포럼
레이어로 로그인 하는 레이아웃들의 로그인 SSL 미적용 문제
2014.07.04 12:43
얼마전에 개인정보보호협회에서 메일이 왔는데
메인페이지 로그인 부분에서 SSL 적용이 안 되어있다고
법률 사항 안내와 함께 과태료 부과를 할 수 있다고 경고하더군요.
실제로 레이아웃의 로그인이 레이어라서 SSL 적용이 되나 의심스러웠는데
안 된다는 사실을 알게 되었습니다.
레이아웃 제작자(카메론)님에게 이 부분을 패치요청드렸더니
역시 레이아웃의 로그인이 레이어 방식으로 제작되어서 불가능하다는 답변이 돌아왔네요.
결국 생각해낸 방편이 'SSL의 항상 사용'이네요 -_-;
다른 분들은 어떻게 대처하고 계신가요?
댓글 14
-
Canto
2014.07.04 14:27
레이어 로그인 폼태그에서 action을 https://홈페이지주소 로 해주시고 input에서 석세스 리턴하고 에러 리턴 넣어주시면 팝업 레이어 로그인에서도 ssl 적용됩니다 ( wireshark 로 확인완료 ) -
XE러버
2014.07.04 14:46
이 방식대로 하면 되긴 한데 이것도 석세스 리턴을 getRequestUriByServerEnviroment에서
http://메인주소로 바꿀 경우 레이어로 로그인하고 본인이 클릭한 게시물 url에서 로그인 되는게 아니라
메인에서 로그인 된다는게 불편하긴 하네요
-
Canto
2014.07.04 14:59
<input type="hidden" name="success_return_url" value="http://홈페이지주소{getRequestUriByServerEnviroment()}" />
이렇게하시면 됩니다 (실제사용중) -
XE러버
2014.07.04 15:03
정말 감사합니다.
육안으로 ssl 적용중인지 확인이 되지는 않지만
실제 로그인시에는 적용이 되니 안심이네요.
이제 문제는 이걸 개인정보보호협회에서 인정을 해줄지이군요..ㅎㅎ
-
XE러버
2014.07.04 15:11
같은 문제로 고민중이신 분들은 모두 이 방식으로 해결하면 될 듯 하네요
canto님 말씀처럼 wireshark로 확인하니 TLS 1.2로 SSL 통신을 하고 있네요
-
okiz
2014.07.04 14:35
로그인 form 태그에 action="{getUrl('','act','procMemberLogin')}"
이고, XE설정에서 SSL 선택적 사용만 해두셔도 로그인시 SSL 적용될 겁니다.
보통 로그인 폼에서 action 부분이 "./" 라서 적용이 안되는 걸겁니다.
네이버에서도 로그인 폼태그의 action 부분만 ssl 처리하고 있더군요.
-
XE러버
2014.07.04 14:43
이렇게 적용할 경우에 https://url로 이동해서 또 http와 https가 혼용되서 경고문이 뜨네요;;
-
okiz
2014.07.04 14:47
경고문이 로그인 후에 뜬다는 말씀이신가요?
-
XE러버
2014.07.04 14:49
네.
https://메인주소로 이동하면서 http 컨텐츠가 혼용되서
IE에서 예/아니오 경고문이 뜹니다.
-
okiz
2014.07.04 14:50
로그인 후에 https 를 http 로 변환시켜주는 애드온 사용해보세요.
http://www.xpressengine.com/index.php?mid=download&package_id=21439563
-
XE러버
2014.07.04 14:55
저 애드온은 http를 https로 변환시켜주는 애드온 같습니다 ㅠㅠ
-
okiz
2014.07.04 14:56
아닙니다. 저도 저 애드온을 사용하고 있으며, 설명을 읽어보면 다음과 같습니다.
위 프로그램은 HTTP인 상태에서 HTTPS인 로그인 폼 접속후 로그인 완료후 HTTP로 반환됩니다.
예) http 로그인폼 -> 로그인 과정 SSL -> 로그인 후 https 로 되는 것을
http 로그인폼 -> 로그인 과정 SSL -> 로그인 후 http 로 다시 돌려 주는 역할을 합니다.
-
XE러버
2014.07.04 14:58
제 서버랑 안 맞는지 애드온 적용하자마자 메인주소:80/ 주소로 리다이렉션 되더니
오류나네요
로그인시 로그인페이지로 이동~~ 끝!!!