XETOWN

자유광장

조회 수 78 추천 수 0 댓글 2
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기

1.8.37까지 올려놓고 쓰다가 일주일동안 바빠서 신경을 못썼는데.. 그 사이에 1.8.40 버전까지 나왔네요. 한번에 몰아서 업데이트했습니다. 다른 건 다 문제가 없지만 배너 이미지가 안 나오네요.

 

어떤 개발자분이 만든 xe 위젯을 사용해서 배너 이미지를 뽑아오는데, 분명 링크도 만들어지고 배너 이미지 자리도 있지만 이미지는 표시되지 않습니다. 

 

짐작가는 점을 찾다가 나온게 1.8.39 버전에서 수정된 부분. 

 

  • #2092 이슈에서 다룬 접근 권한이 없는 글의 첨부파일 목록을 볼 수 있는 문제의 수정 및 보완 @bnu

 

입니다. '권한이 없는 글의 첨부파일 목록 액세스를 차단'하니, 관리자만 글을 보고 쓸 수 있는 배너 이미지 등록 게시판에서 이미지를 뽑아오지 못하는 게 아닐까 싶어서. 아니나 다를까 배너 이미지의 글 보기 권한을 풀어버리니 다시 이미지가 제대로 나오네요. 

 

xe에서 자체적인 배너 이미지 등록/운영 시스템을 갖춰놓고 쓰는 분들이라면 다들 같은 문제에 봉착하지 않을까 싶네요. 배너 이미지 게시판이라 해봤자 별거 없지만, 사실 일반 사용자들이 볼 이유가 없는 게시판이 누구나 볼 수 있도록 드러난 것도 문제 아닐까 생각도 들구요.

 

그렇다고 저 이슈 수정이 잘못됐다는 건 아닌데.. 어쨌건 지금까지 잘 쓰던 방법이 통하지 않으니 여러 생각이 드네요.

  • profile
    기진곰 2017.06.05 03:05:12

    보안패치를 다시 보니 getFileList에 제한을 걸어야 하는데 getFiles에 제한을 걸어놓았네요.

     

    물론 getFileList에서 내부적으로 getFiles를 호출하니까

    공통으로 사용하는 곳을 고치는 편이 더 확실하다고 생각하셨을 수도 있지만...

     

    외부에서 접근이 가능하므로 보안 체크를 철저하게 해야 하는 메소드와

    서드파티 자료에서 안정적으로 활용할 수 있어야 하는 내부용 메소드가

    제대로 구분되지 않고 보안 체크가 여기저기에 마구 흩어져 있는 것 역시

    XE의 아주 오래된 고질병 중 하나라는 생각이 듭니다...

     

    비슷한 예로 document, comment 모듈에서 불필요한 체크를 어마어마하게 합니다.

    당연히 board 모듈에서 체크해야 하는 것을 document, comment 모듈에 떠넘기다 보니

    게시판 이외의 장소에서 문서나 댓글을 조작하자면 불편한 곳이 한두 군데가 아니고,

    서드파티 자료에서는 이 체크를 우회하기 위해 $is_admin 파라미터를 남발하여

    오히려 보안이 취약해지는 결과를 낳고 있지요.

    그렇다고 이제 와서 체크하는 위치를 바꾸면 기존 방식에 따라 만들어진 자료들이

    또다른 보안취약점에 노출될 것이고...

     

    물론 사용하시는 위젯이 getFiles에 의존한다는 가정 하에 그렇습니다.

    만약 getFileList를 사용한다면 위젯이 잘못한 거고요...

  • ?
    老姜君 2017.06.05 12:31:24
    어이쿠.. 그냥 별 생각 없이 가볍게 쓴 글인데 기진곰님께서 이렇게 자세히 분석해주실줄은.. 항상 기진곰님 자료 잘 쓰고 있습니다.

    위젯에서 말씀하신 부분을 한번 찾아볼까 했는데 파일이 너무 많아서 쉽지가 않네요.

서버에 요청 중입니다. 잠시만 기다려 주십시오...