포럼
[보안] 이메일 노출 문제
2013.07.28 04:30
회원정보를 보면 이메일이 다음 사진과 같이 뒷 부분이 별표로 되어 있습니다.
처음엔 싹 공개되었던 이메일 주소가 개인정보보호차원인지, 언제부터인가 가려져 있습니다.
하지만 닉네임을 클릭하면 다음 사진과 같이 낯익은 작은 메뉴를 볼수 있는데요,
차마 다른 소중한 XE 유저분의 개인정보를 쌔비긴 그러하여,
XE 공홈에 부계정을 하나더 만들어 제 계정을 확인 해보도록 하겠습니다만,
??????????????????????????
결국 XE 로 제작된 제 블로그로 테스트를 해보니, 다음 사진과 같이 낯익은 작은 메뉴를 볼수 있는데요.
메일보내기에 커서를 올려보았습니다.
그래서 말입니다만,
[메뉴 보내기] 를 통해 이메일 주소를 알아낼 수 있는데, 회원정보에서 이메일 주소 뒷자리를 숨긴다는 것은 아무런 의미가 없는것 같습니다.
따라서 이 부분은 약간의 수정이 필요해 보입니다.
어쨋거나 이메일 뒷자리 가림이 개인정보보호차원이라면
아예 메일 보내기 버튼을 없애버리거나, 쪽지 보내기 창 등.. 으로
서버측에서 WebMaster 메일 주소이나 별도의 발신전용 메일주소로 메일을 전송하는 방식도 나쁘지 않다고 봅니다.
*추신) 부디 이 정보로 악용하는 분이 없기를..
댓글 15
-
KS
2013.07.28 04:50
-
id 형식으로해도 회원가입할때 메일주소 기입란이 있어서.. ㅋㅋㅋ 메일보내기 버튼을 없애지 않는이상은.... ㅋㅋㅋ
-
KS
2013.07.28 05:00
일베같은 경우에는 신상털기 방지로 모든 소스에서 아이디 및 메일정보를 볼 수 없게 해놓은 모양이더군요 ㅎㅎ
불가피하게 소스 수정을 해야하겠네요. (만약 신상털리면 큰일날 사이트를 운영한다면..)
-
참고로~~
닉네임 클릭시 회원정보.....등 노출 안되게 할 수가 있습니다.xe/modules/member/member.model.php
line 116 쯤~~
$logged_info = Context::get('logged_info'); 이것 바로 아래에
if($logged_info->is_admin!='Y') return;이것 넣어주시면 클릭시에 관리자에게만 나타납니다.
-
팁 감사드립니다~~
-
몽실아빠
2013.07.28 12:36
심각한 문제가 있군요. 이것은 빨리 해결이 되어야할 문제가 같네요.
-
@마야인 님의 팁을 참고하시면 임시방편으로 이메일 노출문제를 해결할 수 있어요.
-
orangehome
2013.07.31 07:00
쪽지 기능이 있는데, 이메일 기능은 커뮤니티에선 별 의미 없다고 봅니다.
원천적으로 소스 파일이 변경되던가, 관리자가 on/off 할 수 있으면 좋겠습니다.
아무리 수정해도, 버전 업 되면 다시 또 고쳐야되요. 까먹으면, 난리고요.
-
저 같이 쪽지보다 이메일을 애용하는 분은 쪽지가 좀
어색할겁니다..XE 코어에서 기본적으로 이메일 노출 여부를 선택할 수 있으면 좋겠네요
우선 임시방편으로 팁을 적용할 순 있습니다
-
몽실아빠
2013.07.31 14:37
@마야인님의 팁을 쓰면 나머지 기능도 사용할 수가 없어서 저는
xe/modules/member/member.model.php
에서140 ~ 145 행
// Send an email
if($member_info->email_address)
{
$url = 'mailto:'.htmlspecialchars($member_info->email_address);
$oMemberController->addMemberPopupMenu($url,'cmd_send_email',$icon_path);
}
-
삭제처리인가요? ^^ 아예 노출을 하지 않는 것도 좋은 방법이네요.
-
몽실아빠
2013.07.31 16:46
네. 해당부분 삭제 혹은 주석처리 하면 이메일 부분만 없어집니다.
-
orangehome
2013.08.01 00:47
관리자에게 만 보이게 할 수 도 있습니다... 이렇게 ... 문제는 버전 업하면 모두 날라가요...
// Send an email, show only for admin
if($logged_info->is_admin == 'Y')
{
if($member_info->email_address)
{
$url = 'mailto:'.htmlspecialchars($member_info->email_address);
$oMemberController->addMemberPopupMenu($url,'cmd_send_email',$icon_path);
}
}
-
착한부산남자
2013.07.31 18:25
닉네임이 있는데..
회원정보에서 @뒤에 있는 건 * 표시되는데 @앞에 있는 아이디는 보이잖아요?
@naver.com
@daum.net
@nate.com
이런식으로 다 보낼 수도 있잖아요?
앞에 아이디도 * 처리 할 수는 없나요?
-
궁굼자
2013.08.03 04:39
주석처리 하고 있습니다.
허..그렇네요. 회원정보보기에서 메일주소 가려놔도 메일보내기 하면 주소가 ..........ㅋㅋㅋ
그냥 id 형식으로 하는게 답이려나요 ㅎ