그누보드5 수정해되어야 하는 내용이 아닌가 싶습니다.(비밀글 관련)
본문
A게시판 설정 : 글쓰기 권한 : 2 , 글답변 권한 : 10 , 비밀글 사용 : 무조건
회원 유저가 비밀글 쓰는 게시판입니다.
이때, 다른 유져의 글을 보려고 하면 페스워드 입력 창으로 넘어가는데, 페스워드가 일치하면 글을 볼 수 있습니다.
글을 쓴 아이디와 로그인한 아이디가 일치하지 않더라도 페스워드만 맞으면 글을 볼 수 있다는 로직이 조금 보안(컨텐츠 내용에 대한)이 취약해보이네요. (심지어 로그인 하지 않은 유져도 페스워드를 맞추면 글을 볼 수 있습니다.)
아마도 로그인 하지 않은 유져가 글을 남겼을 경우를 계산한 것으로 판단되는데 그렇다면 해당 글이 회원유져가 남긴 글인지도 구분해야하지 않나 싶습니다.(현제 로직은 페스워드 검증만 하는 것으로 보입니다.password.php,password_check.php)
sir.kr 개발자분들과 sir.kr유져분들의 의견도 듣고싶네요.
(*아니면 제가 멀 잘못알고있나요..?ㅜ)
답변 3
맞는 말씀 같기도 하지만
다른 회원에게 비번을 알려주어서 비번을 아는 회원은 볼 수 있게 하는 경우도 있을 수 있습니다
관리자와 등록자만 볼 수 있게 하려면 뷰스킨 상단에 조건을 넣어두면 됩니다
필요에 따라 기능을 추가하면 되는 것이죠
<?
if(!$is_admin && strpos($view['wr_option'], "secret")!==false && $view[mb_id]!=$member[mb_id])
alert('다른 회원의 글은 읽을 수 없습니다');
글세요..저의 개인적인 입장은 기 입력된 패스워드가 일치하면 보여주는게 맞다고 보여집니다.
취약하다는건 누구나 비번을 입력하면 볼수 있다고하는말씀이신데..그건 비밀번호를 어렵게 설정하면 되지 않을까 합니다.
비밀번호를 쉽게 기록하면 당연히 취약하겠죠..
그래서 요즘은 대형 사이트에선 단순한 비밀번호는 취약하게 설정되면 되면 재설정을 요구하도록 되어있습니다.
다만 그누도 비밀번호 가 단순하게 입력 되면 복잡하게 하라고 다시한번 요청을 하도록 유독하게 한다면 말씀대로 해결될듯합니다.
두분 모두 감사합니다.!