재접속은 http://www.xpressengine.com/index.php?&mid=download&search_keyword=%EB%B0%A9%EC%A7%80&package_srl=18982205

이런 애드온 쓰는 방법 등을 쓰면 됩니다 찾기는 해 보았는지?

암호화 문제가 몇 배는 우선적이고 당장 개선하지 않으면 안될 사항입니다

코어의 문제이고 개인이 수정할 부분이 아니니까요

왜 제가 그 애드온을 모른다고 생각하시나요? 당연히 알고 있습니다.

굳이 멀리 찾아가지 않아도 이 토론글에도 링크가 있던 것으로 기억합니다.

관련된 애드온이 있느냐 없느냐와 실제 코어에서 기본적으로 지원해주느냐의 여부는 상당한 차이가 있습니다.

정말 의외로 많은 퍼블리셔들은 '쉬운 설치'가 뭔지도 모르는 경우가 많고, 저 애드온의 존재 자체를 모르시는 분은 더더욱 많을껍니다. 그러나 회원의 정보를 보호하기 위한 기술적 조치들은 당연히 코어 내부에서 기본적으로 제공되어야 마땅한 것입니다.

저도 암호화의 기술적 수단이 널리 알려진 MD5가 아닌 다른 것으로 변경했으면 좋겠다는 생각은 있지만, 오픈소스인 XE가 암호화 알고리즘을 변경한다고 해서 얼마나 효과가 있을지는 모르겠고, 그보다 현재 XE에서 사용자의 중요 정보가 유출될 가장 큰 경로는 MD5가 뚫릴 가능성이 아니라 무한 루프에 의해 계정의 비밀번호가 열릴 가능성이 더 높다고 봐야합니다.

계정 비번이 열릴 경우 동시에 db를 그대로 누출하는 격인데 그 생각은 안 하십니까

그리고 관리자라 해도 마음만 먹으면 주민번호 비밀번호 등을 수집할 수 있는 것에 대해선 어떻게 생각하십니까?

그리고 운영자 id 비번 횟수를 막아도 FTP비번나 DB계정 무한 루프 돌리면 그만 아닙니까?

시스템적으로 볼 때 눈에 보이는 울타리 치는 것에 불과하다고 보는데요 

정작 집이 털렸을 때 통장 비번에 카드 비번 주민 번호까지 털리는 것에 좀 대비하자는 게 이렇게 태클 받을 일입니까?

그냥 SHA512에 임의 값을 삽입하기만 해도 0000 1111 ABCD 같은 대책 없이 무식한 비번만 아니면 뚫릴 위험은

극히 적어진다고 보는데요? 제 말이 틀립니까?

결론 그게 아닌데요

말에 전혀 논리도 없고 대책도 없고

비번 자주 안 바꾼 거랑 SK? 털린 거로 무슨 상관인지?

암호화가 왜 관계가 없어요 암호화를 하는 이유를 모릅니까?

답답한 분들 많네요 여기

왜 그게 아닌지 이유를 대 보세요. 우기기만 한다고 되는 것이 아닙니다. 암호화 바꿔봤자 큰 소용 없고 다른 방법으로 보안을 강화하자는 이야기가 여러 사람들이 위에서 많이 이야기하셨는데 전혀 받아들이지 못하고 우기기만 하시니 이야기가 될 리가 없습니다.

위에 다신 댓글 다 읽어봤는데 프로그래밍에 대한 지식이 없으신 듯 합니다. (BNU님이 제시한 아주 간단한 프로그램이 어떻게 돌아가는지도 모르시더군요.) 자신의 무지를 드러내시는 것 보다는 좀 더 공부하시고 찾아보시면서 이야기를 진행하시는 것이 옳은 것 같습니다.

우기는 건 그쪽이시고요

간단한 건 너무 간단해서 의심을 한 거고요

실행해 보니 문자 a 하나만 넣어도 오류가 나니 별 의미 없는 예시라고 봅니다

프로그래밍 잘 몰라도 보안에 대한 최소 상식은 있습니다

님은 그것에 대해 님 말대로 무지하다 대 놓고 표현하는 것 같네요 프로그램을 다뤘다면 헛 다뤘다고 봅니다

md5 구멍 투성이라는 건 전세계가 다 아는데 이걸 놔 두고 다른 걸 생각하자?

그래서 뭘 생각해셨는데요?

사용자가 암호 수시로 바꾸자?

그게 말입니까? ㅎㅎ

이유를 대지도 못하시는군요. 그냥 여기서 떠나 주세요. 근거없는 비난은 사절입니다.

자기 할 말만 하고 말 막히면

쓰지 마라 떠나라

ㅎㅎ 천박하게

문제제기는 누구나 할 수 있죠. 사용자로서 당연한 권리이죠.

하지만 이미 지난번에도 같은 내용의 글을 올려 열띤 토론을 한 것으로 알고 있는데 아닌가요?

그때도 지금과 다를게 없는 주장, 다를게 없는 근거, 다를게 없는 댓글들이 달렸던것 같은데요.

그리고 '타 CMS가 많이 쓰니까 XE도 바꿔야 한다'보다 좀더 타당한 이유를 들어 설명해주셨으면 합니다.

님께서 설명하신 해킹 방법으로는 MD5와 다른 암호화알고리즘의 장단에 대해 전혀 판별할 수가 없습니다.

그리고 '이암호화체계는 MD5보단 경우의수는 많겠죠'라고 하셨는데 무엇의 경우의 수가 많다는건가요?

님이 해킹했던 방법을 다른 암호화 알고리즘에 적용했을 때, MD5와 비교해 어떤 점이 좋은지 설명해주셨으면 합니다.

그리고 '다른 암호화알고리즘을 적용하자'가 아니라 '비밀번호를 더 복잡하게 설정해서 쓰자'라고 주장하는게 더 올바른 보안의식으로 보이네요.

('회외' -> '해외'를 말씀하시는거죠?)

그게 어떻게 동일한 상황인지 설명 좀 부탁합니다

님이 달았던 자신감 충만한 여러가지 댓글을 보면 제가 요청한 것 정도는 이해 가능하고, 설명도 가능할 것이라 생각되는데..

동문서답하지말고 설명해보시오.

소스 오픈되어 있고 루프 돌리면 되니 암호화할 필요가 없겠네요?

그럼 쉽게 개인정보가 유출되자나요 =_=...

이제 이해가 갑니까? 왜 더 견고한 암호화를 해야 하는지?

물론 암호화가 강해지면 좋지요 당연한겁니다 =_=.... 근데 현실적으로 지금 xe개발팀이 암호화를 신경쓸 상황은 아니니 그러는겁니다...

게다가 기존 사용자들을 위해서 md5방식과 겸용이 되던지 해야할테고요 결론적으로 좀 힘든이야기라는 거죠 =_=

견고한 암호화를 해도 간단한 암호는 루프돌리면 끝

아나... 답답하네 이사람 진짜.. 

이보시오

어떻게 소스 오픈되어 있고 루프 돌리면 되니 암호화할 필요가 없다고 생각합니까?

'소스 오픈되어 있고 루프 돌리면 되니 비밀번호를 복잡하게 만들어서 루프돌려도 못찾게 합시다' 이렇게 말해야 하는거임

본문에서 분석된 암호가 복잡성이 없는 너무 간단한 것이기 때문에 논란이 많은 것입니다. 132432나 1004 같은 규칙성이 있는 암호는 DB를 보지 않아도 알아내기가 쉬운 암호입니다. 키보드를 순서대로 약간 바꿔 누르거나, 특정 단어를 뜻하는 숫자를 암호로 넣었기 때문입니다. 본문의 근거가 부족하다는 거죠. 실제로 이 주장에 대한 반론으로 복잡성을 가진 MD5로 인코딩된 암호를 다섯 글자 제시하고 풀어보라는 댓글도 얼마전에 있었는데, 아무도 풀지 못했습니다. 

누가 잘 알지도 못하는 사람 암호 푸는 거에 시간 자원을 낭비합니까

md5 5자리를 왜 못 풀어요

동기를 부여해 줘야 풀지 50만이라도 걸어 보세요 아주 신나게 풀릴 겁니다

공부를 더 하시길 권해드립니다. 의견 나누기에는 지식이 너무 없으셔서... 뭐라고 말씀드릴 수가 없군요. 훗.

편한거 찾다가 한방에 훅 갑니다.

편하기도 하고 안정성있잖아요?^^ 그리고 비밀번호를 주기적으로 바꿔주어야하구요.

그건 님이 편한거지 다른 사람도 그렇진 않습니다

비번 16자리 주기적으로 바꾸는 게 잘도 편하고 좋겠네요ㅎㅎ

스맛폰으로 접속할 때도 피똥싸고... 굳이네요

ㅋㅋ 

가타부타 말들이 많은데, 

공식적으로 지원안해주면, 그냥 고쳐쓰면 됩니다. 

모르면 공부하면 되고, 쉽슴돠.

정말 레벨 값 못하는 소리 하고 앉았네요

해시 구문 임의로 수정했다가는 db 개작살납니다 로그인도 안됩니다

백업파일 없으면 복구도 답 안 나옵니다

해시 부분은 제대로 코어입니다

수정 잘해도 업데이트하면 또 개작살나요

쉬워요? 쉬운 걸 왜 적용을 안 할까요? 왜?

md5가 완전 무결하고 완전해서???????????????

아님 xe는 모르면 공부를 안 하는 건가

xe는 참 답답한 사람 많아요

ㅋㅋ 레벨2 ㅋㅋ 의 님한테는 어려울수도 있겠네요. 계속 소리 높여 요구해 보세요. NHN 에 전화를 해보든지. 아마 그래도 안해줄껍니다.

collision 즉, 해시값 중복 문제가 있는 것입니다. 일반적인 상황에서는 볼 수 없고,, 특별한 알고리즘을 사용하면 중복해시를 빨리 찾는다고 합니다.

여튼 장기적으로 봐서, 언젠간 대체는 해야 할 것 같은데.. 바꾸지 말자는 것도 아니고,

토론도 안 끝났고, 당장 큰 문제가 생기는 것도 아닌데 느린 sha로 당장 바꿔야만 할지...

어이구 완전 안전한 md5다

내 해시 풀어 봐라 혼자 자만할 때는 언제고

말 바꾸시네요? ㅎㅎㅎㅎ

태도 바꾸지 마요 본인이 틀린 것 같으면 사과를 하든가

정치인 주니어도 아니고 상황에 따라 슬쩍 입장 바꾸고 그래요

소인배예요? 그러지 마요

이제 시작이니까, 두고 두고 끌올해 줄게요

안전하긴 해요. ㅎㅎ

다만 해쉬가 특정상황에서 겹칠수있다는것이고요. 암호화 자체는 문제가 없다는 건 압니까?

내 주장에 반박도 못하면서 무슨 말만 많습니까 ㅎ

끌어올릴때마다 부끄러워하셔야 할 것 같은데요? ㅋㅋㅋㅋㅋㅋ

무슨 주장이요?

md5 안전하다 무결하다 풀 수 없는 완전 짱 해시다

md5와 sha2는 별 차이가 없다

이런 주장??

그러면서 불리하다 싶으면 "sha로 바꾸면 좋다"

그런 주장??

아니 그렇게 해시 자랑할 만한큼 미덥고 안전하면 계속 써야지

바꾸길 왜 바꿔요

앞뒤가 맞는 소리부터 하세요 논리의 기본부터 갖추시고.

나는 님처럼 상황에 따라 말 슬쩍 돌리는 얍삽한 태도는 안 취합니다

거울 안 본지 한참 됐지요? 거울부터 보세요 ㅎㅎ

나는 살다 살다 MD5를 이렇게 목숨 걸고 쉴드 치는 집단은 처음 봅니다

더구나 국제표준 운운하는 cms포럼에서.

이런 상코미디가 어딨는지 ㅎㅎ

그렇게 자신이 국제사회보다 권위가 우월한 것 같으면

빌 게이츠나 래리 페이지나 안철수 아니면 미국국가안보국에 메일 보내서 답신 좀 받아봐요

"나는 이러한 사람으로, 이러하고 요로저러한 이유 때문에 md5는 안전 무결하며, md5와 sha2는 근본적으로 같고

사실상 차이가 없으므로 sha군으로 해시를 변경하는 것은 매우 비효율적이며 참으로 의미 없는 짓입니다

바라건대 무의미한 sha보다 0.01초 이상 더 빠른 md5를 공식적으로 권고해주고 귀사 암호화도 md5로 하기를 권합니다"

이런 식으로 여기 올렸던 정보 첨부하여 메일보내고 그 회신을 공개하여 그 잘난 척 제발 좀 입증 바랍니다

그러겠다는 회신을 받고 인증하면 내가 사과문 띄우고 백배 사죄함은 물론 앞으로 어떤 의견도 아낄 것이며

당신을 세계에서 제일 가는 암호화 권위자로 인정하고 "13년째 대를 이어 md5를 '그냥' 적용하고 있는 xe는

국제사회 권고보다 우월한 보안 시스템을 갖춘 완전 무결한 프로그램이다"라고 도처에 광고하고 다닐게요

안 그럴려고 해도 자꾸 실소가 나옵니다 ㅇㅎㅎㅎㅎㅎ

우선, 분류는 같지만 알고리즘은 다릅니다. ㅋㅋ 그래서 근본적으로 다릅니다.

거울은 항상 보고 삽니다. 안 보는 것 같으면 하나 선물해주시던가..

누가 바꾸지 말자고 했습니까 ㅋㅋ

어차피 sha도 차기 표준 선정작업중인데 급히 바꿀 필요가 있나? 그런 거죠.

암호학전공도 아니고 메일 보내는 건 무의미한 짓이고, 이후 차기 암호화체계가 나오고 속도 느려질거 호환성 안좋아질거 나중에 교체해야할 그러한 가능성 정말 전부 감수하고 걔네들은 sha2 쓰는거고요.

지금 sha2로 바꾸면 sha3이나 md6같은거로 바꾸자는 말 안 나올 것 같습니까? 님같은 사람들 더 있을걸요.ㅎㅎ

당신처럼 이야기하려니까 재밌네요. 여튼 각설하고,

그러니까 당신의 정리된 주장 들어 봅시다. md5가 위험할 수 있다는 '발언 자체'만 끌고오지 말고, 'collision(충돌)'을 제외한 md5의 불안정성(당신이 말하는 그 취약성)에 대해서 이야기와 근거 좀 들어 봅시다.

당신 주장 못들은지 꽤 되니까 잊어버릴려 하네요.ㅎㅎ... 근거는 원래부터 있었는지 의심도 가고..