2011.12.19 17:19
음... 검색하고 index 하는 bot (밧) 은 web crawler 구요, 그거랑 스팸밧 (spam bot) 이랑 아무런 상관 없는겁니다...
뭔가 심하게 혼동을 하고 계신듯.... crawler 도 밧은 밧이지요, 그렇지만 게네들이 스팸을 올리는게 아니에요. 게네들은 착한애들이에요...
-
황비
2012.01.03 16:43
사이트보안에 대해서문외한의 입장으로 볼때
상당한 불안감을 야기하는 글입니다.
그럼에도 불구하고, 이곳 개발자포럼에서 활동하시는는
상당한 고수분들처럼 보였던 분들조차 구체적 댓글을 달지 않는것 보면
혹시 이 글이 대응할 가지조차 없는 무의미한 글은 아닐까 하는 생각도 들지만
이 정도의 구체적인 지적이라면,
아주 근거없어 보이지 않는데요.
최근올라온 묻고답하기 게시판에도
Xe의 보안관련 불안감을 표현하는 질문글이 올라왔더군요.
http://www.xpressengine.com/20392381
굳이 이런 질문글이 아니라도
사이트보안에 관한 부분은 사용자 누구나 민감하게 느끼는 것이라 생각합니다.
게다가 최근에 Xe1.5 버전에서 E메일인증까지 뚫고 회원가입하여
스팸올리는 사례가 심심치 않게 자게등에서 올려지고 있기도 합니다.
새해도 되었으니
Xe에서 이 글에 대한 공식입장 내지는
Xe보안에 관한 개발팀의 의지같은것이라도
한번 쯤 표명해야 하지 않을까요?
언젠가는 구체적인 입장이 정리되어 올라오겠지하고 기다렸지만
꽤 오랜 시간이 지났음에도 개발팀의 반응이 없어서
댓글로 이글을 소환해 올립니다.
개발팀의 공식적인 입장표명이 힘들다면,
이 글을 읽는 개발팀원의 개인적인 의사표현도 환영합니다.
새해 복많이 받으시고
새해에는 더욱 높이 비상하는 Xe가 되길 빌어봅니다.
-
misol
2012.01.04 09:52
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
요청 방식이 포스트인 경우
RewriteCond %{REQUEST_URI} .자유게시판\.php*
자유게시판.php를 요청한경우
RewriteCond %{HTTP_REFERER} !.*사이트.com.* [OR]
사이트 닷컴 리퍼러가 없는 경우
RewriteCond %{HTTP_USER_AGENT} ^$
유저 에이전트 정보가 없는 경우
RewriteRule ^(.*)$ ^http://반사다 ㅆㅂㄻ.com/$ [R=301,L]
페이지를 리다이렉트 시킵니다.
효과는 그닥일거 같아요.. 뭐.. 정말 소켓으로 대충 만든 봇이면 못찾아 갈 수도 있겠어요. -
銀童
2012.01.04 12:03
미솔님도 쓰셨지만,
스팸을 막는데 있어서 그다지 효율적으로 보이진 않는 방법입니다.
근데, 스팸을 막는것과 .. 보안의 문제는 대체 어떤 문제지요?
사이트 보안과 .. 스팸 봇을 막는것의 관련성을 잘 모르겠습니다.
-
fsfsdas
2012.01.04 17:18
1. captcha로 봇을 막을 수 있습니다.. 대부분 막혔지만 또 뚫린것같긴 하네요. 다시 업뎃하면 되죠...
2. 관리자권한을 수집을 어떻게 하나요..??말씀하신 크로스 사이트 스크립팅을 제외하면 봇이 어떻게 가능한지 의문입니다. 그리고 이미 XE에서 기본적으로 대부분의 스크립트 공격은 방어되어 있습니다. 인터넷에서 떠도는 스크립트로는 불가능이며 뭐 창의적인 코드를 짜낸다는것도 쉽지 않습니다. 경험담입니다.^^
관리자가 자기 비밀번호를 공개하고 다니는게 아닌데 어떻게 봇이 db에 로그인해서 암호화된 암호를 알아내는지.. 만약 봇이 db에 접근이 가능했다면 그냥 관리자보다 신용카드정보를 가져오겠죠.. 근데 요즘 신용카드정보를 서버에 저장하는진 모르겠지만 암호화는 필수입니다. 복호화가 불가능한건 아닌데 카드정보 하나 얻자고 수백시간 이상 투자하는건 좀 아니지요.
3. 백도어 쉘은 대부분 서버단에서 뚫리는 경우 아니면.. XE에서는 그런 사례 찾기 힘듭니다. zb4면 혹여나 있을지도..
4. 마음 먹으셔서 언제 제가 사이트 열면 , 그때 해킹해주시면 반박을 모두 철회할 수 있을듯합니다.
5. 죄송합니다만 전체적인 글의 논조를 파악하기가 힘듭니다.농협사이트 들어가는것과 신용카드 해킹해 쓰는것의 상관관계가 궁금합니다.
6. 주민번호를 예전 어느 회사처럼 텍스트로 저장하는게 아니면 암호화를 모두 할테고, 요즘 주민번호 저장하는곳이 사라져가는 추세입니다. 걱정 덜으셔도 됩니다.
7. XE에서는 글삭제를 굳이 글을 보지 않고도 원격으로 목록에서 삭제가 가능합니다.
8. 개인정보보호관련 구글의 대응은 구글의 방어기술이 떨어진다기보다 우리나라의 IT정책 탓 아닐까 하네요.
스팸보안에 관한 내용은 개발진이나 다른분들께서 살펴보실테고 제가 알고 있는 부분이 아니지만, 왠지 이런쪽으로도 그렇고 글로벌 지원을 위해 많은 의견개진을 해주실 수 있을 분이란 느낌이 들었었습니다. 이 분을 XE의 변화가 시작되는 과도기에 만나게되어 잠시 떠나보내기가 너무 안타깝네요.
우리가 너무 익숙해져서 잊어버린게 많지 않은가.. 싶기도 합니다. 밑에서 말씀하신대로 글로벌 지원을 하기 위해선 더욱 접근성 좋은 설치방법과 간편히 첫페이지를 만들 수 있는 인터페이스 제공 정도는 반드시 필요할 테구요, xe가 어디서나 다 깔리고 자동설치까지 되는 우리네 환경과 다른 사람들은 어떻게 해결주어야 하는가에 대해서도 많은 검토가 필요하겠지요. 저도 일본쪽 서버 호스팅을 하나 받고 xe에서는 기본설정으로 문제가 발생하는데, 서버관리자는 xe가 뭐죠 먹는건가요? 이래서 스스로 해결했어야 하니깐... 무엇보다 처음 사용하는 사용자 입장에서 생각하여야하고, 외국의 그들이 사용해보았을때 어떤 CMS로 보일 지에 대한 인식이 중요합니다.
이러한 인식은 개발진들에게도 있었기에 조금 더 멀리 바라보기 위해서 xe1.5의 대격변도 필연적으로 일어난게 아닐까 싶습니다. 글로벌페이지도 시작이지만 생겨났구요. 물론 기존 유저로서는 버그들로 불안해진 코어의 모습과 이전과 다른 많은 변화때문에 여러가지로 불만이 생길 수 밖에 없는건지도 모르겠지만요. 앞으로 Te0님과 같이 다시 다른곳으로 떠날 사람이 생기지 않게 좋은 발전이 xe에 깃들게 되면 좋겠습니다.