원격 블로깅 혹은 메타웹를로그 등으로 알려진 블로그 API를 이용한 글 올리기/수정 기능은 기본적으로 원격지에 자신의 암호를 넣어야합니다. 그것도 일반 텍스트로 넣어야하지요. 현재 MetaWeblogAPI나 MovableType등의 그 뿌리가 같은 xml-rpc류에는 일회용 암호를 제공하는 기능이 없습니다. 음, BlogAPI 에서 사용될 수 있는 암호를 추가하는 것은 어떨까요?
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
  1. tolkien 2007.03.24 10:59 신고

    krb5에서 쓰는 것처럼 ticket을 끊어서 쓰는 것은 어떨까요?

    • 최호진 2007.03.24 15:53 신고

      그게 블로깅 툴의 프로토콜은 바꿀 수가 없는 것이라서, 꽁수가 필요합니다.

  2. 카이 2007.03.25 06:43 신고

    xml-rpc 류... 는 HTTP 위에서 동작을 합니다. 따라서 HTTP 가 가지고 있는 문제점을 xml-rpc 가 물려받은 것입니다. plain/text 로 비밀번호를 전송하는 것 또한 HTTP 의 문제이며,

    일반적인 방법으로 사용자가 웹브라우저를 통해서 홈페이지에 로그인을 한다면, 이때 HTTP를 쓰게됩니다. 즉, xml-rpc 류 뿐만 아니라, 그냥 웹브라우저를 사용할때에도 이와 같은 비밀번호 노출은 문제가 됩니다. 물론 세션이니, HTTPS 니 해서... 이러한 비밀번호나 정보의 보안을 높일 수 있습니다.

    xml-rpc 류의 보안 문제는 일반 HTTP 류의 보안문제와 동일하다고 봅니다.
    xml-rpc 류의 보안을 문제삼을 것이 아니라, 먼저 HTTP 의 보안 문제를 문제삼아야한다고 생각을 합니다.

    xml-rpc 류에서 이런 보안적인 문제는 HTTPS 위에서 동작을 하도록 변경을 하면 된다고 생각을 합니다.
    국내에서 대표적인 예를 들면 이글루스라고 볼 수 있죠.
    xml-rpc 를 HTTP 에서 동작을 시키면 ... 여러가지로 말이 많을 테니... HTTPS 로 동작을 시킨 것이 아닌가 짐작을 해 봅니다.
    (사실 개인적인 생각으로는 이글루스가 HTTP 에서 HTTPS 로 변경한 것은 중간의 게이트웨이 역활을 하는 사이트 때문이지 않나 싶습니다. 어떤 경우는 클라이언트가 곧바로 서버에 접속을 하지않고, 중간 노드를 한번 거치게되는데, 여기 중간 노드에서.... 장난을 치지 않을까 하는 것을 염려해서라고 생각을 합니다... 말이 길어지네요...)

    기본 프로토콜을 변경하는 것은 사실 쉽지가 않다고 생각을 합니다.
    클라이언트가 아이디/비번을 전송할 때, 안전하지 못하다는 것은,
    웹브라우저로 글을 슬때 엮시 안전하지 못하다는 것이라 생각을합니다. (물론 처음 로그인할때에만 정보를 전송하고 나머지는 세션화 하겠지만,)
    이 문제는 xml-rpc 류 계층(단계)에서 처리를 해야할 문제는 아니라 생각을 합니다.

    • 최호진 2007.03.25 15:06 신고

      사실, HTTP의 문제는 어쩔 수 없다 손 치더라도, 예를 들면, BlogAPI를 이용하는 원격 블로깅쿨이 외부 웹사이트일때, 즉, 구글 도큐먼트의 블로그 포스팅이나 알라딘의 ThankToBlogger 서비스나, Me2Day의 한 줄 로그를 블로그에 새벽마다 실어 나르는 기능 등은 모두 블로그 ID 와 비밀번호를 그 사이트에 저장해야 가능한 일입니다. 자신의 홈페이지의 모든 권한을 그 사이트에 알려주는 일이 아닌 단지 포스팅을 위한 것만 저장하는 것인데, 약간 위험하지요.

      저는 이런 것들을 염두에 두고 태터의 MetaWeblog API접속을 전용 비번으로 하는 것이 어떤가 싶어서 입니다.

  3. 카이 2007.03.26 07:19 신고

    TTB 와 같이 블로그 ID,PW 를 자체적으로 보관하는 사이트들이 가장 큰 문제라고 생각을 합니다.
    물론 믿을 수 있는 사이트라면 모르겠지만, 그래도 ID,PW 가 유출될 수 있으며, 또는 악의적인 목적으로 블로깅 툴 역활을 하는 유사성 사이트를 만들어 사용자의 ID,PW 정보를 요구하는 경우가 발생한다는데 있겠죠.
    운영체제에서 직접적으로 실행되는 컴파일된 어플리케이션에서는 ID,PW 를 text 형태로 전송을 한다고 해도 크게 문제되지는 않을 것이라 생각을 합니다.
    하지만 이런 중간에서 블로깅을 해주게하는 사이트들이 크게 문제가 되지요.
    그렇다고 모든 블로그 사이트에서 API 서비스를 위해서 HTTPS 를 적용할 수도 없고, ...

    API 를 위한 별도의 비밀번호를 관리하게 하는 것(또는 사용하게 하는 것) 엮시 사용자들에게 부담이 될 것 같구요.

    쉽지가 않네요. 무엇보다 첫째는 사용자들에게 대한 경고가 아닐까 생각을 합니다. 자신이 무엇을 하는지 정확히 알지 못하면 블로그 ID, PW 를 다른 곳에 기재하지 말라구요...

  4. CN 2007.03.30 18:04 신고

    키를 이용하는 서비스들이 있습니다. 미투데이에서 blogger api를 이용할 때도 몇몇 서비스는 암호 대신 키를 사용하였죠.

  5. 최호진 2007.04.03 11:37 신고

    네.. 바꿔야 될 것 같습니다.

  6. 최호진 2007.08.28 10:54 신고

    현재 이 기능은 textcube 1.5에 구현되어 있습니다. BlogAPI 용 키를 따로 발급하게 됩니다. 요것때문에, Textcube 인증 관련 코드를 바꾸었습니다.

  7. ibkim63 2007.09.19 11:46 신고

    안녕하십니까. 문의가 있어서 글을 씁니다. 티스토리 포럼에는 가입이 안되는것 같아서..
    BlogAPI와 관련이 있는 질문인지는 모르겠지만, 저희 회사에서 테터툴즈를 이용해서 개발 관련 이메일을 정리하고자합니다. 많은 이메일이 오가고 있지만, 이를 각 개인이 메일로 저장하기 때문에 관리가 되지 않습니다. 그래서 한 개인이 메일을 특정 계정으로 보내면 이 메일 내용을 테터툴즈의 한 글 목록으로 등록했으면 합니다. 그리고 테터툴즈에서 글을 올리면 그 내용이 이메일로 특정 사람들에게 전달이 되고..
    요는 테터툴즈에 글을 올리는 작업은 이메일로 하고, 오가는 이메일들을 테터툴즈에서 보관/관리할수 있게 하길 원하는것입니다만..가능한지요..
    혹시 답변이 가능하시다면, ivykim63@paran.com으로 메일주시면 감사하겠습니다.
    번거롭게 해드려서 죄송합니다..웹을 잘 몰라서..

+ Recent posts