질문/조언질답게시판

라이믹스 최신버전에서 자동로그인 기능이 풀리는 현상이 발생중인데요 혹시 아래와 같은 보안설정부분도 영향이 있을 수 있는지 궁금하여 질문드립니다.

 

아래 살정에서 활성화 또는 비활성화 시켜야할 부분이 있을까요?

 

SmartSelect_20200906-110832_Samsung Internet.jpg

  • profile

    로그인이 풀리는 문제는 라이믹스의 보안설정보다는 서버 자체의 세션 세팅이나 도메인 연결 문제 때문인 경우가 더 많습니다. 정상적인 서버라면 라이믹스의 모든 보안설정을 최대로 켜놓아도 로그인이 풀리지 않습니다.

     

    굳이 하나를 고르자면 CSRF 토큰 기능이 서드파티 자료와 충돌해서 로그인이 풀리는 경우가 있을 수도 있습니다.

  • profile profile
    서버의 세션 설정 부분을 점검하고 싶은데요, 혹시 참고할수있는 문서가 있을까요?

    현재 SSL 전용 쿠키 사용 옵션을 해제하니까 정상작동중입니다.
  • profile profile

    SSL 전용이 아닌 사이트에서 SSL 전용 쿠키 옵션을 사용하셨다면 문제가 될 수도 있습니다.

    SSL 전용 세션(또는 쿠키)는 이름 그대로 SSL (https) 접속이 된 상태에서만 유효한 세션(또는 쿠키)입니다. 따라서 http로 접속했을 때는 로그인이 풀리게 됩니다. 순간적으로 http로 접속했다가 https로 리다이렉트되더라도 마찬가지입니다. http로 접속하는 순간 로그인이 풀리고, https로 리다이렉트된 후에도 로그인이 풀린 상태 그대로 남습니다. 예를 들어 최근에 https로 전환한 사이트라면 로고나 메뉴, 오래된 위젯 등에 http 링크가 남아 있는 경우가 많은데, 이걸 클릭하는 순간 로그인이 풀리는 것입니다.

     

    혹시 SSL "선택적 사용"으로 설정하셨나요? → "항상 사용"으로 변경
    http로 접속했을 경우 https로 리다이렉트해 주는 애드온에 의존하고 계신가요? → 폐기

    사이트 로고나 메뉴 등에 http://로 시작하는 링크가 있나요? → 모두 https://로 변경

     

    가능하면 아파치 설정, nginx 설정, 또는 .htaccess를 사용하여 https로 리다이렉트하는 것이 좋습니다. http로 접속했을 때는 PHP가 실행되지도 않도록 하는 것이 최고입니다.