아직 로그인하지 않았습니다. 로그인 또는 회원 등록을 해 주시기 바랍니다.
TNF : Tatter Network Foundation forum » gendoh가 작성한 글
아아 그거로구나... 그러니까 블로그아이디-글번호 이런 형식이었군요.
감사합니다.!!
저 형식은 그날 기분따라 변경 될 수 있으므로;;; -ㅅ-
글의 ID는 글만 찾을 수 있으면 되기 때문에 어떠한 가정도 하지 마시기 바랍니다. 가령 일부 BlogAPI를 지원하는 툴들은 숫자로만 되어 있을거다라거나, 글 주소와의 연관성이 있을꺼다라고 가정하는데 스펙을 보면 전혀 그런거 없습니다.
http://www.sixapart.com/developers/xmlr … tpost.html
오히려 너무 험블하죠.
postid가 Tatter의 ID와 일치하지는 않습니다.
생성시 혹은 리스트 받아와서 작업하셔야 합니다.
또한 ID는 스트링 타입이어야 합니다.
"{$BlogID}-{$PostId}" 형태로 기억이 되는군요. (가물가물 @.@; )
다행히 에러 메세지가 notice들이라서 이렇게 하시면 동작에 문제는 발생하지 않을 것입니다.:)
버럭!
저런것들이 오동작의 주범들입니다. -ㅅ-
군데군데의 문제로 새 스킨 시스템의 필요성은 계속 지적되어 왔습니다만...
호환성 결여를 뛰어넘을 장점을 갖춘 스킨시스템이 나와줘야 한다는 압박이 
인기 블로거가 되신것을 축하드립니다. -ㅅ-
스패머의 스팸대상 리스트의 앞단에 계신 분들은 이런 피해가;;;; 이번에 악질 한놈이 있는데 계속 이놈한테 받고 계신듯 하군요. 보통은 일정 시간 이후엔 리스트에서 뒤로 밀려서 조용해 지긴 하지만.
.htaccess의 내용이 필요하겠군요.
한글 퍼머링크를 .htaccess에서 제어하도록 되어 있습니다만 해당 루틴을 타지 못하는 것 같은데요.
php의 특성중 하나라면 변수의 타입이 모호한 Loosely Type-binding 형태를 사용한다는 것입니다. "1"과 true와 1을 정확히 구분하기 어려울 때가 많습니다. 더구나 정수형 변수가 올것이라고 생각하였으나 스트링이 오고 이것이 자동 타입 변화에 따라 처리되므로 정수형일때와 동일하게 흐름을 가질 수 있습니다.
어떻게 보면 작성할때는 편하지만 잘못된 인풋임에도 스무스하게 체크루틴들을 피해갈 수 있는 것이죠. 방법으로는 타이트하게 값을 검사할 수도 있지만 이미 작성된 코드의 양도 많고 해서 트릭을 사용한 것입니다.
보안적인 검사를 위하여 크게 두가지 방식을 사용합니다. 첫번째는 위에서 나온 IV입니다. Input Validation을 제공함으로써 일종의 Strict Type-Binding으로 유도를 하는 것이죠. 페이지 작성자가 들어오는 값에 대한 타입 예상을 기술하면 그 타입이 아닌 인풋은 모두 제거됩니다. 한가지 맹점은 해당 IV 기술에 있어서 대충대충 해 버리면 여전히 기존의 보안정도와 큰 차이가 없습니다. 그래서 좀더 명확히 적어야 하고 개발자 디펜던시가 좀 있는 편입니다.
다른 접근은, 일부 중요하다고 생각되는 작업을 하는 함수들은 자체적으로 타입체크를 한번 더 하도록 되어 있습니다. 해커의 공격 뿐만이 아니라 내부의 버그로 인해 사용자의 데이터가 심각하게 훼손되는 것을 최대한 막기 위한 접근이죠. 디비 쿼리를 사용하는 오퍼레이션의 경우 가능하면 말단에서 쿼리를 직접 작성하지 말고 lib이나 콤포넌트로 집중시키고 자동으로 escaping을 수행하는 안전한 함수를 이용하도록 유도하는 것도 내부의 버그에 대한 영향을 최소화 하기 위함입니다.
태터 코드의 경우 소스가 공개되어 있고 설치되는 환경이 다양하거나, 또 많은 개발자들이 소스를 커밋한다는 특성에 PHP의 장점이자 단점인 부분들을 보안하고자 저런 트릭들을 사용중입니다.
뭐 결국은 플러그인 적용 순서 문제죠.
겉으로 들어나는 문제로 이번에 발견되었습니다만 기존 이벤트도 가끔 순서 지정이 필요하기도 하였습니다.
음.... 먼산 -ㅅ-
뭐 블로그 문화적인 측면에서야 찬반이 생기겠지만, 시스템적으로야 많은 사람이 원하는 기능으로 생각할 수도 있죠.
BOM이 앞에 붙어 있거나, UTF-8 디텍션하는 무엇인가가 삽질중이거나...
A 포스트에 이미지 a, b를 포함하여 저장 후 공개한 후, A의 draft인 A'를 만들어 a, b를 삭제하면 A의 a, b가 출력되지 않습니다. 이미지를 찾을 수 없다는 에러 메세지가 뜹니다. 진정한 temp 파일이라고 볼 수 없는데요. draft 파일을 리소스까지 완전히 독립시키는 것이 어떨까요?
사실 완벽한 temp 파일이 아니게 디자인 되어 있습니다.
오픈 하는 순간 모든 리소스파일을 복사해야 한다는 압박이라던가, 드래프트가 있는 상황에서 원본을 열었을 때 등등등, 해결해야 하는 산이 좀 있죠. 더구나 파일이 외부링크로 연결된 적이 있는 경우 저장시 모두 변경되기도 합니다.
기능 개선으로 건의하셨으나 머리속으로 대충 계산 돌려 본 결과로는 블로그의 핵심이라고 할 수 있는 글 관련 기능이 전면 새로 작업되어야 할 것 같군요. 특히 기존의 글들이 가지던 암묵적인(?) 속성들이 많이 변화되기 때문에 새로운 시스템으로 봐야 할 것 같습니다.
비스타를 쓰고 있는데.. 서비스 팩 1이 내년으로 넘어가거나 나왔는데 여전히 이러면 맥북 하나 질러야 할지도 모르겠습니다. -ㅅ-
비스타는 ME처럼 되나는 기사들도 본 것 같네요. NT 커널 기반에서 어떻게 이렇게 불안한지 모르겠습니다.
레오파드가 한글 입력기 문제를 완벽히 해결한다면 또 상황은 알 수 없는..
항상 지내들 문자만 입력해 보고 잘된다고 우기는 양키들이 미워욧.
EAS+인가 하는 놈도 있고 플러그인이 리스트를 가지려면 테이블을 가져야 하는데 이 데이터는 백업 대상도 아니고 등등등 해서
필터링 기능에 화이트 리스트 기능을 넣는 편이 좋을 것 같네요.
EolinBmVote 에 탑마진 주는건 안될까요;;
플러그인에서 일부러 클래스 지정해서 출력하는 것으로 알고 있습니다. 스킨에 따라, 혹은 손대고 싶을 때 개조용으로.
Tistory의 BlogAPI 구현상 특징으로 자신의 멀티 블로그중 API 사용으로 셋팅된 모든 블로그를 사용할 수 있도록 되어 있습니다.
정보 노출과 관련해서는, API가 활성화 된 블로그만 알려지며, 정보를 보기 위해선 반드시 ID와 패스워드가 필요합니다. 즉 사용자가 ID와 패스워드를 알려준 곳에서만 알 수 있습니다. 다른 서비스에 함부로 알려준 케이스는 아니고 사용자가 허락한 곳에만 알려지는 개념입니다. (반대로 믿을 수 있는 서비스만 사용하셔야 겠지요)
멀티 블로그에 대해 제대로 처리 안되는 것은 티스토리처럼 멀티 블로그가 되는 경우가 드물어서 그렇다고 할 수 있습니다. 많은 서비스나 프로그램들이 멀티 블로그를 만나면 그냥 임의의 블로그로 보내는 경우가 있습니다. 잘못 구현되었다고 보기는 힘들고 그냥 처리되는 경우가 제한되어 있다고 보면 되겠습니다.
관련해서는 해당 서비스쪽으로 기능 개선을 요구하시면 될 것 같습니다.
참고.
urlencode의 경우에도 정답이 아닌것이, 가끔 mbstring같은 놈이 특정 케릭터를 만나면 가볍게 깨줍니다. 바보아냐?라는 생각이 가끔 듭니다만, 그리고 태터의 UTF-8 관련 코드가 왜 생겼고 제공 함수를 쓰지 않은 것이 연관되어 있는 문제입니다만, 양키들은 CJK권에서 제대로 테스트를 안하더군요. 자기가 처리 못할걸 괜히 인식해서 뽀개줍니다.
특정버전, 특정환경의 mysql_escape_string이 한글에 역슬래시 넣어주는 테러도 비슷한 예입니다.
티스토리 기획은 두분이 실제로 전담을 하고 있습니다. 물론 그분들만 하는 것은 아니지만 책임지고 있다 정도로 보시면 되겠습니다. 운영진 개념하고는 약간 다릅니다. 가령 문제가 발생하면 그분들의 지시로 개발자들이 움직이던가 그런 식입니다.
그리고 한분의 블로그가 없는 것은 사실입니다.(있긴 한데 정상적인 블로그가;;) 매일 구박하고는 있습니다.
나름 입사 순서대로 즉각즉각 업데이트 되고 있는 페이지입니다.
(gendoh님, 설명 고맙습니다 - 뒷부분의 고급 설정은 저한테 거의 외계어로 보이네요 ^_^ )
메뉴얼 쓸때 항상 고민되는 부분이죠. 매우 자세하게 쓰면 쓸수록 사용자들은 점점 외계어로 보이게 되는;;;;
사실 그런 이유로 태터 setup에서는 대충 대충 퍼미션을 제시해 주고 있습니다.(물론 그래도 어렵지만 -ㅅ-)
티스토리 기본 스킨들도 일부 해당 문제가 있어서 ol, li에 대한 스타일을 추가하는 패치를 하였습니다.
기본 스킨들도 수정을 포함하여 스킨 커뮤니티에 ol, ul, li, h3~h6(h1,h2는 블로그, 글 제목용) quote 등등에 대한 스타일 포함 작업을 부탁드려야 겠죠. 이미 어느정도 진행은 되고 있습니다.
쉘(이름하여 telnet이나 ssh로 접근)에서 수정하셔야 할것입니다. FTP는 보안 설정에 따라 777을 허용하지 않습니다. 태터가 설치된 폴더에서 "chmod 777 . skin attach"를 수행하는 것이 일반적입니다.
최초 설치시에 루트와 skin/customize, attach 폴더가 777이거나 Apache 서비스 계정에게 권한이 있어야 합니다. 보통 setup.php에서 어디어디 권한 없음 이라고 하는 부분들을 풀어주는게 일반인에게는 편합니다.
사실 config.php를 직접 작성할 수 있다면 "skin/customize"와 "attach"폴더만 777이면 되고 루트 권한이 있다면 해당 폴더를 755로 만든 후 apache에게 권한을 넘겨주는 고급 설정법도 있습니다.
그래도 나름 좋은점도 있는 치환자 시스템입니다. -ㅅ-
인자를 받게 되는 것에 관련하여 지금까지 받은 인풋들은, 코더들은 매우 절실히 필요하다이고 디자이너들은 그런거 모르셈.. 인듯 합니다. 저도 코더에 가까운지라 인자가 필요해~~ 하지만 디자이너들은 그렇게 하면 복잡하셈~~ 식으로요.
현재까지의 저의 생각은 치환자로 모든 것을 해결하려 하지 말자입니다.
회사에서 짤리면 TTAPI로 에디터 만들면서 소일거리나;;;;
통신사가 자료를 싹 닫아 놓은 상황이라,
뭐 코끼리 다리 만지듯 할 수는 있습니다만 힘들것으로 보입니다. 그와중에 WML이라니;;;
(S사, L사 동일. K사는 KHTML을 쓰는데 html 대충 던져도 호환 되더군요.)
해당 작업 해 보신분이 뛰어 드신다면 금방 하실지도요.
TNF : Tatter Network Foundation forum » gendoh가 작성한 글
니들웍스