포럼

우선 사람이 뚫고 들어오는거는 결국 뚤리게 되어있다 하더라도 (항상 해커가 끝에는 이기죠.)


기본적으로 spam bot/bulletin bot/blog bot 은 막아줘야 하는 거 아닌가요?  


저는 처음에 스팸글 때문에 고생한다고들 하셔서 사람이 스팸하는 건줄 알았더니, 나중에 다른 글들 읽어보니 bot 때문에 힘들다고들 하시는 내용이더군요.


워드프레스건, 구글이건, 기본적으로 bot 들은 다 차단해 줍니다.  어제 php 버전 바꾸느라 .htaccess 파일 열어봤다가 허걱 했습니다.


bot 차단하는 내용이 아예 들어 있질 않아요...   뭐 복잡한것도 아니던데 (bot 은 사람과 달리 접근 경로가 틀리니) 접근 경로 확인해서 bot 을 접근 금지 하는 방법입니다.  이런식으로.


# no-referrer requests

RewriteEngine On

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{REQUEST_URI} .자유게시판\.php*

RewriteCond %{HTTP_REFERER} !.*사이트.com.* [OR]

RewriteCond %{HTTP_USER_AGENT} ^$

RewriteRule ^(.*)$ ^http://반사다 ㅆㅂㄻ.com/$ [R=301,L]


또는


RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L] (이건 워드프레스에서 사용중인 script)


이걸 무슨 캡차를 다느니 필터사용을 하느니.. 저로서는 좀 이해가 안된다는.... 요즘 bot 중에 캡챠 못 읽는 bot 도 있나요?


구글에 있는 프로그래머 한분 (어린 친구에요) 에게 이메일로 물어보니 구글은 접근경로 확인과 접근하는 시간계산을 해서 스팸을 막는 다더군요. (대략 제가 이해한 부분입니다.)  보고 사용해 보라면서 파일도 하나 보내줬는데 (공개만 하지 말아달라네요), 복잡해서 저로서는 이해하는 걸 포기.  무슨 스크립이 몇장이야... 허거걱.


암튼 bot 들은 다 잡아주셔야지, 안그러면 자동으로 관리자 권한 (ID 랑 password) 을 bot 들이 수집해서 매우 위험해 집니다.  스팸을 올리는 이유는 광고글을 올리기 위한 경우도 있겠지만, 관리자가 그 글을 삭제하려고 접근하는 걸 기다렸다, 관리자의 ID 랑 비밀번호를 추출하기 위해 올리는 것 입니다.  그러니까 한마디로 관리자를 낚시하는거죠.  XSS 로 낚시하는 것 처럼.


bot 들이 관리자 권한을 수집해오면 그걸로 사이트에 들어가서 신용카드 정보라던지, 주민번호라던지, 돈되는 정보를 뽑아오구요.


제가 알기로는 이런식으로 한국에서 빠져나가는 돈이 매년 수백억이랍니다 (계속 피해를 보고 있지만 웹사이트 랑 신용카드 회사랑, 보안 전문가?  그냥 쉬쉬한다고 하네요.  대한민국에 무슨 보안전문가가 있다는 말인지. ㅋㅋㅋ.) 이건 국가적으로 큰 손실입니다.  돈 뽑아 가는 나쁜놈들은 다 중국이나 러시아에 있으니...

여기에 보니 XE 랑 쇼핑카트 만들어서 쓰시려는 분들이 계시던데... ㅎ ㄷ ㄷ 입니다.   범죄자가 마음만 먹으면 backdoor shell 하나 심어놓고 심심할때마다 들어가서 신용카드 정보 뽑아 쓸거에요.  저같은 script 한줄도 제데로 직접 못쓰는 초짜도 농협사이트에 들어갈 수 있습니다.


구글도 이래서 한국에는 구글쇼핑 (google check out) 을 제공하지 않습니다.  손님들 개인정보를 보호해줄수 없는게 가장 큰 이유라네요.


암튼 XE 로 상업사이트를 만드는건, 좀 비윤리적인 것 같습니다. 


이 얘기 언젠가는 꼭 해야 할 것 같았습니다.  XE 사용하며 나중에 한번 얘기하려고 했는데, 제가 XE 를 사용하지 않게되어서 지금 쓰게 되었네요.


안녕히들 계십시오.




 

글쓴이 제목 최종 글
NA답답이 1.5.x 회원관리에서 등급별로 회원 목록 축출이 안 되나요... [1] 2012.01.06 by NA답답이
착한악마 익스8에서 오류 나시는 분들 보세요. [8] 2012.01.06 by 강병권735
푸하라 깜짝 놀랬습니다. 첫페이지 소스표기 부분 win32 스타일 소스를 봐서... [1] file 2012.01.06 by 銀童
gabri-901 xe코어 설치중 이런경우, 아무리 찾아봐도 저같은 경우를 못찾았어요. [8] 2020.03.14 by gabri-901
2donggalbi XE로고 배포좀 해주세요. [1] 2012.01.05 by 정찬명
고냉이2 하하하 역쉬 기대한데로네요. [2] 2020.03.14 by BNU
한마음^^ 쪽지 오래 작성시 증발 현상(1.5.1 버전) [1] 2012.01.05 by lmjy2k
우냠냠냠 content 위젯 색깔글제목은 오류가납니다. [1] 2012.01.05 by 익멍
푸하라 드디어 php4를 포기 하시는군요.. 좋은 생각입니다.  
우냠냠냠 글작성시 홈페이지나 블로그에 한글이되있으면 오류가납니다.  
Te0 45분만에 웹사이트 만들기 [9] file 2012.01.04 by fsfsdas
Te0 아, 그리고 마지막으로 XE 보안에 관해서 [10] 2012.01.04 by fsfsdas
NA답답이 1.5.x에서 페이지 위젯 사용하기 너무 불편하네요 [4] 2012.01.04 by misol
투제이 황당한 XE Market! [8] 2012.01.03 by 클라우
Ryanistic 글 작성시 이미지 추가 컴포넌트 오류  
착한악마 xe신문법과 구문법??  
ForHanbi IE8 res://ieframe.dll/acr_error.htm 원인과 해결법 [8] 2012.01.03 by Garon
익멍 오류 해결점 부탁드립니다. [2] 2012.01.03 by 익멍
김구고 고민이 많이 되네요. [1] 2012.01.03 by 메디안
_writer facebook JavaScriptsdk 포함하려면 어떻게 해야하나요? [8] 2012.01.03 by _writer