자동로그인이 풀리는 문제에 관해 말씀드립니다
2013.02.26 09:37
현재 나갈없 사이트에서 자동로그인을 설정했는데도, 몇 일에서 몇 시간 후면 자동로그인이 풀리는 문제가 발생합니다. 특히 모바일에서 더욱 그렇다고 알고 있습니다. 그래서 해결을 하려고 시도했으나 몇가지 문제가 있어서 이렇게 공지를 올립니다.
자동로그인에 체크를 하면 로그인에 필요한 해쉬값(아이디와 패스워드를 합친 거라고 보시면 될 겁니다)을 쿠키라는 방식으로 컴퓨터에 저장하게 되서 다음에 나갈없에 접속하면 쿠키를 보여주는 식으로 로그인을 처리하게 됩니다. 정말 간단히 말하면 공인인증서 아시죠? 그거 생각하시면 됩니다.
그런데 큰 문제가 있습니다. 이 쿠키값은 의외로 쉽게 빼갈수 있고, 그 말은 컴퓨터가 해킹당했거나 당하고 있는 경우 유저의 아이디와 비밀번호가 그냥 통째로 넘어가는 것과 비슷하게 된다는 이야기입니다. 그래서 xe에서는 한 가지 과정을 넣는데, 사용자의 IP를 대조해서 IP가 다르면 쿠키를 무효화처리해서 로그인을 다시 하게 하는데요, 여기서 문제가 생깁니다. 아이피가 바뀌는 인터넷 환경에서는 자동로그인이 풀리게 되는데, 특히 모바일의 경우 3G/LTE 아이피는 자주 바뀌기 때문에 자동로그인이 풀리게 됩니다.
IP를 체크하는 부분을 빼버리면 자동로그인이 풀릴 일이 없는데, 또 그렇다고 그걸 지워버리면 해킹당했을경우 나갈없 이대로 괜찮은가 같은 상황이 벌어질 가능성이 매우 높은 상황입니다.
결론은, 이 문제를 빨리 해결하기는 힘들 것 같습니다만 IP를 대체할 다른 수단을 찾고 있으니 조금만 기다려 주시기 바랍니다.
감사합니다.
세줄요약
1. 아이피가 바뀌면 자동로그인 풀림
2. 그렇다고 아이피체크 안하면 계정이 쉽게 털릴수 있어요
3. 지금은 곤란하다
나갈없 이대로 괜찮은 상황인가 그런거 안 나오니까 해당 부분 주석처리해도 무방함 ㅇㅋ