일간워스트라는 사이트가 있었습니다.
한 때 나름 유명한 사이트였는데 문득 어제 클리앙 관리자와 회원간의 문제에서 회원들끼리
클리앙을 나가서 새롭게 홈페이지를 만들자 말자 말이 있던중 누군가 일간워스트 개발 이야기 한번 보라고 링크를 올렸더라구요.
예전부터 한쪽에서 공격 받을 사이트에 대해서 꽤나 관심을 가졌었고, 저런 사이트 구축을 위해서 보안은 어떻게 해야하는 것인지
그리고 저런걸 막으려면 어떻게 해야할까 등등 생각 많이 해봤었고,
여기에 제가 질문도 몇번 올린 적도 있었습니다.
자세한 이야기를 몰랐는데 글을 읽어보니 제가 알고 있는 수준은 넘어섰지만,
이제는 시간이 많이 지났으니 저정도 홈페이지 만들기 쉬워진게 아닐까 싶기도 합니다.
물론 여기서의 대답도.....보안이나 공격을 어느정도 막아 낼 수 있다는 요지로 알아들었거든요.
여튼....저정도 공격 들어오는걸 막을 정도의 홈페이지 만들기가 요즘더 어려운건가요?
어느 부분 어느정도 신경을 써야 하는것일까요?
이사를 하든 새로 만들든 어찌 됐든 감행해야하고, 공격은 지금 당장은 아니지만 들어올게 뻔하기 때문에 계속 물어보는 겁니다.
좋은 의견 고맙습니다.
호스팅 회사에서도 공격이 들어오면 해당 사이트를 내쫒는 것으로 하는게 작정하고 공격한다면 막기 힘들어집니다.
어떤 곳의 타겟이 되거나 할 만한 소재나 성격을 가지고 사이트를 개설한다는건 서버차원의 보안전문가를 확보하지 않고 운영한다는건 불가능에 가깝다고 생각합니다.
서버단위,네트워크 단위의 전문가가 있더라도 그것을 소화할 수 있는 물리적 자원도 충분해야 하구요.
그냥 시비를 만들지 않을 수 있는 그런 사이트를 개설 운영하는게 답 일겁니다.
요약 :
저정도의 공격이 들어올 정도면 운여이 힘든가요?
네. 힘듭니다. 왠만한 수준의 공격이 아니고 작정하고 지속적으로 계속 공격을 하는건 못 버팁니다.
클플 쓰면 디도스나 이상한 요청 등 웬만하게 뻔한 것은 다 걸러집니다.
일간워스트가 처음 생기던 당시에는 클플이 없었지요.
댓글에 embed 코드 같은 것도 XE에서는 (당시에는 거의, 현재는 전혀) 걱정할 필요가 없는 문제인데
일워 운영자분이 XE를 버리고 처음부터 다 직접 구현하시느라 고생을 많이 하셨지요.
XE에 기능 몇 가지만 추가하면 되는데 그걸 배우기 귀찮았는지... 아님 그냥 심심했는지 ㅋㅋㅋ
XE는 물론 PHP까지 다 버리고 완전히 새로 구현하셨더군요.
저도 잘 모르지만
우선 금칙어로 걸러내기로 했습니다
: 가능. 스팸필터
레퍼러도 체크하기로 했습니다
: 가능. 운영자가 직접
욕설 사용 빈도수가 누적되면 그냥 걸러내도록누적 평가를 적용하기로 했습니다
: 모듈 개발로 가능
브라우저가 느려지게끔, 일부러 이미지 높이(height)를 몇 억 픽셀로 적어둔 것입니다.
: 이건 일일이 메뉴얼로 체크해야 겠는데... 자동 차단은 잘 모르겠습니다.
자동 가입/자동 글도배 프로그램은 웹페이지의 폼(form) 구성요소를 자동으로 탐지하여 가입, 글쓰기 등을 진행하는 프로그램입니다
: 대부분 스팸 필터로 방지 가능
서버가동 방해 공격
HTTP 요청 방식(request method)이 GET, POST, PUT와 같은 표준이 아니라 엉뚱한 게 들어왔다는 것이죠
: 이건 서버단이니 cms 와 관계없이 막을려면 얼마든지 가능 스스로든 전문가를 통해서든
덧글 임베드(embed) 코드 삽입
글쓰기 때만 평문으로 작성하고 수정 시 코드를 넣는 어뷰징 유저도 있더군요. 글 수정에서도 단어를 분류해 일베유저임을 판독도록 고쳤습니다
: 막을려면 전체 유저가 다 못쓰는 방법 밖에는 없고
글쓴이 처럼 개발 할려면 의뢰 필요
뭐 이정도 겠네요. 아무튼 다 가능 합니다