CI 묻고 답하기

제목 코디그나이터 초보자가 질문드립니다.
글쓴이 상인 작성시각 2015/06/20 01:17:40
댓글 : 9 추천 : 0 스크랩 : 0 조회수 : 14833   RSS
코디그나이터 프레임 웍을 사용하는 개발자 아닌 개발자입니다.~
우리 홈페이지에 업데이트 기능이 있던데
미국에 있는 개발자가 홈페이지를 업데이트를 하면 어드민 사이트에서 업데이트를 할 수 있는 기능입니다.
그런데 문제는 업데이트 할 때 보안상 문제가 있다고 생각이 되더라구요.
코디그나이터에서 업데이트 기능을 사용할 시 보안상 크게 문제가 되나요 ㅠㅠ?
 다음글 <뷰에 동적으로 데이터 추가하기>에서 인자 ... (2)
 이전글 중복 로그인일 경우 세션 처리 질문있습니다~ (5)

댓글

한대승(불의회상) / 2015/06/20 15:33:23 / 추천 0
코드이그나이터에서 업데이트 기능을 사용한다는게 어떤 의미인지 알 수가 없네요.
코드이그나이터 프레임워크는 github를 통해서 개발버전을 배포하거나 홈페이지에서 안정버젼을 제공하기는 합니다.
변종원(웅파) / 2015/06/20 15:36:22 / 추천 0
어떤 솔루션을 사용하고 계신 것 같네요.

개발자가 하는 업데이트와 어드민에서 하는 업데이트가 다른 개념일 것 같네요.

현재 상황을 잘 설명하셔야 답변도 잘 받으실 수 있습니다.
상인 / 2015/06/23 22:01:34 / 추천 0
솔루션인 것 같습니다.
이게 분명 ftp 접속하여 폴더를 보면 코드이그나이터 형태로 되어있습니다.
그리고 admin 사이트도 모듈, 컨트롤러 모두 코드이그나이터 형태입니다.
그런데 사이트 개발자가 자동 업데이트 기능을 넣어서 예를 들어 그 개발자가 모듈의 어떤 기능을 업데이트 하면
자동으로 그 폴더가 갱신 되는 형태입니다.
그런데 이게 보안상의 문제가 있을 수가 있어 걱정이네요 ㅠㅠ
 
한대승(불의회상) / 2015/06/24 10:21:56 / 추천 0
@상인 인증되지 않은 사용자가 업데이트를 통해서 서버에 존재 하는 PHP 코드를 수정 할 수 있다는건 프레임워크를 사용한다 하여도 보안상 문제가 될 수 있을수도 있습니다.
하지만 업데이트 로직이 어떻게 구성되어 있는지 보지 않고서는 보안 문제 발생 여부를 파악 할 수가 없습니다.
문제가 있다고 생각되시면 해당 기능을 제거 하시면 됩니다.
변종원(웅파) / 2015/06/24 11:32:57 / 추천 0
형상관리툴(svn, csv, git등)을 사용할 경우 다른 pc나 서버에서 개발을 하고 운영서버에 update를 할 수 있습니다.
현재 내용만 가지고는 위험하다, 아니다 판단할 수가 없네요. ^^
상인 / 2015/06/28 15:51:40 / 추천 0
서버는 호스팅을 통해서하고 있습니다.
이게 혹시 어떤 로직을 사용하는지 알 수 있는 방법이 있을까요~???
변종원(웅파) / 2015/06/29 10:26:56 / 추천 0
상인/ 문서나 물어볼 사람이 없는건가요? 
외부에서는 어떤 로직을 사용했는지 알 수 있으려면 소스를 보는 방법밖에 없습니다.
그리고 정확하게 상인님이 무엇을 궁금해하시는지 아직 모르겠습니다. ^^;

소스단 부분인지 서버단의 운영부분인지..
그리고 업데이트할때 왜 위함하다고 생각하시는지?
위험은 항상 존재하고 서버는 언제든지 멈출 수 있다라는 명제하에 운영됩니다.
위험을 어디까지 막을 것인가? 하는 부분은 비용과 연관이 되어 있구요.

정확한 의도를 모르겠으니까 제 답도 한없이 깊이 들어갑니다.
상인 / 2015/06/29 14:11:59 / 추천 0
저 혼자 책 뒤져가며 하고 있어서 물어볼 사람이 아무도 없네요 ㅠㅠ
이 사이트를 이용해서 상업용 신용카드나 회원정보 누출 때문에 심히 걱정되는 것은 사실입니다.
서버는 문제가 될 것이 없는데 업데이트 하면서 소스에 위험한 정보가 있을 까봐 걱정이 되서 질문 드렸습니다~! 
답변 감사합니다!
변종원(웅파) / 2015/06/29 17:37:03 / 추천 0
다른 개발자가 만든 소스를 회사내부에서 체크하지 않고 업데이트가 되나 봅니다.
그런 경우 보안은 업데이트 하는 쪽에서 책임을 져야합니다. 

걱정되시면 회사내부나 개인pc에 똑같은 서버환경을 구축해놓고 업데이트해서 소스단 체크하고 
문제가 없을때 운영서버에 업데이트하라고 할 수 있습니다.

이건 정책적으로 결정해야할 문제입니다. ^^