TNF : Tatter Network Foundation forum - 플러그인..을 브라우저에서..

RSS 답글: 플러그인..을 브라우저에서..

2006-04-13T15:55:04Z

chester 작성:

daybreaker 작성:
저도 superuser와 일반 user와의 권한이 달라야 한다고 생각합니다.
서비스 형태까지 가능한 multi-user 시스템에서 바로 플러그인을 맘대로 올릴 수 있는 건 굉장한 보안 위협입니다.
기본적으로 플러그인은 블로그 전체 관리자만이 갱신할 수 있어야 한다고 봅니다.
그러한 이유로 스킨도 마찬가지룰을 따르고 있지요..
누군가 악의적인 코드를 넣을 수 있는 '자유'가 많이 보장되어 있지요..서비스형을 시작한다면 그 자유와 보안사이에서 정말 많이 고민해야 될것 같습니다.

서비스형의 경우는 Superuser 등급을 갖는 일반 사용자가 없게 하면 되지 않을까요. 어쨌든 php 코드를 직접 넣을 수 있는 부분에 대해서는 굉장히 조심해야 할 것 같습니다.

RSS 답글: 플러그인..을 브라우저에서..

2006-04-13T15:49:57Z

daybreaker 작성:

저도 superuser와 일반 user와의 권한이 달라야 한다고 생각합니다.
서비스 형태까지 가능한 multi-user 시스템에서 바로 플러그인을 맘대로 올릴 수 있는 건 굉장한 보안 위협입니다.

기본적으로 플러그인은 블로그 전체 관리자만이 갱신할 수 있어야 한다고 봅니다.
그러한 이유로 스킨도 마찬가지룰을 따르고 있지요..
누군가 악의적인 코드를 넣을 수 있는 '자유'가 많이 보장되어 있지요..서비스형을 시작한다면 그 자유와 보안사이에서 정말 많이 고민해야 될것 같습니다.

RSS 답글: 플러그인..을 브라우저에서..

2006-04-13T14:52:47Z

저도 superuser와 일반 user와의 권한이 달라야 한다고 생각합니다.
서비스 형태까지 가능한 multi-user 시스템에서 바로 플러그인을 맘대로 올릴 수 있는 건 굉장한 보안 위협입니다.

RSS 답글: 플러그인..을 브라우저에서..

2006-04-13T14:43:36Z

물론 이 일은 플러그인 자체에 문제가 없다는 전제하에 이루어져야 되는 작업이라고 생각되네요.
(하지만 사람을 거치지않고 플러그인 자체에 문제가 없다고 단정을 지을 방법이 과연 있을까요?)

현재의 플러그인 제작 방식은 플러그인 제작자가 마음만 먹으면 무슨 짓이든 할 수 있기때문에 상당히 위험하니까요.;
현재의 배포 방식이라고 해서 위와같은 문제를 해결할 수는 없다는게 가장 큰 문제겠지만요.

RSS 답글: 플러그인..을 브라우저에서..

2006-04-13T14:37:43Z

inureyes 작성:

구현 자체는 규칙만 정확하게 압축되어 있다면야 (플러그인 디렉토리까지 압축되어 있어야겠죠?) 그다지 어려울 것은 없을겁니다. 그런데 현재의 플러그인 설치 구조로는 인스톨 / 언인스톨 시에 php의 system함수를 사용해야 할텐데, 이 함수가 보안에 쥐약입니다. fopen으로 대체해서 압축 풀기가 가능한지는 아직 안해봐서 모르겠네요.
예전에 php로 직접 파일을 만들어 쓰거나 경로 이동하고 복사하는 프로그램을 짜야 할 일이 있었는데, 당시엔 그냥 @system함수로 긁었었더랩니다. (...)

http://kr.php.net/manual/kr/ref.zip.php
위 주소의 아래 User Contributed Notes를 보면 unzip을 구현해 놓은 것을 볼 수 있습니다.
(물론 system 등의 Program Execution 함수를 사용하지 않고요.)

근데.. 생각해보니 저것도 PHP를 --with-zip=DIR 옵션을 주고 컴파일을 했어야 되는군요.;
정 안되면 직접 구현을..(누가?...; )

.tar 는 구현되어있는게 있긴 하네요.;;

RSS 답글: 플러그인..을 브라우저에서..

2006-04-12T02:48:21Z

http://www.joomla.org/
joomla라는 cms툴을 얼마전 사용해보니 플러그인 및 언어 설정 파일들을 모두 zip으로 올릴 수 있게 되어 있었습니다.
사용해보니 편하긴 하더군요.
태터의 경우 superuser와 writer와의 권한이 달라야할 것 같습니다.
superuser만 plugin을 설치할 수 있게하면 되지 않을까요?

RSS 답글: 플러그인..을 브라우저에서..

2006-04-05T16:29:24Z

쉘접근을 하지 않고도 할수 있는 자유도를 만들기 위한 다양한 아이디어와 케이스들이 필요한 상황입니다. ~ php code 가 직접입력되는 plugin 들을 멀티유저환경에서 오픈한다는 것도 사실 굉장한 위험을 수반합니다. 차라리 중앙에서 관리자가 하나씩 만들어서 넣어준다면 모를까요.. ^^ 항상 편의성과 역으로 따라다니는 것이 보안이잖습니까.... 이걸 어떻게 할수 있을런지 ^

RSS 답글: 플러그인..을 브라우저에서..

2006-04-04T14:12:12Z

참고로, 많은 분이 사용하시는 파이어폭스 웹브라우저의 경우, 확장기능이 그냥 zip 압축파일입니다.

.xpi를 .zip 확장자로 바꾸면 똑같죠.

플러그인 확장자를 zip압축파일로 .ttp 정도로 해도 재미있겠네요.
(그럼 스킨은 .tts가 되는걸까요?)

RSS 답글: 플러그인..을 브라우저에서..

2006-04-04T14:10:08Z

BKLove 작성:

일단 최초의 FTP접속은 그렇다치더라도..
플로그인 설치정도는 그냥 [관리자]화면에서..
할수있으면 더 플러그인 활용에 좋을듯 합니다..
(이 부분은 스킨에도 마찬가지겠죠~ ^^!!)

저는 대찬성입니다.
(사실 플러그인 새 버전 나올때마가 업그레이드도 귀찮아요 ㅠ_ㅠ 자동 업데이트 기능도 있었으면 좋겠다고 생각중입니다. 배포기반이 centralize되어야 하기는 하겠지만요.)

구현 자체는 규칙만 정확하게 압축되어 있다면야 (플러그인 디렉토리까지 압축되어 있어야겠죠?) 그다지 어려울 것은 없을겁니다. 그런데 현재의 플러그인 설치 구조로는 인스톨 / 언인스톨 시에 php의 system함수를 사용해야 할텐데, 이 함수가 보안에 쥐약입니다. fopen으로 대체해서 압축 풀기가 가능한지는 아직 안해봐서 모르겠네요.

예전에 php로 직접 파일을 만들어 쓰거나 경로 이동하고 복사하는 프로그램을 짜야 할 일이 있었는데, 당시엔 그냥 @system함수로 긁었었더랩니다. (...)

RSS 답글: 플러그인..을 브라우저에서..

2006-04-04T08:16:02Z

BKLove님 정말 좋은 아이디어인데요.
저도 플러그인 FTP 올리고 귀찮아서 걍 놔둔게 몇개 있는데.. ^^

RSS 답글: 플러그인..을 브라우저에서..

2006-04-04T01:55:13Z

플러그인을 업로드해서 이를 코드화 하는 것이 기술적으로 가능한지에 대해서는 내부적으로 검토를 좀 해보아야 할 것 같습니다.
그러나 좋은 아이디어라고 생각합니다. 곧 답을 드리도록 하게습니다.

플러그인..을 브라우저에서..

2006-04-04T01:02:48Z

일단 일반유저들이 쉽게 적응하려면..
Telnet은 물론.. FTP까지도 접속할 필요가 없어지면 좋을듯 싶습니다.

한편 FTP접속하는 과정이 아주 간단하지만..
일반 사용자의 경우는 FTP라는 개념까지 생각해야 하므로..
(제 주위만 봐도 대부분의 사람들은 FTP라는 개념을 모릅니다^^!!)

일단 최초의 FTP접속은 그렇다치더라도..
플로그인 설치정도는 그냥 [관리자]화면에서..
할수있으면 더 플러그인 활용에 좋을듯 합니다..

(이 부분은 스킨에도 마찬가지겠죠~ ^^!!)