게시글 작성 시 wr_password에 대한 궁금증
본문
회원만 작성 가능한 게시판에서 글이 등록될 때 DB 테이블 필드에 기록되는 wr_password의 역활이 무엇인가요? wr_password 값이 없을 경우 어떠한 문제점이 발생하나요?
그누보드 5.4.1 패치로 인해 현재 wr_password 값이 저장되지 않고 있지만 글/댓글 작성, 수정, 삭제 등에 문제점을 발견할 수 없어 문의드립니다.
wr_password 값이 저장되도록 수정한 상태에서 글을 작성한 뒤 추후 글을 수정해서 등록할 경우 sha256으로 시작하는 78자의 wr_password에 값이 글 작성 시의 값과는 다르게 변경되는데 고정값이 아닌 이유도 알고 싶습니다.
답변 2
패스워드가 계속 변경되는 이유는 솔트값이 계속 변하기 때문입니다
암호화의 경우 키값이 동일하면 동일한 암호에 대해선 동일한 암호화 값이 나오는데
이런경우 특정한 해킹 방법에 의해 취약해집니다
그래서 솔트 값을 별도로 두어 로그인 또는 들어올때마다 임의의 솔트값을 설정하여 해시값까지 같이 암호화하여 계속 비밀번호의 결과값이 암호는 같더라도 다르게 함으로써 보안을 강화하는 형태입니다
그,누보드의 경우 암호화는 아래의 링크에서 설명하는 암호화 방식을 사용합니다.
https://d2.naver.com/helloworld/318732
자세한건 위의 링크에서 확인해보세요
먼저 답변에 대해 감사의 말씀을 드립니다.
brute-force attack과 같은 무차별 대입법을 위한 방책인 것으로 이해하면 되겠네요
가능하시다면 첫 번째 문의 DB테이블 wr_password에 값이 존재하지 않을 경우에 대한 설명도 부탁드리겠습니다.
로그인 하여 아이디가 등록된 게시물은 wr_password 의미 없습니다
그냥 없어도 됩니다
먼저 질의에 관심 답변 감사드립니다.
저 또한 '균이'님과 같은 생각을 하긴 했는데
그누보드 패치 5.4.1 이전엔 wr_password에 회원 DB에 등록된 mb_password 값 현재는 mb_password2의 값으로 예외없이 등록이 되어 있고 현재는 wr_password에 값이 입력되고 있지 않아 너무나 의아합니다.
소스를 수정해 wr_password에 회원에 맞게 값을 넣도록 할 수 있지만 굳이 필요하지 않는 값이라면 그누보드5.4.1 패치 이전엔 왜 입력이 되었을까라는 의문이 들었습니다.
무엇보다 그누 디폴트 상태에선 회원이 글 게시 및 수정 할 경우 기본으로 wr_password에 입력이 되는 건지 알고 싶습니다.
예전에는 회원 비회원 가리지않고 비번을 등록 했었지만 사실 무용지물이었으니
어느 버젼 부터인가는 등록하지 않는 것으로 바꾼 것이지 별 것 있겠습니까? ㅋ
말씀으로 미루어 보아
현재의 그누보드는 회원의 글 작성, 수정 시 게시판 테이블의 wr_password 필드 값을 저장하지 않는 것으로 이해하겠습니다.
다시금 친절한 댓글 감사드립니다.
