포럼
문제가 된 글을 삭제했습니다.
2015.10.16 01:00
해당 이슈는 여러분들께서 XE 개발팀에 전달하셨다고 하니 따로 적지는 않겠습니다.
재밌다고 생각해서 문제를 너무 쉽게 생각했던 것 같습니다.
죄송합니다.
댓글 11
-
하늘희
2015.10.16 01:20
-
... 라고 써놓고 또다시 로그아웃되면 미솔님 미워할꺼얏!
... 이라고 생각하고 클릭했는데 이번 글은 괜찮네요 ㅋㅋ
수고하셨습니다.
-
자동 로그인의 중요성을 새삼 뼈 저리게 해주는 경험
-
마이웹
2015.10.18 09:06
허걱~ 어떤 문제인가요?
자동로그인 기능에 무슨 문제라도 있는건지요?
-
misol
2015.10.18 09:21
아뇨 ㅎㅎ 취약점 발견했던건데 이번에 나온 패치 적용하시면 돼요 -
마이웹
2015.10.18 13:12
방금 공홈 릴리즈노트를 보니
[개발자 참고] 호환성 문제에 대한 변경 방법 안내
보안 취약점 해결을 위해 다음과 같이 변경되었습니다.
- Controller로 작성된
proc*로 시작하는 act는 항상POST요청만을 처리합니다.- 기존
GET으로 요청하는 act는 동작이 제한됩니다.
- 기존
- 모든
POST요청은checkCSRF()를 통해 referer 검증 등의 절차를 거칩니다.
이와 같은 변경으로 인해 개발하신 모듈에서 호환성 문제가 발생하는 경우 아래 참조와 같이 변경할 수 있습니다.
다만,주의가 필요하며 특정 권한을 필요로 하거나 주요 데이터를 변경하는 등의 동작에는 신중하게 적용하시기 바랍니다.아래 변경방법은 Controller로 선언하여
POST요청만을 허용하는 act에GET요청이 동작할 수 있도록 허용할 수 있습니다.method="GET|POST"속성을 추가하여 GET과 POST 요청에 대해 동작하도록 허용합니다.변경 방법 참조 : 70d8a85
***
이것과 관련된 내용인가요?
- Controller로 작성된
-
misol
2015.10.18 14:25
네. 보안 업데이트 입니다. 그런데 기존에 자료와 호환성 문제가 아주 일부지만 생길 수 있습니다. -
마이웹
2015.10.18 16:50
네. 미솔님 답변 감사합니다. ^^
휴~ 웹환경이 생태계이긴 한가 봅니다. ㅋ
항상 위협요소에 대응해야 하고
때로는 도태되고 살아남아 존재하고를 반복하니 말이죠.
그런데 이해가 안되는것은 GET 또는 POST를 처리하는 Context에서 방어막을 치고 있으면 되는 문제인듯한데
ModuleHandler에서 그리고 개별 모듈의 Controller에서 처리하는지가 의문입니다.
-
misol
2015.10.18 18:08
모든 GET 요청이나 모든 POST 요청이면 그럴 수 있는데, 모듈에 대한 요청에만 대응하면 되기 때문일거에요. -
마이웹
2015.10.18 18:31
네. 그렇지만 보안 개념이 각 개별 모듈에서 처리되는 개념이라면
한곳만 뚫려도 다 뚫리는것인데 그걸 보안이라고 보기는 힘들어 보입니다.
모든공격을 막지는 못하더라도 일단은 데이타가 일차 통과하는 입구에서 차단하고 그곳이 뚫린경우 각 모듈이 방어하는 개념이 더 좋을듯 합니다.
데이타가 일차 통과하는 입구는 열어 놓고 방어막을 친다는것은 이해가 안되는군요,
-
misol
2015.10.18 19:40
개별 모듈에서 처리가 아니고 모든 모듈에 일괄적으로 적용된 것이 이번 패치입니다 :)
모두 같은 규칙이 적용되었어요.
죄송하실 꺼까지야..
어떤 형태로든 문제가 발생했을 거고 , 원인도 모른채 피해가 생겼을 겁니다. 지금은 원인을 알았으니 다행인거죠