채팅 시 공유 첨부 파일 보안
본문
Twave 테마의 파일 공유 방식은 우선 1:1채팅의 텍스트 전송 기능과 php파일 업로드에 의존한다, 정확히 말하자면 텍스트 전송이 조금 더 핵심적이다.
파일을 첨부, 전송하면 해당 파일 명이 포함된 서버의 채팅 첨부파일 저장 디렉토리 경로가 노출된 링크를 전송, 해당 첨부파일 링크를 이미지화 하며, 동시에 채팅에서 전송한 파일은 서버 데이터 디렉토리에 여러 파일들이 저장된다,
이 방식에서 문제가 발생한다.
첨부파일 링크를 '일단' 전송한 후, 후처리로 미디어화 하는 방식이기에 필현적으로 서버의 채팅 첨부파일 저장 디렉토리 경로 전체가 노출되기 때문에 조금만 It에 관심있는 이용자들은 해당 디렉토리 주소를 크롤링하여 다른 사용자의 첨부파일도 무단으로 확인 및 다운로드 받을 수 있다.
이 문제를 해결하고자 아래의 두 가지 방식을 구상한다.
1. php파일을 하나 만들고 해당 php파일의 파라미터 값에 따라 사용자들에게 노출되는 디렉토리와 다른 경로의 디렉토리에 위치한 파라미터값에 해당하는 파일의 경로로 리다이렉트 시키고 일반 접근시에는 접근 차단, 오로지 채팅 화면에서 링크가 출력되어 미디어화 될 때만 해당 파일로 리다이렉트 하는 방식이다.
(이상하게도 사파리, 크롬, 카카오톡에서는 이 방식을 지원하는데 네이버에서는 지원하지 않는다,
아마도 아래와 같은 개인정보 보안 정책 때문인 것 같다. https://ads.naver.com/notice/16672?searchValue=&page=1 )
1.에 따라 또 두가지 방식으로 나눌 수 있다.
첫 번 째 방식은 파일명.확장자 그 자체를 파라미터로 이용하여 처리량을 줄이는 방식이고 두 번째 방식은 파일명만 파라미터로 사용하는 것이다. 어차피 년월일시분초가 파일 명이기 때문에 겹치지 않아 파라미터로 사용해도 적절할 듯 하다.
불편님의 댓글
불편 아이피 (115.♡.171.219) 작성일필현 -> 필연