포럼
여기 공홈도 그렇고 XE 로 만들어진 웹사이트들에 로그인시에 이런 메세지가 뜨네요.
2014.08.25 14:48
요즘 브라우저들이 보안을 더욱 중요시 여기는 관계로 로그인시에 아래와 같은 메세지를 띄우는 것을 종종 볼 수 있습니다. 여기 공홈 로그인시에도 아래와 같이 메세지를 띄우는데요. 자주는 아니지만 가끔씩 고객들 중에는 웹사이트 로그인시에 왜 저런 메세지가 뜨는지 질문을 하시는 분들이 계십니다. 그리고 보안이 약한 것이 아니냐 우려를 하는 사람들도 있구요. XE 로 만들어진 웹사이트들의 "보안 신뢰"를 위해서라도 아이디, 비밀번호의 보안 전송이 꼭 필요한게 아닌가 합니다.
댓글 29
-
Gunmania
2014.08.25 15:23
-
기진곰
2014.08.25 15:33
저건 ID/PW가 암호화 없이 전송되고 있다는 경고문구입니다. 로그인 폼의 action URL을 생성하는 루틴이 HTTPS 처리를 제대로 해주지 못해서 HTTP 링크가 생성되고 있는 것 같습니다.
개발자도구로 확인해 보니 정말 HTTP로 전송하고 있네요. 로그인 폼은 HTTPS로 전송하면서 정작 그 폼을 제출할 때는 그냥 HTTP를 쓰고 있으니... 비싼 인증서 사놓고 이게 대체 뭐하는 시츄에이션입니까 ㅡ.ㅡ;;
-
YJSoft
2014.08.25 15:47
해당 파일에서 getUrl를 사용해서 주소를 가져오는데 기본 URL이 http면 http 주소를 가져와 버려서 생기는 문제입니다. xe를 하위 폴더로 설치한 환경 지원 때문에 바뀐 걸로 아는데 이런 문제가 생기네요... -
기진곰
2014.08.25 15:56
좀더 정확히 말하자면 getUrl 함수는 act에 따라 https 사용 여부를 선택하도록 되어 있는데, 이렇게 POST 방식으로 전달되는 폼에서는 act가 URL에 포함되지 않고 별도의 hidden 필드로 들어가기 때문에 인식이 안 되는 문제인 듯 합니다.
회원가입폼에서는 action="./"로 해버려서 문제가 없네요. 로그인 폼도 똑같이 하면 안될 이유가 있나요?
-
YJSoft
2014.08.25 15:57
그렇게 되어 있었다가 하위 폴더 환경에서 로그인이 안되는 문제가 있어 바뀌었습니다. -
기진곰
2014.08.25 16:03
-
Paul
2014.08.25 16:33
이렇게 XE의 보안에 적극적으로 신경을 써주시니 감사할 따름입니다. ^^
-
젠스튜디오
2014.08.25 16:01
259~519달러정도 하는 SSL
-
기진곰
2014.08.25 16:04
어디서 바가지 쓰셨나요? 저는 gogetssl에서 4불에 샀는데 ㅋ
-
젠스튜디오
2014.08.25 20:07
XE에서 쓰는 SSL가격이 그정도라는겁니다.
https://www.thawte.com/ssl/index.html
XE공홈의 SSL 발급기관이 thawte , 2년치니까 최소 259달러 권장하는게 519달러 최고가 873달러
님처럼 한국인터넷진흥원 권고사항때문인지 모르겠지만 저렴한SSL을 쓰는분도 계시겠지만
고객의 정보 보호를 위해 고가의 SSL을 쓰는곳도 적지 않거든요?
-
젠스튜디오
2014.08.25 20:08
ㅋ는 또 무슨의미인지?
SSL은 가격이 높으면 높을수록 뚫릴경우 보상이 올라가는 일종의 보험아닌가요?
저가 SSL이랑 고가의 SSL의 차이가 보상금뿐만 아니라 암호화 클라스도 다르겠지요?
바가지고 뭐시고 싸게샀다고 자랑하는 기진곰님 뭔데요?아예 공짜 SSL을 자랑하시지 그럽디까?
-
explode
2014.08.25 21:46
259~519달러정도 하는 SSL -
기진곰
2014.08.25 22:06
비싼 인증서는 보상금 금액이 올라가긴 하죠. 단, 인증서 자체의 내용이나 발급 절차에 하자가 있어서 뚫렸다는 것을 증명해야 보상금을 받을 수 있는데, 실제로 그런 하자가 있는 경우는 극히 드물고, 다른 경로를 통해 뚫리는 경우가 절대 다수이므로 보상금을 기대하느니 차라리 로또를 사는 편이 낫죠. 보상받을 가능성이 극히 희박한 보험이라면 오히려 사기라는 표현이 더 적당하겠습니다.
암호화 클라스요? 그것도 인증서의 가격과는 무관합니다. 서버를 셋팅할 때 어떤 프로토콜과 어떤 알고리듬(CipherSuite)을 사용할지 설정할 수 있는데, 암호화 강도는 오직 그 설정의 영향만을 받습니다. 심지어 공짜 인증서로도 최신 TLS 1.2 프로토콜, 막강한 ECDHE-ECDSA-AES256-GCM-SHA384 알고리듬, 그리고 이를 이용한 perfect forward security 구현이 가능하죠. 인증서는 해당 호스트네임의 소유권을 증명하는 수단일 뿐, 실제 암호화 방식은 서버와 브라우저가 결정합니다.
제가 공짜 인증서를 함부로 추천하지 않는 유일한 이유는 1) 웹브라우저 호환성이 낮고, 2) 하트블리드 취약점과 같은 사고 때문에 파기·재발급이 필요할 경우 오히려 다른 제품보다 더 비싼 수수료를 받기 때문입니다. 결코 보안성이 낮아서가 아닙니다.
즉, 비싼 인증서는 브라우저 주소창을 형광녹색으로 칠해주는 것 외에는 어떠한 기술적 차이도 없습니다. 그래서 바가지이고, 그래서 ㅋ입니다.
참고로 XE 공홈에서 사용하는 것은 Thawte Wildcard 인증서입니다. 정가는 2년에 873불이고, 발품 좀 팔면 2년에 480불 내외에도 구입할 수 있습니다. 정확히 알아보고 댓글 다세요.
-
젠스튜디오
2014.08.26 09:43
주제를 벗어나시네요. 공홈도 4달러짜리 저렴한 SSL을 써야한다는겁니까?
공홈이 고가의 SSL을 쓰고있다니까
"어디서 바가지 쓰셨나요? 저는 gogetssl에서 4불에 샀는데 ㅋ"
이건뭐냐고요 그쪽이나 잘 알아보셔요.
-
기진곰
2014.08.26 17:31
제가 젠스튜디오님의 첫 댓글을 잘못 이해했네요. "259~519달러 정도 하는 SSL"이라고 하시길래 공홈 인증서의 가격을 말씀하시는 게 아니라 그냥 일반적인 인증서 가격이 비싸다는 불만을 표현하시는 줄 알았어요. 요즘도 SSL 관련 글이 올라오면 인증서가 비싸다느니, 외국으로 돈 나간다느니, 토를 다는 분들이 종종 있거든요. 오해해서 죄송합니다.
그러나 바로 위의 댓글은 인증서 가격에 따른 보상금 차이와 "암호화 클라스"에 대한 님의 주장에 답변을 단 것이므로 딱히 주제를 벗어났다고 생각하지는 않습니다.
-
EnterTM
2014.08.25 16:24
그럴필요가 있나요? cloudflare pro 사용하면 SSL 을 와일드카드로 제공합니다. 고급 CDN옵션도 제공하지요.
-
dev_ratdp
2014.09.10 10:47
cloudflare pro 이용자입니다. 지원하는 옵션과 부가서비스가 많아 좋지만 요약하자면 "느려요"
-
EnterTM
2014.09.10 17:26
그렇군요. 저같은경우는 해외서버를 사용해서 그런거 같습니다. 보통 국내서버로 cloudflare 쓰는 분들이 많더군요.
-
dev_ratdp
2014.09.10 17:47
저도 국내서버로 이용하고있어요 ㅠ; 근데 사용안할때와 할때와 체감속도가 너무 차이나서;
근데 트래픽 절약되니 뭐 써야죠 . . . ㅎㅎ;
-
Paul
2014.08.26 00:32
@기진곰 @젠스튜디오 님.. 두 분 다 잘 아시는대로 아무래도 서로 얼굴을 보고 대화를 하지 않고 글로 대화를 하다보면 종종 예기치 않은 오해가 생기는것 같습니다. 두 분 다 기분 상하지 않으셨으면 좋겠습니다. 아무튼 XE 공홈에서 사용하는 SSL 비싸네요. ^^
-
기진곰
2014.08.26 16:16
수정되었네요. 다음 버전부터는 괜찮을 듯 싶습니다.
-
Paul
2014.08.27 04:51
감사합니다. 기진곰님께서 재빠르게 이슈등록을 해주셔서 빨리 처리된것 같습니다. XE 보안에 신경써주셔서 감사드리구요. 이번에 암호화 변경에 관하여 풀 리퀘스트를 넣으신 것이 잘 적용됐으면 하는 바램입니다. 감사합니다. ^^
-
LI-NA
2014.08.26 17:14
저는 Full SSL을 사용해서인지 별 다른 문제를 겪지 못한 케이스군요,...
-
Paul
2014.08.27 08:31
네. Full SSL 사용시에는 문제가 없는것 같습니다.
-
다미아빠
2014.08.27 13:22
SSL 어떤걸 써야 좋을가요.. 한번도 사용안해본지라..
일반 커뮤니티에 필요없을것 같아서..흠
-
기진곰
2014.08.27 13:31
무료인증서는 브라우저 호환성이 낮아서 추천하지 않습니다. 유료인증서 중에는 Comodo PositiveSSL이 싸고 좋습니다. 국내 가격대는 3만원 내외이고, 해외에서 직구하면 4~9달러입니다. (어디에서 구입하든 100% 동일한 물건임)
-
다미아빠
2014.08.27 16:16
탱큐, 참고하겠습니다.
-
기진곰
2014.09.10 10:22
7d0ac7bd 커밋 후에 한동안 잘 되는 것 같더니, 공홈에서 또 저런 보안경고가 나오네요.
-
Paul
2014.09.12 05:02
아직 적용이 안된게 아닐까요? 아마도 다음 버전 출시 때 바뀔지도 모르겠네요. 그런데 보안에 관련된거라서 빨리 적용되어야 하지 않을까 싶네요. ^^
오히려 저 문구가 뜬다는게 ID/PW 암호화 전송이 이루어지고 있는게 맞다는 의미가 되는데요. 로그인 페이지를 https로 접속했는데 그 페이지 내에 존재하는 다른 리소스들(이미지라던가)만 http로 되어있단 얘기니..