네이버 카페 접속 권한 헛점
site | 2006-09-03
레퍼러를 보다가 네이버 카페 페이지가 있어서 한번 방문해 봤습니다. 글 내용과 쓰신 분은 StandardMag(前 CDK)에서 이미 알고 있는 부침개(ifree1999)님이었습니다. 토의 내용을 알기 쉽게 잘 정리해 주셔서 감사했습니다. 그러다가 무슨 카페이고 무슨 글들이 있는 지가 궁금해져서 고유 링크를 눌러봤습니다. 네이버 카페와 블로그는 프레임으로 닭짓을 많이 해놔서 글마다 우측 상단에 고유링크를 따로 표기해 놨죠. 하지만 웬걸, 고유링크를 클릭하니 회원이 아니어서 글을 볼 수가 없다고 하는 군요. 회원 체크를 전체 카페 페이지에서만 하고 개별글 프레임에서는 체크를 안하고 있는 것입니다.
네이버 카페가 이런 기초적인 권한 관리도 제대로 안되어 있다는 것에 많이 놀랐습니다. 전에는 안그랬던 것 같은데 최근에 뭔가 업데이트 하면서 놓친 것일까요? 그렇다고 하더라도 웹개발자면 기본적으로 브라우저와 프레임의 성격에 대해서 어느정도는 알아야죠. 이와같은 권한 헛점은 곧 개인 정보나 사적인 정보의 유출을 의미합니다. 네이버 시스템을 믿고 사적인 공간으로 사용하고 있는 사람도 분명히 있을 텐데 그 사람들의 정보는 전혀 보호받고 있지 못하다는 것입니다.
하루라도 빨리 이 오류가 수정되기를 바랍니다.
Comments
어쩐지... 사람들이 보라고 준 네이버 카페글 링크를 타고 들어가도 못 보길래 회원 가입하래 라고 했더니 자기는 봤다고 의아해하더군요.
근데요 현석님 ^^ 태그에 직접 style 속성을 지정하지 않은 경우에는 특정 요소 객체의 style 프로퍼티를 사용해서 값을 얻어 올 수 없는 경우아닌가요?.. inline 일 경우도 못가져 오나요? 음.그건또 몰랐네 ^^
style 속성으로 inline으로 스타일을 넣을 때에만 obj.style로 가져올 수 있습니다.
네이버처럼 규모가 큰 회사의 사이트는 저런 헛점이 때때로 보입니다. 다음도 마찬가지인데 DOCTYPE이고 뭐고 그 이전에 html이 완전 엉망진창인 것도 볼 수 있ㅅ니다. (물론 네이버에서도 꽤 보입니다. 이건 단순히 사원 교육 한다고 해결될 문제가 아니죠) 네이버 블로그는 애초에 설계 자체가 잘못 되었습니다. 어떤 페이지는 euc-kr로 되어 있나 하면 어느 페이지는 ksc-1987로 되어 있기도 하고, 내부의 아이프레임 난무는 기본, 적당히 뜯어고치면서 대충 만든 흔적이 여기저기 보입니다. 한 때 거대한 아스피린 운영하던 블루문님이 이것저것 많이 지적해서 그나마 나아진 것 같더군요. 아마 앞으로도 당분간은 이런 문제는 지속되리라 봅니다. 웹표준에 관심 없고 접근성은 왜 지켜야 하는지 이전에, 기본적인 마인드가 안된 개발자들이 많으니까요.
글을 올릴 때 카페 회원만 볼 수 있도록 설정하는 옵션이 있습니다. 거기서 전체 공개로 설정한 경우 게시판은 비공개라도 글 자체는 공개이기 때문에 ArticleRead.nhn..을 통해서 들어가면 본문을 읽을 수가 있지요. 대부분의 카페에서 글 작성시 카페 회원만 볼 수 있도록 설정하기 때문에 그렇게 큰 문제일까 싶기는 합니다. 실제로 자주가는 카페 몇곳에서 테스팅을 해봤는데, 팝업창 뜨면서 막히던데요?
방금 테스트를 조금 해보니까, 네이버 검색을 통해서 카페 게시물이 결과로 나왔을 땐 그게 읽히더군요. 그래서 목록으로 간 다음 임의의 글의 해당 id 숫자만 바꿔서 접속하니 가입을 요구했습니다. 즉.. 이건 네이버 검색 결과로 나온 글을 가입하지 않더라도 읽을 수 있게 하기 위한 조치인 듯 하군요. 위의 게시도 id를 바꾸면 읽어지지 않는 걸로 보아 특정 글만 공개되는 방법을 쓰고 있는 것 같습니다. (아니면 위에 분 얘기대로 저 글만 전체 공개라던가) nhn확장자로 된 것과 cafe확장자로 된 읽는 방식으로 나뉜 듯 한데 내부 구조가 어떻게 된건지는 모르겠군요. 좀 더 확실하게 하기 위해선 몇 가지 테스트를 더해봐야 할 듯 합니다. 어쩌면 단순히 보안 문제가 아닐 수도 있겠군요.
p.s 똑같은 글의 링크를 새 창을 띄워서 접근하니 가입 요구 창이 뜨는 걸로 보아, 아무래도 리퍼러 체크나 쿠키 체크를 하는 듯 싶습니다. 두 창을 비교하니 쿠키값 중 NAVER_ID_SAVED라는 항목과 세션 값이 다르더군요. (리퍼러는 넣기 귀찮아서..; wget 등으로 옵션 줘서 테스트 해보면 더 확실할 듯 하군요)
ㅂㄹ님 글을 보니 단순히 개발 버그는 아니군요. 소위 말하는 "꼬였다."라는 현상이랄까요? 카페는 멤버에게만 공개되는데 설정에 따라서 개별 글은 프레임 링크로 들어가면 멤버가 아니어도 볼 수 있다는 것은 분명히 논란의 소지가 있군요. 이런건 기획 잘못이겠죠?