2011년 12월말을 끝으로 디씨생활을 끝낸 NetworkSystem입니다.
늦은시간. 오늘의 유머 사이트의 보안에대해 몇가지 말하고자 오유에 가입하게되었습니다.
오늘의유머에서는 회원분들의 아이디와 비밀번호를 암호화 하지 않은상태로 DB에 보관합니다.
이번 해킹사태로 인해 DB가 해킹당하면서 유저분들의 비밀번호와 아이디가 외부에 노출되었을 가능성이 매우 큽니다.
오늘의유머가 기업이 아닌. 개인 사이트라 하더라도. 기본적인 암호화과정을 거치지 않은채로 패스워드를 DB에 보관하는것은
큰 문제라고 생각합니다.
이번 사태로 오늘의유머 회원분들은 오유와 같은 아이디와 비밀번호를 사용하는 타 사이트의 아이디와 비밀번호를 모두 변경하시는게
바람직하다고 생각됩니다. 일베의 2차적 해킹이 있을수 있습니다.
또한 오유는 얼마전까지만해도 게시글에 삽입되는 태그에대해 무방비상태로 노출되어있었습니다.
얼마전 일베에서 악성태그를 이용하여 게시글을 자동게시, 복제하도록 하는 게시글을 작성하여 크게 문제가 된 적이 있습니다.
이토록. XSS과 같은 스크립트 해킹과 쿠키수집에 대비한 강력한 필터링이 필요하다고 생각합니다.
스크립팅구문이 작동하기위해 ASDFG라는 단어가 들어가야한다면. 중간의 DF 라는 단어를 필터링을 사용하여 다른 단어로 대체함으로써
구문의 작동을 방지하는것입니다.
위 필터링은 최근 작업이 이루어져 알려져있는 스크립팅 구문이 작동하지 않지만. CSS(XSS)의 우회기법과
스크립트를 사용할 수 있는 구문들이 너무나 무궁무진하기떄문에 필터링을 완벽하게 처리하기란 불가능에 가깝다고 생각합니다.
마지막으로. 오늘의유머를 2012년부터 지금까지 눈팅하면서. 추천 반대제도로 웬만큼의 자정능력을 갖춘.
회원들간의 소통과 표현의 자유를 최대한 존중해주려는 운영자님의 배려가 눈에 많이 띄었습니다.
하지만. 이제는 달라져야할 때인것같습니다. 그들은 통상적인 논리와 사고방식으로 이해가 불가능한자들입니다.
오늘의유머 사이트의 보안향상과 회원분들의 유입에 더욱더 신경써야합니다.
무었보다. 이번 사건에대해 운영자님의 일베에대한 강경한 조치가 있어야한다고 생각합니다.
이제 더이상 그들을 이해하고 배려하려 노력하지 마십시오.
아.. 너무 오랜만에 글을 올려서그런지 써놓고도 살짝 이상한기분이네요.
오늘의유머가 이번사태를 딛고 한걸음 더 성장할 수 있길 바라는 마음으로 이 글을 마치겠습니다.