XE코어 1.1 이상부터 적용되는 사이트 스킨 전체 XSS 방어는 몇일자 develop 기준으로 라이믹스에서 적용되나요?
코어만 업데이트 해주면 스킨단에서는 수정할 필요 없이 XSS방어가 적용되는건가요?
-
-
?
아 1.11으로 확실하게 적어야겠군요.
라이믹스는 1.11 마스터 버전 이후부터는 서브파티 스킨에도 일괄 적용할 수 있는 방법이 제공이될까요?
스킨을 많이 사용하고 있는데(레이아웃, 위젯..등) 일일히 코드를 수정하기에는 벅차네요 -
?
일일이 수정하지 않아도 사용하는 데 아무 지장이 없을 것입니다. XE 공지글에서 마치 반드시 수정해야 하는 것처럼 나온 것은 모두 무시하셔도 됩니다.
-
?
아하 그렇군요.
그러니까 정리해보자면, 아무런 걱정없이 라이믹스 코어를 업데이트 하면 XSS 방어 보안이 향상될 것이고
서브파티 레이아웃/위젯 스킨 등에서는 수정을 제가 하지 않아도 코어가 업데이트 되면서 XSS 방어가 자동으로 적용된다는 말씀이신가요? -
?
아니요, 아무런 걱정 없이 라이믹스 코어를 업데이트하면 XSS 방어고 뭐고 아무 일도 일어나지 않을 것입니다.
-
?
서드파티를 딱히 수정하지 않아도 된다고 하셨는데..
패치하고나서도
숭숭군님께서 만드신 가위바위보, 한줄광고, 퀴즈게임모듈도 수정하지 않아도 됬을까요. -
?
원래부터 취약점이 있는 모듈이라면 여전히 취약점이 있고, 그대로 둔다면 앞으로도 취약점이 있을 것입니다. XE에서도 마찬가지입니다. 서드파티 자료를 잘못 만든 것은 코어에서 책임질 수 없어요.
-
?
글쿤요, 역시 서드파티에 취약점이 있고 유지보수가 안된다면 자기 자신이 치료하는 수 밖에 없겠군요.
감사합니다.
XE에서도 safeguard 옵션을 없애고 서드파티에는 기본적용하지 않도록 하는 등, 다소 변화가 있습니다. 1.11 정식 릴리즈 전에 아마 다시 공지할 거예요.
당장 시급한 특정 보안취약점을 패치하기 위한 변화가 아니기 때문에, 라이믹스에서는 XE에서 어느 정도 시행착오를 거친 후에 천천히 적용할 예정입니다. 이런 경우는 흔하지 않은데 (보통 라이믹스가 먼저 가는데 ㅋㅋ) 살다보니 별 일을 다 보네요.
그리고 앞으로는 버전 번호에 신경써서 아주 정확하게 써야 할 것 같습니다. 1.11은 1.1이 아니고 1.1.1도 아닙니다. 소프트웨어의 버전 번호는 소수점이 아니라 각각 점으로 구분된 정수입니다. (IP 주소를 생각하시면 됩니다. 1.23.4.5는 1.2.3.45와 전혀 다른 IP 주소입니다.) XE 1.9 다음은 원래 1.10이어야 하는데, 연초에 1.10이 취소되는 바람에 1.11로 넘어가는 것으로 알고 있습니다.