자유게시판자유게시판 "자유"
자유

로그인시에 네이버 같은 사이트처럼 "IP 보안" 이라는 체크항목이 있으면 좋겠네요

?
기븐
조회 수 703 추천 수 0 댓글 14
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

물론 코어 수정을 통해서 ip 변경되어도 로그인 유지되도록 할 수는 있지만...

 

그 경우는 사용자가 직접 설정을 하지 못하죠

 

근데 네이버같은 거 보면, 로그인할때 IP보안 이라고 있어서

 

사용자가 직접 설정을 할 수 있습니다

 

저같은 경우 주로 노트북을 통해서 하기 때문에, 장소를 옮길 때마다 와이파이가 바뀌느라 ip도 바뀝니다

 

그렇기 때문에 ip보안을 하게 되면 항상 로그인이 풀려서 불편하게 되죠

 

xe에도 이런 게 있었으면 좋겠네요

 

(일단 보안상 취약해질 수 있어서, 따로 수정은 안 한 상태입니다. 그러다 보니 자동로그인 풀린다고 불만들이 많더군요)

위로 아래로
댓글 14
  • Lv30
    https://xe1.xpressengine.com/index.php?mid=download&package_id=22753636
  • Lv30 ?
    저도 저건 아는데, 저건 그런 기능은 없지 않나요? 특히 사용자가 직접 ip보안을 설정하게 만드려면 일단 로그인 창도 뜯어고치고 관련 기능도 추가해야 하기 때문에...
  • ? Lv30
    회원이 사용하고 싶은 기기에서 자동로그인 체크해 두면 로그인풀림 못느낄정도로 이용 가능합니다.

    자동로그인 기기 갯수도 제한할 수 있습니다.
  • Lv30
    저희는 모바일은 강제 체크 PC는 사용자선택으로 했습니다. 모바일기기는 개인화기기이기 때문에 다른 사람이 자동으로 로그인할 위험이 적고 모바일에서 자동로그인이 너무 편하기 때문이구요.

    혹시 공용PC나 다른 단말기에서 자동로그인 허용해 놓 았어도 자동로그인 관리에서 삭제하면 됩니다.
  • Lv30 ?
    그렇군요. 사실 제대로 안 써봐서..
  • ? Lv30

    원하시는 기능이 지원되는거라 보여지구요. 완전히 괜찮은 모듈입니다.

     

    자동로그인 사용안하는 유저는 ip보안이 되는거구요.

    자동로그인 사용해서 사용하는 유저는 ip바뀌어도 자동으로 다시 로그인 되니 ip보안을 안쓰는거랑 비슷한거죠.

  • Lv30 ?
    아 근데 정확하게 제가 말씀드린건...

    네이버 로그인할때 보시면 아시겠지만 자동로그인을 해놔도 아이피보안을 켜놓으면 아이피가 바뀌면 자동로그인이 풀립니다

    그래서 아이피보안을 하고 싶은 사람은 그걸 켜면 되고 저같이 노트북에서 쓰느라 없는게 나은 사람은 끌 수 있는거죠

    현존 xe 기본 자동로그인은 ip보안이 무조건 활성화되어 있는 상태이구요

    아마 말씀하시는 설정은 ip보안을 무조건 해제하는 설정인거 같네요
  • ? Lv30

    자동로그인 모듈을 쓰면 ip보안이 무색해 질 정도로 자동으로 다시 로그인을 해 준다는 말이에요.

    자동로그인은 유저가 체크해서 사용하게 자율로 하시던지 저희 사이트처럼 운영자가 지정하던지 그건 맘데로 하셔두 되구요,.
    원하시는 대로 된다는 이야기 입니다.

    ip때문에 풀리는게 보안상 좋은경우 유저가 자동로그인 안쓰면 됩니다.
    편리한 사용을 원하는 회원은 자동로그인을 쓰면 되구요.

    반대로 생각하심 됩니다.

     

     

    자동로그인모듈을 설치하고 자동로그인은 XE의 기본 자동로그인과 차원이 다릅니다.

  • Lv30 ?
    네... 그니까 말씀하시는건 ip보안이랑 자동로그인을 택일해야 한다는 건데 (자동로그인을 하면 ip 바껴도 다시 로그인되고, 자동로그인을 안 쓰면 당연히 자동으로 로그인이 안되는것과 동시에 ip 바뀌면 바로 로그인 풀리고)

    네이버 보시면 둘 다 동시에 할 수 있거든요

    (사실...;;;; 저같은 경우 그냥 집에서 쓸때도 ip보안 off 해놓는다는게 함정이긴 하지만...)

    제 글의 요지는 이렇게 둘 다 동시에 유저가 설정할 수 있도록 지원하는 게 좋지 않겠냐는 것이었습니다.
  • ?
    뭐 근데 아래 기진곰님 댓글도 읽어보니까 굳이 여기까지는 필요 없고 그냥 말씀하신 대로 하는게 나을거 같긴 합니다.
  • ? Lv30

    자동로그인 선택 / ip보안 개별선택 이건 현재로서는 불가능한 이야기이고 이게 현실적으로 얼마나 필요한지 모르겠습니다. 이걸 받아들여줄 확율은 거의 제로에 가깝지 않을까요?

    일단 자동로그인모듈 사용시 ip보안은 무조건 되는거니까.. 이상태가 마음에 안드신다면 현재로서는 답이 없는 듯 합니다. 하지만 굉장히 편리하고 괜찮은 상태인데 저로서는 사실 와닿지는 않네요. 어떤 것이 걱정이신지...

  • Lv37
    요즘 세상에 IP 보안이라는 것이 과연 얼마나 효과가 있을지 의문이긴 합니다. XE의 경우에는 IP 마지막 자리가 바뀌는 건 봐주지만 그 이상 변경되면 로그인을 풀어버리는데, 남의 패킷을 떠볼 수 있는 상황이라면 공격자가 같은 네트워크 내에 있을 가능성이 높거든요. 예를 들어 보안이 되지 않는 커피숍 와이파이라든지...

    세션을 탈취하는 데는 크게 두 가지 방법이 있는데, 하나는 방금 얘기한 것처럼 패킷을 떠보는 것이고 다른 하나는 XSS 공격입니다. Full SSL + HSTS + session.cookie_secure를 사용한다면 패킷을 뜨는 건 불가능에 가깝고, XSS 공격은 코어에서 빨리빨리 패치를 해줄 뿐더러 세션 쉴드 애드온 등으로 이중 보호장치를 할 수도 있습니다. 예전과 달리 IP 보안에 의존하지 않더라도 관리자가 조금만 신경을 써주면 세션 탈취의 위험을 크게 줄일 수 있는 거죠.
  • Lv37 ?
    음 그럼 그냥 ip체크하는거 지워버리는게 나을까요?
  • ? Lv37
    SSL과 세션쉴드 애드온을 사용하신다면 리스크를 감수해도 되지 않을까 싶네요. 어차피 자동로그인 같은 기능이 추가되면 IP 보안이 무의미해져 버리니까요.