포럼
XE에서 급히 바껴야 할 것은 무엇일까요?
2013.12.14 18:18
저는 비밀번호 암호화 방식과 위젯 페이지 설정, 파일 업로드를 바꿔야 한다고 생각합니다.
비밀번호 암호화 방식은 뚫리기 아주 쉬운 md5를 유지하고 있습니다.
sha1 사용 옵션이 있다곤 하지만 이것도 마찬가지죠.
길이를 바꿀 수 없는 DB를 지원하기 때문에 이걸 유지하고 있는 거라고 하는데...
보안이 잘 되는 XE에서 기초적인 것부터 안 바뀌는 건 좀 자존심이 상하네요.
그리고 위젯 페이지는 파일 업로드와 마찬가지로 플래시를 사용하고 있습니다.
덕분에 정말로 불편합니다. 요즘 제이쿼리에서 draggable 같은 것도 잘 지원되는데
얼른 바뀌었으면 좋겠습니다. 근데 이건 1.8 버전에서나 바뀔 듯...
파일 업로드는 역시 플래시 사용하기 때문에 디자인부터 별로기도 하고 불편합니다.
수정할수도 없고...
이건 라르게덴님 거 공식적으로 지원 해주면 좋겠네요.
여러분은 뭐가 바뀌었으면 좋겠나요?
댓글 45
-
Lansi
2013.12.14 20:14
위젯페이지가 플래시로 만들어져 있어서 상당히 문제가 많습니다. 무겁기도 하구요.
드래그 하다가 갑자기 위젯이 안 보여버리거나 위젯 위치가 안 바뀌는 경우도 많습니다.
그리고 실제 화면과 많이 달라보여서 저장 -> 확인 -> 수정을 계속 반복해야 합니다.
위치 바꾸는 건 차라리 드래그 하는 것보다 화살표로 서로 위치 바꾸는 게 나을 거 같네요.
-
socialskyo
2013.12.14 20:24
공감 백배~...
얼른하고 자고 싶은데..열심히 위젯 페이지....날라가기라도 하면....그리고 실제랑 다르면...짜응!!
-
Lansi
2013.12.14 20:29
다 완성해도 어딘가에 위젯이 숨어있을지도 ㅎㅎ
위젯 페이지는 정말 노가다죠
-
닉이
2013.12.14 21:56
위젯페이지는 쉽고 간단하게 만들 수 있었으면 좋겠네요.
-
상자님
2013.12.15 04:35
md5가 뚫리기 쉽다니요..
개발이 되고나서 시간이 지나 암호화값과 동일한 db가 쌓였을뿐이지
역으로 해석하는방법은 아직 나오지도않았습니다
현재의 해석방법도 a~z 1~0 각종 특수기호를 무작위로 대입하여
같은 값이 나오는것을 출력해주는 해석툴밖에없습니다
서버가 뚫려 유출이 되었다 하더라도 해독에는 시간이 걸리기에
왠만한 서버관리자들은 뚫린걸 캐치해내서 비밀번호를 바꾸면 됩니다
-
explode
2013.12.15 05:10
그리고 뚫기 위해 DB에 접근하는것도 쉽지 않죠.
-
상자님
2013.12.15 09:18
그렇죠 md5값을 얻기위해 서버에 접근하는것은
md5값을 툴을사용해 해석하는거보다 상위분류이죠
-
Lansi
2013.12.15 11:20
너무 안일하게 생각하시는 게 아니신가요?
서버는 한 번 뚫리면 끝입니다.
DB는 백업해서 자신의 컴퓨터에서 느긋하게 해석하면 끝입니다.
그리고 md5는 해석이 제일 많이 되었기 때문에 안전하지 못합니다.
-
explode
2013.12.15 12:14
f46bef061b1efc505e5b0f0fa1a26134
영문+숫자 합친 9자리입니다.
암호화 쪽을 잘 아시는것 같은데 해독하는데 몇일 걸리는지 알 수 있을까요?
-
Lansi
2013.12.15 19:37
md5는 DB에 미리 해석된 걸 넣어놓고 찾는 방식입니다.
복호화는 의미가 없습니다.
-
코드팟
2014.10.31 14:06
alsowj203
대략 10초 정도 걸리네요 ..
-
헐 ㅋ MD5 Decrypter 사용하신 듯? ㅋㅋ
비번 암호화 건은 제가 직접 패치까지 작성해서 석 달 전에 풀리퀘를 넣었는데도 코어 개발자님들로부터 어떠한 반응도 얻지 못했습니다. 좋으면 좋다, 싫으면 싫다, XE3이 나올 때까지 기다려달라 등 어떤 반응이라도 있었으면 좋겠는데, 이 주제는 아예 일부러 무시하는 게 아닌가 하는 생각이 드네요. 그럴 만한 이유가 있기를 바랄 뿐입니다.
-
상자님
2013.12.15 13:54
iptables 활성화에 se리눅스온
smtp,http 포트제외 포트포트차단
phpmyadmin등 불필요한 서비스 제거하고 돌리신다면
직접서버로 침투해서 해킹하지않는이상 어려울텐데요
php와 mysql 보안패치 꾸준히하시면서 모니터링하시면 충분히 대처가능할거라 봅니다
물론 md5가아닌 다른 암호화를해도 더좋구요
-
Lansi
2013.12.15 19:38
만일에 대비하자는 거죠.
해커들이 우리를 걱정해서 해킹하는 건 아니죠.
-
구름나무바위
2013.12.15 11:50
여러 조건을 설정할 수 있는 회원 관리 기능이 강화되었으면 좋겠네요.
예를들어 처음 가입한 회원들은 레벨업 까지 글삭제를 할 수 없다던가 댓글을 달 수 없다던가 문제의 회원의 IP를 공개 할 수 있게 한다던가 여려가지 조건 추가죠.
또한 회원가입 페이지 디자인도 쉽게 할 수 있도록 바꼈으면 합니다.
1.5 버젼때는 쉽게 디자인 할 수 있었는데 1.7로 업그레이드 되면서 디자인 할 수 있던게 템플렛 안으로 들어가면서 자유롭게 디자인이 안되더군요.
xe 사이트는 에디터와 회원가입 페이지만 보면 표가 나더군요.
-
Lansi
2013.12.15 19:47
그건 애드온과 모듈로 해결할 문제인 거 같네요.
코어는 진짜 최소한만 지원하는게 좋습니다.
-
구름나무바위
2013.12.15 12:06
수작업으로 고쳤던 코드들을 xe 업그레이드시 충돌 안 생기게 하는 기술은 없나요?
업그레이드마다 수작업 했던 것들을 다시 수작업 해야 하는데 이게 장난이 아니잖아요.
그렇다고 xe에서 모든 사람이 만족 할 수 있는 기능을 넣는 것은 불가능하고...
xe 개발자들이 떠난 이유가 이 문제이기도 하고.
코드 분리가 가능하게 할 수 있으면 모든게 해결 될 것 같은데...
-
explode
2013.12.15 12:08
github에서 changed 파일을 다운로드 받으면 됩니다.
그러나 이번 베타 버전은 워낙 많은 코드가 변경되어서 chnged 파일이 없다고 합니다.
-
Lansi
2013.12.15 19:39
저는 최대한 뺄 수 있는대로 애드온과 모듈로 빼놓았습니다.
그 걸로 안 되는 것들은 수정한 파일들을 따로 모아가지고 DiffMerge 같은 파일로 수작업할 예정입니다 ㅠ
-
Canto
2013.12.15 18:59
또 암호화방식이 논란이 되는군요..
개인적으로 암호화방식은 큰 의미가 없어 보입니다.
일반이용자들의 암호에 대한 인식이 바뀌지 않는 한 암호화 방식이 어찌되든
복호화 될 간단한 암호들은 복호화 됩니다.
암호화방법을 가지고 그럴 것보단 암호입력시 패턴체크를 통해(영문대소문자,숫자,특문 조합등)
일반이용자들의 암호를 복호화 하기 힘든 쪽으로 유도하는게 더 나을듯 싶습니다
-
상자님
2013.12.15 19:39
+1
아무리 암호화가 강력해도 사용자들의 인식이 개선되지않는한
털릴사람은 털립니다
-
Lansi
2013.12.15 19:41
언젠가는 고쳐야 할 문제이기 때문에 바뀌지 않는 한 계속 나올 문제입니다.
어차피 결국 복호화 된다고 그냥 이대로 손 놓고 있으면 보안을 때려친 것과 마찬가집니다.
할 수 있는 건 최대한 다 해봐야합니다.
-
Canto
2013.12.15 20:06
아 제가 글 재주가 없어서 전달이 잘못되었나봅니다.
손 놓는다는게 아니고 암호화 방식 변경보단 이용자들이 복호화 되기 쉬운 암호(주로 영단어+숫자등)에서 복호화 어려운 암호(대소문섞인영문+숫자,특문) 으로 유도하는게 유저정보보호에 더 유효하다는 이야기 였습니다.
md5를 이용하더라도 영문 대소문(의미없는)+숫자 혹은 영문대소문(의미없는)+숫자+특문 조합으로 6글자 이상이 된다면 복호화는 거의 불가능 하다고 봅니다. -
Lansi
2013.12.15 21:02
그렇게 할 이용자가 몇명이나 될까요...
-
레이딘
2013.12.16 16:57
이용자가 그렇게 하지 않더라도 사이트 관리하는 쪽에서 그렇게 하도록 유도를 해야 됩니다. 아무리 좋은 암호화를 쓴다고 해도 이용자가 "1111"같은 암호를 써 버리면 무용지물이죠. 세상의 어떤 암호화 기법이라도 해쉬 사전이 만들어지는 것은 변함이 없고, 저런 간단한 문자열 및 "love" 같은 간단한 영어단어들이 먼저 해쉬 사전이 만들어집니다. 즉 이용자가 간단한 문자열로 암호를 쓰면 어떤 암호화 기법을 써도 뚫리는 건 매한가지입니다. 괜히 많은 사이트에서 암호를 복잡하게 만들라고 권장하는 것이 아니죠.
물론 MD5나 SHA1은 나온지 오래된 암호화 기법으로, MD5의 경우 해쉬 사전이 3테라 바이트 분량으로 만들어져 있는 것도 사실입니다. 장기적으로는 XE도 암호화 방법을 바꾸거나 사용자가 선택하는 방향으로 가는 것이 맞다고 봅니다만, 기본적으로 보안은 아무리 운영측에서 신경쓴다고 해도 사용자가 신경 안 쓰면 도로아미타불입니다. 여러가지 방법이 병행되어야 좋은 보안성을 얻을 수 있습니다.
-
Lansi
2013.12.16 20:29
제 말은 최대한 할 수 있는 건 해야한다는 거죠.
-
레이딘
2013.12.16 22:46
으음? 윗 덧글과 앞뒤가 안맞는데요?? 윗 덧글에서는 분명히 "그렇게 할 이용자가 몇명이나 될까요..."라고 말씀하시지 않았나요? 할수 있는걸 최대한 해야된다면 당연히 사용자의 보안의식을 향상시키도록 유도하는 것도 해야 됩니다. 그걸 무시해서는 안되죠.
-
Lansi
2013.12.16 22:58
음... 띄엄띄엄 얘기하다보니 실수했네요.
네... 둘 다 잘 해야죠.
-
상자님
2013.12.16 18:31
복호화의뜻은 해석이 가능하다는것입니다
md5는 복호화가 가능한 암호화가아니라 이미 만들어진 값으로
찾고자하는 md5값과 동일한 키를 찾아내는방식입니다
xe에서는 기존체제를 바꿀생각이 아직은 없는것 같으니
로그인쪽을 md5(md5+ID) 등으로 다중암호화를사용하시면 될거같습니다
이팁은 이전에 사용팁에서 본거같은데 안보이네요
-
Canto
2013.12.16 19:10
아 죄송합니다. 제가 한국에서 컴퓨터쪽 공부를 한게 아니라서 단어선택이 잘못된것 같습니다ㅠ
말씀하신 이미 만들어진 값으로 대조해서 찾는 그러니까 brute-force decryption 을 한국에서는 복호화라고는 안 말하나 보군요..
암호학 관련 한국 문서에서 Decryption 을 복호화라고 해석하길래.. brute-force decryption 도 복호화라고 말하는 줄 알았습니다ㅠㅠㅠ
-
상자님
2013.12.16 20:55
값을 디비로 만들어서 대조해서찾는것은 그냥 쌩노가다이고
복호화는 암호화가 복호화가능하게 만들어둔것을 역으로 처리하는방법이라 차이점이있죠
원래 이렇게 정보공유하면서 알아가는것이라 부끄러워하실필요없어요 ^^*
-
Lansi
2013.12.16 20:31
사실 이것도 Github에 올라온 거라 얘기 꺼낸 건데
SHA-512 같은 건 사용 못 하더라도 Salt를 더해서 한다고 하셨네요
-
상자님
2013.12.16 20:56
그 가미하는것을 자신의 콤플렉스라던지 사이트와 관계없는것으로
다중암호화처리해버리면 1111이라던지 쉬운암호도 어느정도 커버가 된다고 들었습니다
저는 그때 사용팁에올라오 이중암호화팁 적용중이구요
콘픽 한소절만 수정했던것으로 기억하는데 가물가물하네요
찾는대로 링크달아드리겠습니다
-
Canto
2013.12.15 20:18
위젯 쪽과 에디터는 공감합니다!
저같은 경우는 자꾸 수정할때마다 위젯 위치가 엉켜서.. 위 그냥 레이아웃 복사해서 레이아웃에 코드를 때려밖는 식으로 처리합니다(...) -
Lansi
2013.12.15 21:03
저도 메인 만들 때 코드를 때려박았네요
-
가르송
2014.11.04 19:22
속도..ㅠㅠ
-
최윤한
2014.11.04 23:04
속도 곧 아작스 페북같이 되어야 한다고 봅니다 -
isky2048
2014.11.24 00:56
CPU과부화..가 문제지요
-
YGH
2014.11.24 01:15
XE 속도가 예전보다는 빨라진것 같은데 .. 아직도 좀 둔한 느낌이 있어요
-
뭣이?
2014.11.24 06:45
1. 속도
다들 잘 아시다시피 제로보드가 무거운편이죠...
잘은 모르겠지만
레이아웃 이나 그런 디자인부분을 불러오는게 느린건지...
제로보드 자체가 좀많이 무거운데
그누보드 만큼 가벼워지기를 1.4 때부터 손꼽아기다렸는데
속도는 아예 생각을 안하고 있는모양입니다...
보니까
제로보드 게시판에 이미지 100개 올려놓고 이미지만 따로 불러와보니
그냥 뿅! 주루룩~ 하고 빠르게 뜨더군요
제로보드가 본문(글, 이미지 등) 을 불러오는게 느린게 아니라는건데
제로보드 자체를 좀 가볍게 해주셨으면 좋겠습니다...
2. 파일첨부 (이건 괜찮다고 생각합니다...)
파일첨부는 그누보드보다는 좀많이 느리지만
간편하게 올릴수 있는 장점이 있어서 개인적으로는 마음에 듭니다...
그누보드는 스킨같은걸 이용해서 다중업로드가 가능하게 할수있다고 쳐도
첨부파일 순서가 개판되서...
(스킨제작자 한테 문의를 해봤는데 이름순으로 하면 올라간다고 했지만 몇개월동안 업데이트 되는걸 계속 테스트 해봤지만 개뿔...)
그외 서버자체에서 언어문제(예: 해외서버)가 아닌이상 한자, 특수문자 같은게 파일이름에 껴있어도 잘 올라가고...
작성자분께서 디자인부분 빼고 어떤게 불편하다는건지 안적으셔서 그에 관련된 의견은 못쓰겠는데...
개인적으론 좀 느리다는거 빼면
파일첨부에 있어서는 현재 존재하는 솔루션 중에서는 제로보드것이 가장 甲 이라고 생각합니다... (종합적으로 봤을때)
3. 암호화 쪽은
프로그래밍 쪽으로 잘 아는분들만 이렇구나 저렇구나 아실문제겠지만
들어보니 실력좀 된다 하는사람이 여기 뚫어야지! 하고 좀만 노가다하면 뚫리는 수준이라면
가장 급한것 같네요...
-
[속도]
사실 느릴 수밖에 없는 구조로 되어있죠. autoload 기능을 활용하지 못해서
필요한지 아닌지도 모르는 파일을 엄청나게 로딩해놓고 사용하니까요.
게다가 XML로 만들어진 설정파일을 파싱해서 사용해야 하고...
템플릿(스킨)도 XE만의 문법이 있으니까 그냥 include하지 않고 일일이 파싱해야 하고...
물론 파싱한 결과를 cache에 저장해두고 재사용하긴 하지만,
이건 XE 자체의 실행구조를 바꾸지 않는 이상 개선하기 어려워 보입니다.
[파일첨부]
이거 처음 나왔을 때는 획기적인 발전이었어요.
첨부파일 갯수도 마음대로 늘릴 수 있고, 그누보드처럼 번호가 꼬이지도 않고요.
최근에 소스를 보니 HTML5 자체의 업로드 기능을 활용하는 옵션도 있는 것 같은데
이쪽을 기본값으로 사용하고, HTML5이 지원되지 않는 구버전 IE에서만 플래시를 쓰도록 하면
호환성 문제는 더이상 없을 거라고 생각합니다. (이미 그렇게 하고 있나요?)
체감속도도 플래시 때문에 느린 경우가 많으니 HTML5를 쓰면 빠릿빠릿해지겠고요.
[비번암호화]
이미 패치가 작성되어 있고, XE 1.8부터는 향상된 알고리듬을 적용할 거라고 들었습니다.
PHP 버전에 따라 bcrypt 또는 PBKDF2/SHA256 방식으로 변경됩니다.
만약 변경되지 않는다면 제가 계속 코어 개발자분들을 갈구도록 하겠습니다 ^^
-
콩치
2014.11.24 10:00
필요한지 아닌지도 모르는 파일을 엄청나게 많이 로드하진 않습니다 ^^
-
아, 어폐가 있었네요. 꼭 필요한 파일만 로딩하는데, 꼭 필요한 파일이 엄청나게 많습니다.
(config.inc.php에서 일괄 로딩하는 것만 무려 25개에 13,000줄이 넘습니다.)
어떻게든 좀 줄였으면 좋겠네요. 특히 모든 것을 XML로 처리하려는 자바스러운 습성...
-
대신 그 덕분에 여러 DBMS를 지원하게 되었지요....
장단점이 존재한다고 봅니다.
위젯페이지가 어떤식으로 불편한지 좀더 구체적으로 말씀해주셔야 될것같습니다
저는 잘 몰라서;
저는 아쉬운점은 이미지 첨부를 기존의 파일첨부->본문삽입 형태가 아니라
네이버 에디터처럼 이미지첨부 기능이 따로 있으면 좀더 사용하기에 편리할것 같습니다.