질문/공유질답게시판

xe 세션 secure 설정하니

러버

xepushapp의 자체 로그인 기능이 안 먹거나

 

무한로딩만 도는 현상이 발생하네요.

 

혹시 관련해서 해결하신 분 계신가요?

 

처음에는 full SSL 적용으로 인한 문제인가 했는데

 

세션 secure 옵션 php.ini에서 0로 설정하고 

 

세션 초기화 후 접속하니 pushapp이 정상 작동하네요

위로 아래로
댓글 12
  • ?

    Xepushapp 에서 secure 플래그가 붙은 쿠키를 지원하지 않아서 일어나는 일입니다.
    대부분의 (제가 확인한 모든) 브라우저에서는 일어나지 않은 현상입니다.

     

     

    https://github.com/rhymix/rhymix/pull/1051

  • ? ?
    아아.. 그렇군요. 중요한 부분인데 아직 지원 소식은 없나 보군요 ㅠ
  • ? ?
    https://github.com/rhymix/rhymix/pull/1051 참고해주세요. 라이믹스에 관련 업데이트가 이루어질때 오고간 내용입니다.
  • ? ?
    좋은 정보 감사합니다. 기진곰님 답변을 보니 HSTS를 사용하는 저희 사이트의 경우 어느 정도 secure 옵션을 쓰지 않아도 보완되는 부분이 있네요. 현재 http only 옵션을 php.ini에서 설정했을 떄 아이폰 xepushapp의 경우에는 별 문제가 생기지 않는 듯 합니다. 그런데 왜인지 ssl 항상 사용으로 설정을 하고 나니 아이폰 xepushapp이 문제가 생기네요. (무한 로딩 ㅠ)
  • ?
    좋은 정보 감사합니다. HSTS를 사용하는 저희 사이트의 경우 어느 정도 secure 옵션을 쓰지 않아도 보완되는 부분이 있네요. 현재 http only 옵션을 php.ini에서 설정했을 떄 '안드로이드' xepushapp의 경우에는 별 문제가 생기지 않는 듯 합니다. 그런데 왜인지 ssl 항상 사용으로 설정을 하고 나니 아이폰 xepushapp이 문제가 생기네요. (무한 로딩 ㅠ)
  • ?
    호명하는 경우 수정을 하는 경우에도 포인트가 차감되나 봅니다. 포인트가 부족하니 댓글 수정이 안 되군요.
  • profile
    https://xetown.com/notice/1058635
    # 게시물 수정시에도 동일한 차감이 이루어지오니, 유의하시기 바랍니다.

    수정시에도 차감됩니다. 아무래도 기존에 호명을 했는지 여부까지 체크하지는 않는것 같습니다.
  • profile
    푸시앱에서 서버로 접속하는 로직이 웹뷰(웹브라우저)만 있는게 아니라 앱단에서 httpurlconnection 메소드를 이용한 접속도 있기 때문에 발생하는 문제입니다. 아이폰앱에서는 NSData라는 비슷한 접속로직이 있습니다.

    라이믹스에 적용되는 secure 보안관련부분... 그리고 세션쉴드 애드온을 적용하게 되면, 이러한 앱단에서의 접속을 공격으로 간주하게 되는 것이죠. (정상적인 웹브라우저의 접속이 아니므로...)

    이 충돌을 해결할 수 있는 유일한 길은 둘 중의 하나를 사용하지 않는 길 밖에 없습니다. (현재로서는 그렇습니다.)

    왜냐하면 xe푸시앱에서 이 기능을 꼭 사용해야 하는 부분이 있어서요... ㅠㅠ
  • profile ?

    https://stackoverflow.com/questions/16150089/how-to-handle-cookies-in-httpurlconnection-using-cookiemanager

     

    https://stackoverflow.com/questions/30310627/reading-secure-cookies-in-android-webview

    Secure cookie는 표준이라 문제에 대해서 방법이 없진 않을 것 같습니다. httpurlconnection 과 관련해서 구체적으로 어떤 문제가 생기는지 모르지만, JAVA 언어 등에서도 쿠키를 다룰때 코드에서 흔히 등장하는 것으로 보아 SSL접속을 하고, 세션 키를 정확하게 전달하기만 하면 큰 문제가 없을 것으로 생각됩니다..
    발생하는 문제를 구체적으로 알려주시면 자료
    검색은 해볼 수 있을 것 같습니다.

  • profile

    기술적으로는 지식이 없어 사용자의 사용경험으로 댓글을 적어보자면 저는 이런 생각이 들었습니다. 지금 생기는 문제와 비슷한 것이 아마 mod_security 의 경우 인 듯합니다. 서버단에서 정상적이지 않은 접속을 차단하려고 사용하는데요.

    그럼에도 불구하고 꼭 사용해야 하는 것이 존재하기 때문에 이러한 보안프로그램에서는 다양한 룰셋을 제공하고 특정 룰셋을 제외하고 통과 시키는 것이 필요하다고 봅니다.

    실제 푸시앱의 경우 mod_security 를 비롯한 여러 보안 관련 프로그램에서 위에 말씀 하신 문제로 기능상 문제가 발생합니다. 그래서 mod_security 경우도 영향을 주는 특정 룰셋을 제외하는 것으로 나머지 mod_security 기능은 모두 정상 사용할 수 있습니다. 푸시앱 이외 XE에서 조차 mod_security의 일부 룰셋을 제외 해야 하는 경우도 있으니 이런건 필요하다고 봅니다.

    따라서 라이믹스에 새로 생기는 보안 기능이 어떤 것인지 제가 알 수는 없지만 기능 자체를 ON/OFF 뿐만 아니라 조금 더 세분화된 것을 끄고 켤 수 있어야 할 것 같습니다.

  • profile ?

    mod_security가 아니라 php에서 세션 보안 옵션인 secure 옵션을 줬을 때 생기는 문제입니다. 보안 문제 때문에 세션에 http only와 secure 옵션을 주도록 권장하고 있습니다. 실제로 네이버 등 대형 웹사이트들에서도 이와 같은 옵션이 적용되어 있습니다.

  • ? profile
    네. 비슷한 사례를 말씀 드린거에요.