-
Notifications
You must be signed in to change notification settings - Fork 62
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
1.8.4 이후 회원 그룹 변경 문제 #1590
Comments
그리고 해당 회원가입및 회원정보 변경의 관한 이 이슈는 최대한 빠르게 진행 해주셨으면 좋겠습니다.. 이유는 1.8.3-> 1.8.4 업데이트 당시 취약점 공격방법이 알려지고 그걸 보안한 보안패치가 포함이 되어있어 마음대로 다운그래이드를 불가능한 상황입니다. (기존에는 취약점 패치가 잇을경우 1.8.3.1 이렇게 배포되어서 그나마 편리 했는데요 ..) 그렇기 때문에 다운그레이드도 불가능하고, 마음대로 어떻게 할 수 없다보니.. 운영자 입장에서 버그고치는것이 아닌, 보안을 중심적으로 운영하다보면.. 롤백을 마음대로 할 수 없는 상황이거든요.. 물론 물론, 해당 부분은 저도 시급한 문제인만큼 고치는대 최선을 다할 예정입니다. |
@qw5414 감사합니다. 참고로 leejo0513/chrisM 등 영문으로된 닉네임에서도 같은 증상이 일어납니다. |
제가 사고친 것 때문에 꼭두새벽부터 고생이 많으십니다 (_ _) 근데 이런 버그가 테스트도 없이 master에 merge되다니... @bnu 님 제 PR을 너무 믿으시는 거 아닌가요? PR은 그냥 PR일 뿐인데... ㅠㅠ |
@mactopia 음... 제가 테스트해 보니 @qw5414 님의 PR 적용 여부와 무관하게 영문 닉네임은 아무 문제가 없는데요... 어떤 현상인지 좀더 자세히 설명해 주시면 감사하겠습니다. 금지된 닉네임이라고 나오나요? 아니면 닉네임 없이 가입되나요? |
@kijin 아직은 가입은 테스트 못해봤는데...회원 정보관리에서 그룹을 수정할때 이 이슈를 발견했습니다. 이미 가입된 유저의 -> 그룹 수정후 -> 저장 "사용 금지된 닉네임입니다." 요런 얼럿이 나옵니다. 해당 유저 닉네임/id : ChrisM/nekoda 였습니다. |
@kijin @mactopia 저도 첫 테스트할때 영문에서는 문제점이 아에 없고 정상적인 통과를 보여줬습니다.(첫번째 사진의 debugPrint참고) |
털썩.. 역시 제가 문제가 있는거군요... 괜한 이슈만들어 죄송합니다.T.T 저는 그럼 또 다른 이유를 찾아 보러 가겠습니다... |
@mactopia 님이 잘못 보신 게 아니예요. 기존에 아이디/닉네임 필터링이 너무 허술해서 공백이나 그 밖에 눈에 보이지 않는 특수문자가 들어가는 경우가 있었습니다. 기존 회원정보에 이런 것이 들어가 있었다면 회원정보를 변경하는 과정에서 문제가 발생할 수도 있겠네요. DB에 저장된 닉네임 맨 뒤에 공백을 집어넣은 후 XE의 관리모듈에서 회원정보 변경을 시도해 보니 "이미 존재하는 아이디입니다."라는 에러가 발생하는 것을 확인했습니다. 경우에 따라서는 "사용 금지된 닉네임입니다."가 나올 수도 있겠습니다. 좀더 확인해 보겠습니다. |
|
@kijin 乃 |
@mactopia 모든 회원이 다 그런가요, 아니면 특정 회원만 그런가요? 문제가 있는 회원들에 일정한 패턴이 있지는 않나요? (닉네임이 모두 한글인 회원, 한글과 영문이 섞인 회원, 모두 영문인 회원, 영문인데 대소문자가 섞인 회원 등) |
@kijin 님 그래서 다른 test 계정으로 해본거 실시간 보고 드립니다. 정리하자면 새로운 회원 그룹 추가시 : 에러 없이 추가한 그룹 저장만 안됨 닉네임/id : test/test 새로운 회원 그룹 추가시 : 금지된 닉네임 얼럿 위 두케이스 에러가 정확히 반대 양상을 보이고 있습니다. ^^: |
@mactopia 잠깐만 서버 환경을 테스트해 주시겠어요? 아래의 내용을 임의의 php 파일에 넣고, XE를 통하지 않고 직접 실행해 보세요. 인코딩은 당연히 UTF-8로 하시고요. 결과가 어떻게 나오나요?
|
@kijin 님 요렇게 나옵니다. IE에서 UTF-8로 인코딩 선택하였습니다. |
@mactopia 음 그렇다면 닉네임 필터링은 의도한 대로 정확하게 되고 있다는 뜻인데요... 왜 님의 서버에서만 계속 문제가 생기는지 모르겠네요. 여기서는 아무리 해봐도 재현이 안되거든요. 애드온이 문제인가... ㅠ 두 가지만 더 테스트해 볼게요.
81줄 (remove whitespace 부분 직전)
91줄 (remove whitespace 부분 직후)
|
1번 해도 그대로 금지된 닉네임 나옵니다 (chrisM 닉네임) 본의 아니게 죄송한 느낌이... |
@mactopia 일단 인코딩 문제는 아니네요. 눈에 보이지 않는 특수문자가 들어간 것도 아니고요. 게다가 이번에 새로 추가된 코드마저 모두 우회했는데도 여전히 에러가 발생하네요... 회원정보 수정시 금지된 닉네임 여부를 체크하는 것은 |
금지닉네임 관련 애드온도 마켓에도 있고 공개된 것도 있고 할텐데 그런 영향은 아닐까요 ? |
@kijin 님 네. 애드온도 코어에서 기본으로 들어가 있는 애드온만 남기고 테스트를 해봤는데도 그러네요. |
@mactopia @kijin |
@kijin 관련 부분 패치는 제가 진행하겠습니다. |
@bnu 아, 닉네임이 아니라 아이디가 문제였나요? 1.8.2의 파일핸들러 치명적 오류, 1.8.4의 닉네임 오류 등 최근에 대형사고가 잦았던 것 같습니다. 다음 버전은 특별히 꼼꼼하게 살피셔서 모든 사용자들이 안심하고 업데이트할 수 있으면 좋겠네요. 저도 앞으로는 PR 넣을 때 더 많은 테스트를 거치도록 하겠습니다 ^^ |
# By bnu (4) and others # Via bnu (7) and others * 'master' of https://github.com/xpressengine/xe-core: fix #1583 `is_keyword`에 대한 취약점 문제 개선 version 1.8.5 fix #1590 회원 모듈 설정에서 회원 ID를 사용하지 않을 때 회원 정보를 저장할 수 없는 문제 고침 아이디/닉네임 필터링 방식을 더 일관성있게 고침 한글을 정상적으로 필터링하지 못하던 문제점 개선. fix #1589 글/댓글 작성과 동시에 커버이미지 선택이 동작하지 않는 문제 수정 - 파일의 권한 체크 CK에디터 파일첨부 디자인 변경에 따른 문구 수정 모바일에서 툴바줄이기를 기본으로 fix #1586 메뉴 노출 대상 그룹이 1개 이상일 경우 메뉴명 수정이 안되는 문제 수정
…o develop # By bnu (4) and others # Via bnu (7) and others * 'develop' of https://github.com/xpressengine/xe-core: fix #1583 `is_keyword`에 대한 취약점 문제 개선 version 1.8.5 fix #1590 회원 모듈 설정에서 회원 ID를 사용하지 않을 때 회원 정보를 저장할 수 없는 문제 고침 아이디/닉네임 필터링 방식을 더 일관성있게 고침 한글을 정상적으로 필터링하지 못하던 문제점 개선. fix #1589 글/댓글 작성과 동시에 커버이미지 선택이 동작하지 않는 문제 수정 - 파일의 권한 체크 CK에디터 파일첨부 디자인 변경에 따른 문구 수정 모바일에서 툴바줄이기를 기본으로 fix #1586 메뉴 노출 대상 그룹이 1개 이상일 경우 메뉴명 수정이 안되는 문제 수정
@kijin 말씀 하시던 일이 실제로 일어 나고 있었네요... 다 제 불찰입니다.. |
@mactopia 음 그건 황당한데요? 회원정보 수정 act에서 금지닉네임 추가 act로 연결되는 곳이 전혀 없는데... 혹시 사용하시는 애드온 중 하나가 1.8.5와 충돌을 일으키고 있는 게 아닐까요? |
@mactopia 저도 1.8.4만 단일로 윗스샷처럼 테스트 했던 웹공간에서 테스트 당시 바꾼 코드로 테스트 해봤지만. 금지 닉네임이나 금지 아이디에 들어가는 코드는 전혀 없습니다. |
@mactopia 혹시 @sejin7940 님께서 개발하신 닉네임관리 관련 모듈을 살펴보시는게 좋을듯 합니다. |
랜덤하게(랜덤이지만 자주) 회원 그룹 변경후 저장시 금지된 닉네임이라는 alert 메세지가 나오며 저장이 안됩니다.
The text was updated successfully, but these errors were encountered: