선택적 SSL 사용시 ID/PW가 암호화 없이 전송됨

[kijin]

XE 공홈에서 쉽게 볼 수 있는 문제입니다. SSL 사용을 "선택적"으로 설정할 경우 로그인 화면은 SSL로 표시되지만, 정작 사용자가 입력한 ID와 PW는 SSL 없이 그냥 전송됩니다.

기본 스킨에서 상단메뉴에 위젯을 넣어 사용하는 경우는 괜찮지만, 로그인 페이지를 별도로 사용하는 경우에 문제가 생깁니다.

관련 스샷: http://www.xpressengine.com/forum/22829794

최근에 나타나기 시작한 현상으로, #541 및 #706 과 관련이 있어 보입니다.

modules/member/skins/default/login_form.html 에서 폼의 action을 "./"로 변경하면 쉽게 해결됩니다. XE가 하위 디렉토리에 설치되어 있을 경우 문제가 발생한다는 것은 #706 에서 수정하신 referer_url과 관련이 있고, 이 폼의 action과는 무관한 문제로 보입니다.

[bjrambo]

맥 OS 사파리에서 로그인시, 보안관련해서 뭔가 전송 비전송 비슷한 문구를 본 것 같았는데 그게 이것과 연관된 문제로 일어난 현상인건가요?

[kijin]

아마 그럴 것 같습니다. 윈도우에서도 파이어폭스를 쓰면 보안 경고가 뜹니다. 이걸 몇 달씩 방치하고 있었다는 것부터가 국내 IE 시장점유율이 얼마나 높은지를 보여주는 거죠 ㅠㅠ

[bjrambo]

@kijin 근데 XE를 제작하시는 모든 개발자가 맥 OS를 사용하고계십니다. 전부 맥북으로 작업하시는데 이 부분의 대한 부분은 충분히 확인이 가능했을거라 생각됩니다만..흐음.. 제 생각일뿐인걸까요?

[akasima]

getUrl 에 입력되는 정보가 선택적ssl 사용하는 룰에 들어가야 하는데 그렇지 않아서 생긴 문제네요..