질문과 답변, 세팅정보 및 오류정보를 최대한 상세히 남겨주시면 보다 빠르고 정확한 답변을 드릴 수 있습니다.
중첩되는 질문이 없는지 확인하신 후 오류발생 페이지의 URL을 기입하여 질문해주세요. 그리고 질문에 대해 해결된 사항은 답변을 달아주시면 다른 회원님에게 좋은 자료가 됩니다.
  • 제   목 파일 직접 접속에 대한 대비방법 문의
  • 작성자 지스 등록일 2011-06-08/12:32 조회수 1121
주말 잘 쉬셨는지요.
 
주말동안 궁금했던점 질문드리겠습니다.
 
질문1)
외부에서 로그인하지 않고 Board를 접속할 경우 자료실에 있는 파일 접속이 로그인하지
않고도 가능하더군요. 이에 대한 대비방법은 없을까요?
 
 
data 폴더에 대하여 풀어놓았으니까 이해는 가지만요
검색엔진 로보트들이 때문에  바로 파일 엑세스가 가능할 것 같아 걱정이됩니다.
 
위와같이 접속하면 바로 파일접속이 가능하더군요. 이를 막는 방법이 없을까요
 
질문2) 현재 접속중이거나 접속한 기록 검색
혹시 보드내에서 이런 기록을 관리하는지요?
접속한 사람도 분명히 없을텐데 오늘 총 접속자가 올라가서
왜 그럴까 하고 검토중입니다.
어떤 id가 언제 접속하고 로그아웃했는지 기록에 남기는 방법이 있는지요
 
이번주도 활기찬 한주되시기 바랍니다.
SNS google
  • No Image
    1. 회원등급: 일반회원
    2. 작성글: 10개
    3. 작성댓글수: 14개
    4. 로그인: 81회
    5. 접속상태: 로그아웃
    6. 가입일: 2011-04-01
로그인 하시면 댓글을 남길 수 있습니다.
타인의 명예를 훼손 또는 비방, 개인정보 유출 및 광고성 게시물을 삼가해 주세요.
  • (2011.06.07/16:02:50) 답변
  • 1. 게시판관리 >설정관리 > 메뉴표시/세부기능 > 고급기능 > '보안 다운로드'를 활성화하여 사용하시면 해결이 됩니다. 웹페이지상 파일명이 노출이 되지 않으며 매 다운로드시마다 파일명이 자동변경 되어 다운로드 되어지니 일반 사용자는 해당파일의 이름조차 알 수 없게 됩니다.
    2. 해당 접속기록은 제공되지 않고 있으며, 검색로봇등의 접속시도 때문에 접속자수가 같이 올라가게 됩니다.
  • 지스(2011.06.07/17:34:18) 답변
  • 아 네 알겠습니다. 감사합니다.
  • 지스(2011.06.07/17:56:56) 답변
  • 그런데요. 이렇게 바꾸니 로그인 한 사람도 파일이름을 알 수 없게 되군요.
    파일이 여러개 일때는 전부다 "내려받기"로 바뀌어 버리니 어떤 파일이 어떤 것인지
    알기 힘들어 사용시 불편하군요. 현재는 본문에 1번파일은 xxx 이런씩으로
    다 쓰고 있습니다.

    원래 저장된 data 폴더의 파일이름이 그대로 이기 때문에 혹시 검색로봇에 의해
    원 파일이름이 노출되지는 않을까요?

    혹시 외부접속 URL로는 접근하지 못하게 하고 로그인한 사람은 원래 업로드한
    파일 이름이 그대로 보이는 방법은 없을까요?
  • (2011.06.07/21:04:01) 답변
  • 원래 저장된 data 폴더의 파일이름을 그대로 사용한다면 검색로봇에 의해 노출이 될 수 있습니다.
    다른 대안으로는
    1. 우선 웹페이지 상단에 공통으로 사용되는 인클루드 파일에 <META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">의 메타태그를 삽입합니다. 그렇게 된다면 우선 검색로봇에 의한 정보유출은 없어질 것입니다.
    2. 관리자 > 상단메뉴의 설정관리 > 관리자 레벨을 '고급관리자'로 변경합니다.
    그런다음 게시판관리 >설정관리 > 정보 및 스킨설정 > '참조테이블명' 항목이 새로이 생긴것을 확인하실 수 있을 것입니다.
    Default로 a_Jboard로 설정이 되어있는데 바로 a_Jboard가 아래 파일경로의 a_Jboard와 동일합니다.
    http://board.xxx.com/Jboard/data/a_jboard/00009/yyyyyy.zip
    게시물이 존재한 상태에서는 참조테이블명을 변경하지 못하니 새로운 게시판을 만들어서 원하시는 ex) zzz 로 설정하시면 해당 파일의 경로는 http://board.xxx.com/Jboard/data/zzz/00009/yyyyyy.zip 와 같이 되기 때문에 해당파일을 찾는다는건 내부사용자 외에는 불가능 할 것입니다.
  • 지스(2011.06.07/22:28:40) 답변
  • 감사합니다. 잘 이해가 안되어서 질문드리겠습니다.
    1. 이 메타 데이터는 모든 검색로봇에 해당되지는 않는 것은 아닌지요? 예를 들어 구글같은 경우말씀입니다.
    2. zzz 폴더를 만들어도 data는 IUSR에서 Read권한이 있으니 파일이름을 알고 폴더구조를 안다면
    바로 읽을 수 있는 것은 아닌지요? 제 생각에는 JBoard 구조를 알아도 폴더가 바뀌었기 때문에
    찾기 힘들다는 말씀으로 생각되는데 맞는지요? 이 경우에는 보안다운로드를 풀어도 되는지
    알고 싶습니다.
  • (2011.06.09/00:13:36) 답변
  • 1. 모든검색 로봇을 뜻하는 것으로 알고 있습니다. 테스트도 좋은 방법인듯 합니다.
    2. 관리자 설정에서 '참조테이블명' 이름을 zzz로 설정하시면 자동으로 zzz폴더가 생성이 됩니다. 그리고 물론 자료실의 특성상 http://board.xxx.com/Jboard/data/zzz/00009/yyyyyy.zip와 같이 정확한 경로를 안다면 파일 다운로드 가능해집니다. 하지만 누가 zzz폴더를 알겠냐? 그건 곧 해당 사이트의 이용자도 아닌 게시판설정 권한을 가진 관리자만 가능하다는 말씀입니다. 여기서 주의하실 점이 하나 있다면 파일이 첨부되는것이 아니고 이미지가 올라간다면 웹상에서 경로가 표시가 되기에 이점은 고려를 하셔야 합니다.
    물론 '보안다운로드' 비활성화 시켜도 됩니다. 또한 여기서 검색로봇을 막는 이유는 보안성을 최대로 올리기 위함이라 보시면 되겠습니다.

    마지막으로 아래는 검색로봇을 막는 또 다른방법입니다. 참고해보세요
    robots.txt (반드시 도메인의 root에 존재)

    1. 홈페이지 전체 모든 검색엔진 막을때
    User-agent: *
    Disallow: /

    2. 일부 디렉토리만 모든 검색엔진에 보여주고 싶을때
    User-agent: *
    Disallow: /main/
    Disallow: /board/

    3. 특정 검색엔진만 막고싶을때
    User-agent: Cowbot
    Disallow: /
    User-agent: *
    Disallow:

    4. 특정 봇만 허용 하고싶을때
    User-agent: Cowbot
    Disallow:
    User-agent: *
    Disallow: /

    5. 특정 봇 특정 이미지 못가져가게 막고싶을때
    User-agent: Cowbot
    Disallow:
    User-agent: *
    Disallow: /*.gif$
    Disallow: /*.jpg

    위와 같이 작성 후 저장
  • 지스(2011.06.09/00:20:39) 답변
  • 늦은 밤까지 고생이 많으십니다.
    한번 적용해 보겠습니다. 말씀하신데로 디렉토리 구조를 모르면 당연히 그럴 것이라고 생각이 들지만
    여기저기 해킹을 많이 당해서 안심이 되지 않는군요.
    또 이 컴퓨터에 다른 홈페이지(회사 홈페이지)도 운영하고 있고요. 여기 저기 보안에 관련한 것은 적용해 놓았는데도 걱정은 되네요. ^^

    로봇은 지금 말씀하신 메타태크를 적용해보고 카운터가 올라가는 지 보고 있습니다.
    현재까지는 별 이상이 없네요.

    감사드립니다.
  • (2011.06.09/00:27:17) 답변
  • 귀사 사이트에 상당수의 게시판 구성이 읽기 권한이 회원에 국한이 되어있는 듯하여, 크게 염려 할게 없으신 듯합니다. 검색로봇도 긁어가는것도 한계도 있기 때문입니다. 권한을 뚫고 모든것을 다 긁어간다면 검색로봇이 아니라 해킹로봇이 될 테니깐요~
    만에하나 검색로봇이 문서를 모두 긁었다고 가정하더라도 변경된 해당 경로를 알 수 없을 것입나다. (갤러리 게시판 제외)

    메타태그와 카운터와는 연관성이 없어 카운터는 예전과 같을 것입니다.
    카운터는 global.asa에서 관장을 하는데 웹페이지 윗단에 있다고 생각하시면 됩니다.

    서버를 직접보유하여 관리하신다면 잘 아시겠지만, 보안은 서버의 하나의 사이트에만 충실해서는 안 된다는 점을 고려하시고 중요한 문서를 인터넷으로 공유할 시 웹방화벽 설치 및 읽기/쓰기 권한이 부여된 폴더에 권한을 최소화(ex: 실행권한을 '없음' )하는 등 여러곳에 신경을 많이 쓰셔야 할 것입니다.
  • 지스(2011.06.09/00:36:30) 답변
  • 네 알겠습니다. 대부분의 asp 파일에 메타태그를 삽입했기 때문에 그럴꺼라고 기대하고 있습니다.
    실제로 12:00 이후로 카운터가 안올라가는데요.. 어제는 회원이 20여명되는데 오늘 방문자가 몇백회가
    되어서 이상하다고 생각하기 시작한 것입니다.
    디렉토리를 바꾸어서 작업해보고 신경써보겠습니다. 감사합니다.