xepushapp의 자체 로그인 기능이 안 먹거나
무한로딩만 도는 현상이 발생하네요.
혹시 관련해서 해결하신 분 계신가요?
처음에는 full SSL 적용으로 인한 문제인가 했는데
세션 secure 옵션 php.ini에서 0로 설정하고
세션 초기화 후 접속하니 pushapp이 정상 작동하네요
xepushapp의 자체 로그인 기능이 안 먹거나
무한로딩만 도는 현상이 발생하네요.
혹시 관련해서 해결하신 분 계신가요?
처음에는 full SSL 적용으로 인한 문제인가 했는데
세션 secure 옵션 php.ini에서 0로 설정하고
세션 초기화 후 접속하니 pushapp이 정상 작동하네요
댓글 12
Xepushapp 에서 secure 플래그가 붙은 쿠키를 지원하지 않아서 일어나는 일입니다.
대부분의 (제가 확인한 모든) 브라우저에서는 일어나지 않은 현상입니다.
https://github.com/rhymix/rhymix/pull/1051
# 게시물 수정시에도 동일한 차감이 이루어지오니, 유의하시기 바랍니다.
수정시에도 차감됩니다. 아무래도 기존에 호명을 했는지 여부까지 체크하지는 않는것 같습니다.
라이믹스에 적용되는 secure 보안관련부분... 그리고 세션쉴드 애드온을 적용하게 되면, 이러한 앱단에서의 접속을 공격으로 간주하게 되는 것이죠. (정상적인 웹브라우저의 접속이 아니므로...)
이 충돌을 해결할 수 있는 유일한 길은 둘 중의 하나를 사용하지 않는 길 밖에 없습니다. (현재로서는 그렇습니다.)
왜냐하면 xe푸시앱에서 이 기능을 꼭 사용해야 하는 부분이 있어서요... ㅠㅠ
https://stackoverflow.com/questions/16150089/how-to-handle-cookies-in-httpurlconnection-using-cookiemanager
https://stackoverflow.com/questions/30310627/reading-secure-cookies-in-android-webview
Secure cookie는 표준이라 문제에 대해서 방법이 없진 않을 것 같습니다. httpurlconnection 과 관련해서 구체적으로 어떤 문제가 생기는지 모르지만, JAVA 언어 등에서도 쿠키를 다룰때 코드에서 흔히 등장하는 것으로 보아 SSL접속을 하고, 세션 키를 정확하게 전달하기만 하면 큰 문제가 없을 것으로 생각됩니다..
발생하는 문제를 구체적으로 알려주시면 자료
검색은 해볼 수 있을 것 같습니다.
기술적으로는 지식이 없어 사용자의 사용경험으로 댓글을 적어보자면 저는 이런 생각이 들었습니다. 지금 생기는 문제와 비슷한 것이 아마 mod_security 의 경우 인 듯합니다. 서버단에서 정상적이지 않은 접속을 차단하려고 사용하는데요.
그럼에도 불구하고 꼭 사용해야 하는 것이 존재하기 때문에 이러한 보안프로그램에서는 다양한 룰셋을 제공하고 특정 룰셋을 제외하고 통과 시키는 것이 필요하다고 봅니다.
실제 푸시앱의 경우 mod_security 를 비롯한 여러 보안 관련 프로그램에서 위에 말씀 하신 문제로 기능상 문제가 발생합니다. 그래서 mod_security 경우도 영향을 주는 특정 룰셋을 제외하는 것으로 나머지 mod_security 기능은 모두 정상 사용할 수 있습니다. 푸시앱 이외 XE에서 조차 mod_security의 일부 룰셋을 제외 해야 하는 경우도 있으니 이런건 필요하다고 봅니다.
따라서 라이믹스에 새로 생기는 보안 기능이 어떤 것인지 제가 알 수는 없지만 기능 자체를 ON/OFF 뿐만 아니라 조금 더 세분화된 것을 끄고 켤 수 있어야 할 것 같습니다.
mod_security가 아니라 php에서 세션 보안 옵션인 secure 옵션을 줬을 때 생기는 문제입니다. 보안 문제 때문에 세션에 http only와 secure 옵션을 주도록 권장하고 있습니다. 실제로 네이버 등 대형 웹사이트들에서도 이와 같은 옵션이 적용되어 있습니다.