웹마스터 팁
통합검색 사용 가부 설정 및 특정 그룹만 사용가능하게 제한 설정 기능 추가 - 보안이슈가 될 수 있는 부분
2015.04.10 10:00
원본글 : http://sejin7940.co.kr/index.php?mid=xe_tips&document_srl=103487
제 사이트의 글을 가져온거기에 말이 좀 짧을 수 있습니다.
-------------------------------------------------------------------
통합검색 사용여부 설정 가능하게 설정 추가 하였다.
레이아웃에서 통합검색 폼을 안 만들어두면 통합검색이 안 될듯하지만
실제 주소를 알면 어느 사이트든 통합검색이 가능해진다.
( 관련 주소는 혹시나 싶어 기재하지 않지만, 예를들어 XE 공홈도 통합검색이 가능하다.
물론 XE는 과거 통합검색을 허용했던 적이 있기에 노출가능한 게시판의 제한이 걸려 있어 문제는없지만.. )
물론 해당 유저가 통합검색 설정을 미리 해둬서 특정 게시판만 검색되도록 제한을 해뒀으면 무관하지만
어차피 통합검색을 안 쓸거라고 생각하고 특별히 설정을 하지 않은 경우는..
해당 사이트에 있는 모든 글과 댓글 들이 검색되어버린다.
물론 비밀글 처리되어있거나, 접근/보기 권한등이 막아두었다면.. 내용은 볼 수 없지만
(그래도 제목이 보인다는 것만으로도 짜증날 수 있다. . 심지어 댓글의 경우 3줄정도까지 내용이 다 보이고..)
진짜 문제 될 수있는건..
관리자가 자기 혼자 쓰려고, 노출되는 메뉴 에 넣지 않고 별도로 관리자만 아는 mid 주소로 빼둔 게시판 등이 있고
이 게시판에 대해 당연히 주소를 모를거라고 생각하고, 접근 권한을 막아두지 않은 경우 발생한다
당연히 이렇게만 해둬도 노출이 안 되는걸로 보이니.. 충분히 안심하고 있을 수 있는 상황일듯 싶다..
그런데, 이런 글은 검색을 통해 게시판을 찾을 수도 있고, 자칫하면 열람이 가능해져버리는 문제가 발생한다.
결국 XE 의 숙련도에 달려있는 부분인데, 자칫하면 꽤 애매한 보안문제가 생길 수 있다..
그래서 통합검색 자체의 기본설정을 '사용불가' 로 해두고.. ( 사용불가시에도 최고관리자는 사용 가능)
이를 사용하고픈 경우, 통합검색 모듈 설정에 와서, '전체 사용'으로 하면 손님도 사용 가능하고
'회원 사용'으로 허가한 경우, 하단에서 사용그룹 지정을 별도로 하여 특정그룹 또는 전체회원 이 사용가능하게 설정이 가능하다.
물론 기존에 통합검색을 자연스럽게 쓰던 사이트들은 관리자가 통합검색 모듈에서 가서 한번 설정을 해줘야하는 불편이 따르지만
그동안 통합검색 대상에 대한 제한을 안 걸어서 모든게 검색 될 수 있다는걸 이 기회에 알게 해주는 효과도 있고
보완 이슈가 될 수 있는 이상, 기존 사이트들에게 불편을 주더라도 막아 재설정하는게 맞다고 생각한다.
통합검색 사용여부 설정 가능하게 설정 추가
기본은 사용이 가능하지만
관리자가 통합검색 모듈 설정에서, 사용 불가로 설정가능하도록
1. modules/intergration_search/tpl/index.html 에서
<input type="hidden" name="xe_validator_id" value="modules/integration_search/tpl/index/1" />
아래에 추가
<div class="x_control-group">
<label class="x_control-label">{$lang->use}</label>
<div class="x_controls">
<select name="use">
<option value="N">{$lang->notuse}</option>
<option value="M" selected="selected"|cond="$config->use=='M'">{$lang->member} {$lang->use}</option>
<option value="Y" selected="selected"|cond="$config->use=='Y'">{$lang->all} {$lang->use}</option>
</select>
</div>
</div>
<div class="x_control-group">
<label class="x_control-label" for="use_group">{$lang->grant_access}</label>
<div class="x_controls">
<!--@foreach($group_list as $key_group=>$val_group)-->
<label for="target_group_srl_{$key_group}" style="float:left; margin-right:10px;"><input type="checkbox" name="use_group[]" id="target_group_srl_{$key_group}" value="{$key_group}" <!--@if(in_array($key_group,$config->use_group))-->checked<!--@end-->>{$val_group->title}</label>
<!--@end-->
<p class="x_help-inline">{$lang->about_grant_access}</p>
</div>
</div>
2. modules/integration_search/integration_search.admin.view.php 에서
function dispIntegration_searchAdminContent 함수 내부에
$security = new Security(); 위에다가 추가
$oMemberModel = &getModel('member');
$group_list = $oMemberModel->getGroups();
context::set('group_list',$group_list);
3. modules/integration_search/integration_search.admin.controller.php 에서
function procIntegration_searchAdminInsertConfig() 함수내에
$args = new stdClass; 아래에다가 추가
$args->use = Context::get('use');
$args->use_group = Context::get('use_group');
4. modules/integration_search/integration_search.view.php 에서
function IS() 안에
$config = $oModuleModel->getModuleConfig('integration_search');
아래에다가 추가
$logged_info = Context::get('logged_info');
if((!$config->use || $config->use=='N') && $logged_info->is_admin!='Y') {
return new Object(-1,'msg_not_permitted_act');
}
elseif($config->use=='M' && !$logged_info) {
return new Object(-1,'msg_not_permitted_act');
}
elseif($config->use=='M' && $config->use_group) {
$group_array = $config->use_group;
foreach($group_array as $key_group=>$val_group) {
$selected_group_srl = $group_array[$key_group];
if($logged_info->group_list && $is_use_group!='Y') {
$group_list = array_keys($logged_info->group_list);
if($group_list && count($group_list) && in_array($selected_group_srl , $group_list)) {
$is_use_group = 'Y';
break;
}
}
}
if($is_use_group != 'Y') return new Object(-1,'msg_not_permitted_act');
}
5. modules/integration_search/lang/lang.xml 추가
<item name="about_grant_access">
<value xml:lang="ko"><![CDATA[회원만 사용하게 설정가능한 경우 사용 그룹 제한 가능. 설정이 안 되어있으면 모든 회원이 가능]]></value>
</item>
제목 | 글쓴이 | 날짜 |
---|---|---|
로그아웃 페이지가 심심한듯 보여서 이미지를 넣어봤습니다. [9] | moonsoo | 2008.01.01 |
회원 아이디만 가지고 쪽지 보내는방법 [1] | sleep2 | 2008.01.01 |
내 홈페이지에 구글 검색용 애드센스 달기 | RulruRalra | 2008.01.01 |
홈페이지에 최근글 넣고 새창으로 띄우기 | happyblog | 2008.01.02 |
게시판 하단 검색 옵션 원하는 것만 넣기 (확장변수 포함) [10] | shtjdals | 2008.01.02 |
외부로그인-특정 페이지에 로그인창만 나타나게 하고 로그인하면 메인페이지로 이동하기 [11] | 레드맨 | 2008.01.02 |
나야나 웹호스팅에서 제로보드 XE 사용하시려면 [2] | John704 | 2008.01.02 |
주소 끝에 /zbxe 안 적어도 바로 /zbxe로 들어오는 법 [10] | 삵살개 | 2008.01.03 |
관리자 페이지 않나오게 하기 [1] | Diver | 2008.01.04 |
여러 서버에서 하나의 회원목록 관리&사용 [24] | 화니군 | 2008.01.04 |
.htaccess 세팅 (index.html 없이 리다이렉션 구현) [2] | :맥노턴 | 2008.01.04 |
회원가입시 추가 정보 입력한것이 안 보일때 [1] | 수지보더 | 2008.01.08 |
홈페이지 전반에서 오른쪽 클릭 금지하기 [12] | 팬더사촌 | 2008.01.08 |
숫자 아이디 사용법 [6] | Slick | 2008.01.10 |
zb4 게시판에 x, y를 사용하는 경우의 migration [1] | 녹슨기차 | 2008.01.10 |
아이프레임 리사이즈 모질라,익스플로러 사용가능하며 게시판 불러오기 [1] | moonsoo | 2008.01.11 |
계정 이전할때.. 알FTP쓰지 마세요... [11] | INT10002 | 2008.01.11 |
홈페이지에 간단하게 뮤직플레이어와 악세사리 설치하기 | 푸른커튼 | 2008.01.12 |
VirtualPC로 IE6.0, IE7.0을 동시에 사용해서 홈피테스트하기 [2] | D.kim | 2008.01.13 |
외부 이미지 링크 막기 (초간단) 2%부족 [5] | easy14 | 2008.01.14 |
정말 좋은 팁입니다!!! 그동안 보안 때문에 통합 검색 모듈을 제거하고 사용하고 있었는데 세진님 덕분에 다시 설치해야겠네요. 감사합니다.