회원정보? 보안?

개인정보를 활용해야하는 특정한 이유/목적이 없는 커뮤니티임에도 (오프라인 신분확인장치를 기반으로) 본인확인조치를 취하는 것은 과한 것 같습니다(다중ID 활동이 특정업체 홍보로 수렴하는 케이스만 저지하면 되지 않을까요? -_-;;).

“정보통신망 이용촉진 및 정보보호 등에 관한 법률”에서 “일일 평균 이용자 수가 10만명 이상이면서 대통령령으로 정하는 기준에 해당되는 자”에게 본인확인조치를 의무화하던 부분이 2014년 5월 28일 부로 삭제되었으므로, 커뮤니티 규모가 커지더라도 초기의 모습을 유지하기가 한결 수월해졌습니다.

그래서 회원가입시 Username(ID), 이메일주소만 필수적으로 요구합니다. 나머지는 선택입력사항이고, 선택사항 입력란은 회원가입 시점에 보이지 않습니다(특히 성+이름은 웬만하면 입력하지 마세요.ㅋ) . 나중에 SNS사이트 연동로그인 기능을 추가하게 되면… 해당 SNS 가입시 입력하셨던 개인정보에 제한적으로 접근하게 될텐데, Sobi.Tips는 개인정보 교환과정에 개입하지 않습니다.
 

가입 후 로그인을 하면 위 스샷처럼 좌측에 ID가 표시될 텐데요, 아이디를 눌러 관리페이지로 진입한 다음

 

닉네임을 입력하고 “공개적으로 표시할 이름”을 닉네임으로 설정 후 저장하면 해당 시점부터 닉네임을 쓸 수 있습니다.

계정접근 차단장치를 마련해놓긴 했는데, 이건 너무 무례하게 행동하는 사람이 나오면 어쩔 수 없이 쓸 예정입니다. 나쁜사람은 IP 블럭으로 처리할 건데, 손으로 일일이 잡아내는 거니까 초기에는 다소 허술할지 몰라도 2~3년 이상 꾸준히 하면 효과가 제법 괜찮을 겁니다.

———————————————-

이제부터 보안 이야기를 해볼게요.

이 사이트는 워드프레스로 구축되었습니다. 워드프레스는 “플러그인” 형태로 원하는 기능을 추가할 수 있도록 되어 있는데, 보안쪽도 예외는 아닙니다. 그래서 서버쪽 설정을 보완할 수 있는 보안플러그인을 따로 추가해놓은 상태고, 워드프레스가 외국에서 굉장히 활성화된지라 지원중단(플러그인 포함)에 대한 걱정도 국내 툴들에 비해 상대적으로 덜합니다. 혹시라도 보안플러그인 지원이 끊긴다면 잽싸게 다른 좋은 플러그인으로 갈아타겠습니다.

Let’s Encrypt 라는 프로젝트 덕분에 무료 SSL을 적용시켰고요, jCryption 2048비트 암호화도 추가로 적용시켜 놨습니다(입력란 텍스트가 초록색으로 나온다면 정삭적으로 작동하고 있는 겁니다.). jCryption을 적용한 이유는…
 

▲ 크롬으로 전송내역을 보니까 ID/패스워드가 그냥 뜨더라구요(사용자 PC → 서버측으로 보내지는 패킷이 감청된다면 위험할 수 있다는 의미로 해석됩니다.). 서버측에서는 수신한 비밀번호가 암호화되어 저장된다고 하지만, 이건 아닌 것 같아서 jCryption 적용해버린 겁니다.

▲ 덕분에 Form Data 전체가 알아보기 힘들게 바뀌었습니다.

jCryption은 자바스크립트 기반이므로 보안을 위해서라도 꼭 자바스크립트 써주시고요, 2048비트로 안심 못하겠다고 반응이 몰리면… 4096비트로 올리겠습니다.;;;

그리고 제가 왼쪽 사이드바에 비밀번호 안전도 체크 링크 남겨놨죠? 체크해 보시면서 비밀번호 복잡하게 설정해놓고 쓰세요. 뚫리면 결국은 본인 손해입니다.ㅠㅠ (+ 이메일주소 비밀번호와 사이트 비밀번호를 다르게 해주세요.)

p.s. 또… 3시간마다 강제 로그아웃 되도록 설정해 놨습니다. 자리 오래 비울 때를 대비한 것인데, 저는 3시간이 심리적 마지노선이라고 생각합니다. 더 짧게 바꾸자고 의견이 몰리면 수정하겠습니다.