원격 블로깅 혹은 메타웹를로그 등으로 알려진 블로그 API를 이용한 글 올리기/수정 기능은 기본적으로 원격지에 자신의 암호를 넣어야합니다. 그것도 일반 텍스트로 넣어야하지요. 현재 MetaWeblogAPI나 MovableType등의 그 뿌리가 같은 xml-rpc류에는 일회용 암호를 제공하는 기능이 없습니다.
음, BlogAPI 에서 사용될 수 있는 암호를 추가하는 것은 어떨까요?
xml-rpc 류... 는 HTTP 위에서 동작을 합니다. 따라서 HTTP 가 가지고 있는 문제점을 xml-rpc 가 물려받은 것입니다. plain/text 로 비밀번호를 전송하는 것 또한 HTTP 의 문제이며,
일반적인 방법으로 사용자가 웹브라우저를 통해서 홈페이지에 로그인을 한다면, 이때 HTTP를 쓰게됩니다. 즉, xml-rpc 류 뿐만 아니라, 그냥 웹브라우저를 사용할때에도 이와 같은 비밀번호 노출은 문제가 됩니다. 물론 세션이니, HTTPS 니 해서... 이러한 비밀번호나 정보의 보안을 높일 수 있습니다.
xml-rpc 류의 보안 문제는 일반 HTTP 류의 보안문제와 동일하다고 봅니다.
xml-rpc 류의 보안을 문제삼을 것이 아니라, 먼저 HTTP 의 보안 문제를 문제삼아야한다고 생각을 합니다.
xml-rpc 류에서 이런 보안적인 문제는 HTTPS 위에서 동작을 하도록 변경을 하면 된다고 생각을 합니다.
국내에서 대표적인 예를 들면 이글루스라고 볼 수 있죠.
xml-rpc 를 HTTP 에서 동작을 시키면 ... 여러가지로 말이 많을 테니... HTTPS 로 동작을 시킨 것이 아닌가 짐작을 해 봅니다.
(사실 개인적인 생각으로는 이글루스가 HTTP 에서 HTTPS 로 변경한 것은 중간의 게이트웨이 역활을 하는 사이트 때문이지 않나 싶습니다. 어떤 경우는 클라이언트가 곧바로 서버에 접속을 하지않고, 중간 노드를 한번 거치게되는데, 여기 중간 노드에서.... 장난을 치지 않을까 하는 것을 염려해서라고 생각을 합니다... 말이 길어지네요...)
기본 프로토콜을 변경하는 것은 사실 쉽지가 않다고 생각을 합니다.
클라이언트가 아이디/비번을 전송할 때, 안전하지 못하다는 것은,
웹브라우저로 글을 슬때 엮시 안전하지 못하다는 것이라 생각을합니다. (물론 처음 로그인할때에만 정보를 전송하고 나머지는 세션화 하겠지만,)
이 문제는 xml-rpc 류 계층(단계)에서 처리를 해야할 문제는 아니라 생각을 합니다.
사실, HTTP의 문제는 어쩔 수 없다 손 치더라도, 예를 들면, BlogAPI를 이용하는 원격 블로깅쿨이 외부 웹사이트일때, 즉, 구글 도큐먼트의 블로그 포스팅이나 알라딘의 ThankToBlogger 서비스나, Me2Day의 한 줄 로그를 블로그에 새벽마다 실어 나르는 기능 등은 모두 블로그 ID 와 비밀번호를 그 사이트에 저장해야 가능한 일입니다. 자신의 홈페이지의 모든 권한을 그 사이트에 알려주는 일이 아닌 단지 포스팅을 위한 것만 저장하는 것인데, 약간 위험하지요.
저는 이런 것들을 염두에 두고 태터의 MetaWeblog API접속을 전용 비번으로 하는 것이 어떤가 싶어서 입니다.
TTB 와 같이 블로그 ID,PW 를 자체적으로 보관하는 사이트들이 가장 큰 문제라고 생각을 합니다.
물론 믿을 수 있는 사이트라면 모르겠지만, 그래도 ID,PW 가 유출될 수 있으며, 또는 악의적인 목적으로 블로깅 툴 역활을 하는 유사성 사이트를 만들어 사용자의 ID,PW 정보를 요구하는 경우가 발생한다는데 있겠죠.
운영체제에서 직접적으로 실행되는 컴파일된 어플리케이션에서는 ID,PW 를 text 형태로 전송을 한다고 해도 크게 문제되지는 않을 것이라 생각을 합니다.
하지만 이런 중간에서 블로깅을 해주게하는 사이트들이 크게 문제가 되지요.
그렇다고 모든 블로그 사이트에서 API 서비스를 위해서 HTTPS 를 적용할 수도 없고, ...
API 를 위한 별도의 비밀번호를 관리하게 하는 것(또는 사용하게 하는 것) 엮시 사용자들에게 부담이 될 것 같구요.
쉽지가 않네요. 무엇보다 첫째는 사용자들에게 대한 경고가 아닐까 생각을 합니다. 자신이 무엇을 하는지 정확히 알지 못하면 블로그 ID, PW 를 다른 곳에 기재하지 말라구요...
안녕하십니까. 문의가 있어서 글을 씁니다. 티스토리 포럼에는 가입이 안되는것 같아서..
BlogAPI와 관련이 있는 질문인지는 모르겠지만, 저희 회사에서 테터툴즈를 이용해서 개발 관련 이메일을 정리하고자합니다. 많은 이메일이 오가고 있지만, 이를 각 개인이 메일로 저장하기 때문에 관리가 되지 않습니다. 그래서 한 개인이 메일을 특정 계정으로 보내면 이 메일 내용을 테터툴즈의 한 글 목록으로 등록했으면 합니다. 그리고 테터툴즈에서 글을 올리면 그 내용이 이메일로 특정 사람들에게 전달이 되고..
요는 테터툴즈에 글을 올리는 작업은 이메일로 하고, 오가는 이메일들을 테터툴즈에서 보관/관리할수 있게 하길 원하는것입니다만..가능한지요..
혹시 답변이 가능하시다면, ivykim63@paran.com으로 메일주시면 감사하겠습니다.
번거롭게 해드려서 죄송합니다..웹을 잘 몰라서..
Zoundry에서는 Homepage만을 입력함으로 자동으로 xmlrpc 경로를 인식할 수 있습니다.
기능:
1. Blogger API
2. MetaWeblog API
3. 테스트된 클라이언트: writely.com, zoundry, performancing
4. RSD(Really Simple Discovery) 지원
5. ID 를 URL에 넣어 전달 가능
http://YOURDOMAIN/<TT-installpath>/plugin/BlogAPI?id=your@email.com
6. Semagic의 경우 ID가 15자를 넘으면 지원하지 않습니다. 이경우 다음과 Semagic의 File/Server settings에
Path 를 다음과 같이 사용하세요.
/<TT-installpath>/plugin/BlogAPI?id=your@email.com
그리고 Username 은 아무거나 넣어 주시고, API는 MetaWeblog를 사용하시면 됩니다.
Versions:
----------------------------------------------------------------------------
* Version 0.9.10 (2006-09-23):
+ Fix
- Aladdin의 Thanks to blogger를 이용한 포스팅은 기본 카테고리를 "Aladdin"으로 설정해 오는데,
카테고리가 없을 경우 오류가 나는 것을 카테고리 없는 것으로 동작하도록 변경
안녕하세요?
만들어 주신 BlogAPI를 이용하여 로컬에서 포스팅 하는 것을 하고 있습니다.
tatter 는 다중사용자로 설정했습니다.
그런데 이미지 파일을 Metaweblog.newMediaObject를 이용하여 파일을 올리면 응답으로 오는 경로가 http://<domain>/<t ··· name.jpg
이렇게 되는데 실제로 포스팅된 곳에서는 그림이 않보이게 됩니다.
파일이 실제로 올라간것도 확이하였습니다.
일단 만들어주신것에 감사. ^^
플러그인을 설치하고 www.writely.com을 테스트해보았습니다.
writely는 블로그로 원격 블로깅을 지원하고 있습니다.
그런데, Blogger API로 설정하고하면 포스팅은 되는데, writely의 내용이 Post의 제목으로 들어가고..
MetaWeblog API로 설정하고 하면 포스팅 자체가 안됩니다.
혹시 제가 사용법이 잘못된거면 알려주시고, 아니라면 한번 테스트해봐주세요. ^^
userid가 mandatory였나요? 혹.. 없어서 오동작하는 블로깅 툴이 있다면 알려주셔요..
다음 릴리즈에는 로긴 주소를 넣도록 해야겠군요.
그리고.....
게시물 하나를 나타내는데 그것이 포함된 것만 나오지 않나요?
struct안에 struct가 포함되어 있다는 것도 보여주신 예하고 어떻게 매치 되는지 잘 설명이 와닿지 않습니다..
그리고.. content와 description... 저도 이것이 상당량 트래픽을 유발할 수 있음을 알 고 있습니다. 근데 이건 firefox의 performancing 때문에 삽질한 흔적입니다. 그놈이 content를 인식하기 때문에 넣었던 것 같습니다. 한 번 더 확인해보고 빼도록 하지요. 자세한 테스트와 패킷 분석 감사드립니다. 계속... 피드백 주셔용...
metaWeblog.getRecentPosts 에서 userid 값을 클라이언트로 전송하는 것이 mandatory 인가라고 물어주셨는데, 필수라고 판단이됩니다.
뭐, ... userid 값 없어도 대부분의 클라이언트에서 에러 안내고 데이터를 잘 표현합니다.
표준 문서 엮시 ... 이래라 저래라 잔소리가 없구요.
xmlrpc.com 이 표준 문서를 다루는 곳 맞죠?
http://www.xmlrpc.com/metaWeblogApi
에 보시면, 표준 request, response 의 예가 getPost 의 응/답으로 나와 있습니다.
metaWeblog.getRecentPosts 의 개개의 게시물 내용이 한개의 getPost 응답 내용과 같다고 하니, getPost 에 userid 가 포함이 된다면,
metaWeblog.getRecentPosts 의 개개의 게시물에 userid 값이 포함되는 것이 올바른 것 같습니다. ... 물론... 언뜻 생각하기에... 왜 이렇게 중복 값을 넣어야하는지 이해가 잘 되지 않습니다.
실제로 많은 (대형) 블로그 서비스 없체에서 metaWeblog.getRecentPosts 응답으로 개개의 게시물(블로그 내용)에 userid 를 포함해서 리턴합니다.
blogID가 0.9 버전에는 없지만, 1.1 버전에는 있습니다. blog id 개념으로 구별되는 것이 아니고, 사용자 ID로 구별이 가능하기 때문에 현재는 중요하게 구별하지 않고 있습니다. 만약 태터툴즈가 하나의 블로그에 여럿이 접근하는 것이 가능할 경우 좀더 고민해야겠습니다.
안녕하세요.
블로그api 중에 newMediaObject 라는 항목이 있는데
이것이 티스토리에서는 6메가이상 까지는 post, 즉 전송이 되고 리턴 URL을 받습니다.
그런데 개인서버에 설치한 태터에서는 2메가 미만 정도밖에 전송이 되지 않습니다.
그 이상은 리턴 URL을 받지 못합니다.
왜 이러는 걸까요?
서버설정에 문제가 있나요? php.ini에서 최대 업로드사이즈는 10M로 셋팅되어 있어서 그냥 태터 관리자페이지 첨부파일 업로드에서는 7~8메가 이상 올라갑니다.
무엇이 잘못된 것일까요?
도움 주시면 감사하겠습니다. ^^
안녕하세요.. 예전에 Tatterhome이용하다가 이번에 Tistory로 옮겼습니다. Tatterhome에서 예전에 tattertools 백업 받아 놓은 것이 있었는데.. 최신 내용은 미처 백업을 받지 못했는데..Tatterhome에는 이제 접속이 안되는군요.
이전에 백업받아 놓은 것까지는 Tistory에 다시 올렸고, 예전 내용을 제가 Writely.com에 옮겨 놓았습니다.
Writely.com에 있는 걸 BlogAPI를 이용해서 Tistory에 올리기 위해서는 어떻게 해야 하나요?
제가 서버를 운영하는 게 아니니까.. Tistory에서 뭔가 해줘야 하는건가요?
혹시 방법을 아시면 알려 주시면 감사하겠습니다.
안녕하세요. 정말 컴맹이어서....알라딘 ttb를 하려고 들어갔더니, 태터툴즈 이용하는 사람은 최호진님 블로그에서 블로그API 플러그인을 설치하라고 되어있길래 가장 위에 있는 것을 다운받았습니다. 그게 맞나요? 태터에 들어가서 '사용중'으로 켜놓는 것까진 했는데 그 담에 어케하는지를 몰겠네요....좌우간 제가 맞게 다운받은 건가요?
태터툴즈의 위지윅에디터에서는 훌륭한 인터페이스로 그림등을 첨부할 수 있다. 그 절차를 잘 살펴 보면,
멋있는 글 작성
예쁜 그림 추가
완료 버튼
예쁜 그림의 소속을 멋있는 글 소속으로 DB 갱신
MetaWeblog API는 두 단계로 호출이 일어나는데,
좋은 툴로 멋있는 글을 작성후 예쁜 그림 추가.
포스트 버튼을 누름
예쁜 그림을 전송한 뒤 그 그림에 할당되는 새로운 URL 받음
멋있는 글 내부를 예쁜 그림의 새 URL로 바꾸어 전송
이러다 보니, 예쁜 그림의 소속이 어딘지 알 수 있는 방법이 없어지게 된다. 0.9.7까지에서 사용한 방법은 이러했다.
좋은 툴로 멋있는 글을 작성후 예쁜 그림 추가.
포스트 버튼을 누름
예쁜 그림을 전송한 뒤 그 그림에 할당되는 새로운 URL 뒷 부분에 "?__preview__{주인,소속}" 을 추가.
멋있는 글 내부를 예쁜 그림의 새 URL로 바꾸어 전송.
API에서는 "?__preview__{...}" 를 찾아서 그림의 소속을 갱신
본문에서는 "?__preview__{...}"를 제거하여 DB에 넣음.
대개 "?" 앞까지만 인식하여 처리하기 때문에 안보이는 문제는 없게된다. 자, 여기까지 생각하면 문제가 없을 것 같은데, 그것이 그렇지 않다. 저 좋은 툴로 수정하여 올릴 경우, 그림이 또 전송된다. 그러면 새로운 URL이 만들어지는 작업이 일어나고, 이전 그림은 소속은 유지되지만, 문서상에서 링크를 잃게 된다.
따라서, 원래 MetaWeblog api의 취지인, 같은 이름의 파일이 전송될 경우 이전 것을 대치한다는 원칙을 그대로 준수하여 그림의 md5 값을 구해서 파일 이름으로 삼고, 한 번 올라온 그림이 다시 올라오는지를 확인하고 삭제하도록 하였다. 이렇게 되면 같은 그림을 두 번 올리는 일이 발생할 경우 이전 것을 대치하므로 잃어버린 링크를 가진 그림은 없게 된다. 다만, 사용자는 같은 그림을 두 개의 글에 올릴 수는 없게 된다.
krb5에서 쓰는 것처럼 ticket을 끊어서 쓰는 것은 어떨까요?
그게 블로깅 툴의 프로토콜은 바꿀 수가 없는 것이라서, 꽁수가 필요합니다.
xml-rpc 류... 는 HTTP 위에서 동작을 합니다. 따라서 HTTP 가 가지고 있는 문제점을 xml-rpc 가 물려받은 것입니다. plain/text 로 비밀번호를 전송하는 것 또한 HTTP 의 문제이며,
일반적인 방법으로 사용자가 웹브라우저를 통해서 홈페이지에 로그인을 한다면, 이때 HTTP를 쓰게됩니다. 즉, xml-rpc 류 뿐만 아니라, 그냥 웹브라우저를 사용할때에도 이와 같은 비밀번호 노출은 문제가 됩니다. 물론 세션이니, HTTPS 니 해서... 이러한 비밀번호나 정보의 보안을 높일 수 있습니다.
xml-rpc 류의 보안 문제는 일반 HTTP 류의 보안문제와 동일하다고 봅니다.
xml-rpc 류의 보안을 문제삼을 것이 아니라, 먼저 HTTP 의 보안 문제를 문제삼아야한다고 생각을 합니다.
xml-rpc 류에서 이런 보안적인 문제는 HTTPS 위에서 동작을 하도록 변경을 하면 된다고 생각을 합니다.
국내에서 대표적인 예를 들면 이글루스라고 볼 수 있죠.
xml-rpc 를 HTTP 에서 동작을 시키면 ... 여러가지로 말이 많을 테니... HTTPS 로 동작을 시킨 것이 아닌가 짐작을 해 봅니다.
(사실 개인적인 생각으로는 이글루스가 HTTP 에서 HTTPS 로 변경한 것은 중간의 게이트웨이 역활을 하는 사이트 때문이지 않나 싶습니다. 어떤 경우는 클라이언트가 곧바로 서버에 접속을 하지않고, 중간 노드를 한번 거치게되는데, 여기 중간 노드에서.... 장난을 치지 않을까 하는 것을 염려해서라고 생각을 합니다... 말이 길어지네요...)
기본 프로토콜을 변경하는 것은 사실 쉽지가 않다고 생각을 합니다.
클라이언트가 아이디/비번을 전송할 때, 안전하지 못하다는 것은,
웹브라우저로 글을 슬때 엮시 안전하지 못하다는 것이라 생각을합니다. (물론 처음 로그인할때에만 정보를 전송하고 나머지는 세션화 하겠지만,)
이 문제는 xml-rpc 류 계층(단계)에서 처리를 해야할 문제는 아니라 생각을 합니다.
사실, HTTP의 문제는 어쩔 수 없다 손 치더라도, 예를 들면, BlogAPI를 이용하는 원격 블로깅쿨이 외부 웹사이트일때, 즉, 구글 도큐먼트의 블로그 포스팅이나 알라딘의 ThankToBlogger 서비스나, Me2Day의 한 줄 로그를 블로그에 새벽마다 실어 나르는 기능 등은 모두 블로그 ID 와 비밀번호를 그 사이트에 저장해야 가능한 일입니다. 자신의 홈페이지의 모든 권한을 그 사이트에 알려주는 일이 아닌 단지 포스팅을 위한 것만 저장하는 것인데, 약간 위험하지요.
저는 이런 것들을 염두에 두고 태터의 MetaWeblog API접속을 전용 비번으로 하는 것이 어떤가 싶어서 입니다.
TTB 와 같이 블로그 ID,PW 를 자체적으로 보관하는 사이트들이 가장 큰 문제라고 생각을 합니다.
물론 믿을 수 있는 사이트라면 모르겠지만, 그래도 ID,PW 가 유출될 수 있으며, 또는 악의적인 목적으로 블로깅 툴 역활을 하는 유사성 사이트를 만들어 사용자의 ID,PW 정보를 요구하는 경우가 발생한다는데 있겠죠.
운영체제에서 직접적으로 실행되는 컴파일된 어플리케이션에서는 ID,PW 를 text 형태로 전송을 한다고 해도 크게 문제되지는 않을 것이라 생각을 합니다.
하지만 이런 중간에서 블로깅을 해주게하는 사이트들이 크게 문제가 되지요.
그렇다고 모든 블로그 사이트에서 API 서비스를 위해서 HTTPS 를 적용할 수도 없고, ...
API 를 위한 별도의 비밀번호를 관리하게 하는 것(또는 사용하게 하는 것) 엮시 사용자들에게 부담이 될 것 같구요.
쉽지가 않네요. 무엇보다 첫째는 사용자들에게 대한 경고가 아닐까 생각을 합니다. 자신이 무엇을 하는지 정확히 알지 못하면 블로그 ID, PW 를 다른 곳에 기재하지 말라구요...
키를 이용하는 서비스들이 있습니다. 미투데이에서 blogger api를 이용할 때도 몇몇 서비스는 암호 대신 키를 사용하였죠.
네.. 바꿔야 될 것 같습니다.
현재 이 기능은 textcube 1.5에 구현되어 있습니다. BlogAPI 용 키를 따로 발급하게 됩니다. 요것때문에, Textcube 인증 관련 코드를 바꾸었습니다.
안녕하십니까. 문의가 있어서 글을 씁니다. 티스토리 포럼에는 가입이 안되는것 같아서..
BlogAPI와 관련이 있는 질문인지는 모르겠지만, 저희 회사에서 테터툴즈를 이용해서 개발 관련 이메일을 정리하고자합니다. 많은 이메일이 오가고 있지만, 이를 각 개인이 메일로 저장하기 때문에 관리가 되지 않습니다. 그래서 한 개인이 메일을 특정 계정으로 보내면 이 메일 내용을 테터툴즈의 한 글 목록으로 등록했으면 합니다. 그리고 테터툴즈에서 글을 올리면 그 내용이 이메일로 특정 사람들에게 전달이 되고..
요는 테터툴즈에 글을 올리는 작업은 이메일로 하고, 오가는 이메일들을 테터툴즈에서 보관/관리할수 있게 하길 원하는것입니다만..가능한지요..
혹시 답변이 가능하시다면, ivykim63@paran.com으로 메일주시면 감사하겠습니다.
번거롭게 해드려서 죄송합니다..웹을 잘 몰라서..