타운광장토픽게시판

개인적으로 생각이 듭니다만..

chowolms
조회 수 170
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

 그누보드 같을 경우에는 xss 나 csrf 을 당할것을 대비해 메뉴 수정이나 회원정보 수정 할때마다 관리자 비밀번호를 입력 해야 합니다.

XE도 그런 기능을 추가 해보면 어떨까 라는 생각이 듭니다.

특히 회원들이 상담하는 비밀글에는 관리자들이 자기 비밀번호를 한번더 입력하도록 수정한다면 회원들의 상담 내용 이나 비밀글이 보호되지 않을까요? 그리고 xe admin을 들어 갈때 거기서도 비밀번호를 한번더 입력하게 한다면 어떨까요..


개인적인 생각입니다. 태끌 환영합니다.

위로 아래로
댓글 1
  • profile
    보안 측면에서 꼭 관리자 비밀번호일 필요는 없습니다. 일반 게시판에 글을 올리는 회원이 "예측할 수 없는" 내용이기만 하면 되죠. 그래서 CSRF 공격을 막는 가장 확실한 방법은 각 사용자마다 다른 "토큰"이라는 랜덤값을 자동 생성하여, 중요한 작업시 그 값을 반드시 함께 전송하도록 하는 것입니다. 매번 관리자 비밀번호를 입력하는 것보다 더 편하면서도 보안은 오히려 더 뛰어난 방법이죠.

    그러나 관리자 비번을 입력하든 토큰을 자동 전송하든 코어와 서드파티 모듈을 왕창 수정해야 하는 건 마찬가지죠. 그래서 양쪽 모두 실현 가능성은 낮다고 생각됩니다 ㅠㅠ