한번만 로그인하면 어디를 가나 로그인이 유지된다는 단순명료한 개념인 Single-Sign-On 은 그 단순한 개념과는달리 구현과정에서 많은 이슈를 몰고옵니다.
트러블이 발생하는 가장 큰 문제는 정책적인 문제, 타사와 함께 SSO 를 구현하고자할때 과연 회원정보는 얼마나 공유해야하며 누가 보관하고 있어야 하느냐. 회원정보가 곧 파워를 의미하는 웹사이트에서 이는 민감할 수 밖에 없는 문제이며 현실적으로 서로다른 회사간에 SSO 가 구현되는 경우는 매우 드뭅니다. 물론 구현했다 할지라도 곧 파기되는 경우가 잦습니다. 파워게임의 첫번째 희생양이 되는것이 항상 SSO 거든요.
그 다음문제는 보안입니다. 한번만 로그인하면 어디를 가나 그 로그인정보가 유지되는 특성상 중간에 개입되는 경우나 루트서버, 즉 로그인서버가 크랙킹을 당하는경우 모든정보가 누출되는 돌이킬수없는 사태가 발생할 위험이 있습니다.
Microsoft 가 Passport 로 SSO 를 구현한다고 했을때 많은이들이 가장 우려한점은 Windows 보안체계에서 많은 실망을 안겨준 Microsoft 가 과연 안전하게 고객의 데이타를 보호해줄수 있느냐의 문제였습니다.
이외에도 여러문제점을 안고있지만 그래도 SSO 를 포기할수없는 가장 큰 이유는 "편리함" 때문입니다. 수많은 웹사이트들이 저마다 회원정보를 요구하고 로그인을 요구하는것은 고객의 입장에서는 너무나 큰 부담이고 불편이거든요.
그래서 Microsoft 가 Passport 로 야심차게 모든 웹사이트의 로긴을 통합하고자 시도하였고 그 반대진영에서는 자유연합(Liberty Alliance) 을 구축하여 SSO 의 주도권을 잡기위한 경쟁체제에 돌입했지만 정작 대형 웹사이트들은 이들의 노력에 무관심했습니다.
앞서 언급한 파워게임, 즉 대형웹사이트들은 그들과 회원정보를 공유할 필요가 전혀 없었거든요. 물론 Passport 의 애매한 정책과 비용문제도 실패의 원인으로 작용했습니다.
대형 웹사이트와는 달리 여기저기에 소규모로 산재한 블로그에 SSO 가 도입된다면 매우 편하고 유용하지 않을까라는 생각을 간혹 한적이 있습니다.
블로그가 제각각 인증을 요구하는것이 너무 불편해서 못하고있을뿐이지 저마다 인증의 필요성은 조금씩 느끼고 있다고 생각하거든요.
닉네임을 위조하여 상대방을 비방하고 다닌다던지 하는 문제들, 물론 서로가 룰을 지키고 있지만 언제든 터질수 있는 시한폭탄과도 같습니다. 최근에 기승을 부리고있는 스팸코멘트도 코멘트인증이 필요한 한 요인이기도 합니다.
시의적절하게 SixApart 가 MT 3.x 를 발표하면서 TypeKey 란 이름의 SSO 솔루션을 들고 나왔습니다.
MT 에 제한적이라는점, SSO 자체에 대한 거부감때문인지 그다지 이에 대한 붐업은 일어나지 않고 있지만 Trackback 이 처음 제안되었을때에도 블로그의 필수기능으로 이토록 자연스럽게 자리잡으리라고는 예견못했던것처럼 TypeKey 또한 MT 에서만 조금 쓰이다 끝날것이라고 섣불리 단정짓기는 힘듭니다.
이미 TypeKey 는 API 를 공개하고 다른 블로그툴들의 참여를 기다리고 있습니다.
2004-09-15 11:29
트랙백
- 댓글 임시 제한 - SoandSo.net
- 한번만 로그인 해서 모든 블로그에서 코멘트를.. - 날밤
- 타입키 때문에 MovableType 3.11로 올렸습니다. - unix4mac
코멘트
아 그런게 있었군요. 공개 API가 있다니 봐야겠네요. 역시 SixApart네요!
지금도 한국 불로그가 하나의 커뮤니티 같다는 생각이 드는데.( 주요 블로그 20여개만 등록하면 무슨일이 벌어지는지 알수 있는듯^^;) 이 기술을 이용하면 관심 분야의 몇몇 불로그가 결함된 중형 커뮤니티를 상상해 볼수 있을것 같네요. RSS, 트랙백 기술도 이를 위해서 사용될수 있고...
너무 지나친 상상인가요 ^^?
커뮤니티랑은 조금 다릅니다. 단순히 회원인증의 기능만 제공해주거든요. 물론 기능이 확장될것 같지도 않구요, 단지 본인인지의 여부만을 확실히 증명해주는거지요.
제 블로그에도 공개 API 를 이용해서 구현해보았으니 TypeKey 가입하시고 로그인해서 코멘트 한번 남겨보세요 :)
타입키로 한번 로긴해봤습니다. 제 블로그는 3.x로는 업그레이드를 하지 않았습니다. 별 문제가 없으면 업그레이드를 하지 않는 게 제 원칙이라서요 ^^
저도 처음에는 TypeKey 와 3.x 에 대한 거부감이 있었는데 TypeKey 사용해보니 매우 유용하고 TypeKey 때문에라도 3.x 로 업그레이드 할 가치가 있는것 같습니다.
ilovja 님의 블로그에서도 TypeKey 로 코멘트 남길 수 있기를 희망합니다 :)
아쉽게도 한글 닉네임은 지원하지 않나보군요. 깨져서 보입니다.
사용자가 많아지면 한글지원이 될까 모르겠네요 ^^
역시나, 오늘 또 하나 배우고 갑니다. ㅎㅎ
지금 개발중인 제 블로그에도 기능을 한번 넣어봐야 겠네요. ^^
한글도 지원됩니다. 그런데 UTF-8 의 경우만 가능합니다. 제 블로그는 아직 EUC-KR 이라 한글이 깨져보여요 엉엉~
오호.
오호.
아.. 이런거군요 ^^!
참 잘했어요 짝짝짝!
아.. 역시 UTF-8 이 또 문제네요.
제 홈도 EUC-KR 기반인데 TypeKey 를 쓰기위해선 바꿔야 한다면..
배보다 배꼽이 더 크군요 -_-;
일단 적용해보고 뒷일은 나중에 생각하죠 모. ㅎㅎ
한글닉네임 써야 하는 사람은 TypeKey 인증안하고 코멘트 남기면되죠 뭐 ^^;
Trackback 과 달리 TypeKey 인증은 암호를 복호화하는과정이 있어 구현하기 상당히 복잡합니다. 찾아보면 php 로 구현해둔게 있을것같네요. 저는 asp.net 을 사용했어요.
http://blog.monstuff.com/archives/000184.html
LikeJAzz 님 덕분에 이거 또 이 나라에 TypeKey 붐 부는거 아닌가 모르겠습니다. 아 근데 이 블로그도 MT였나요? MT스럽지 않은 개성이라서...
이 블로그는 제가 다 만든겁니다 ^^; API 가 공개되어있어 MT 이외에도 TypeKey 인증이 구현가능하거든요. TypeKey 도 삽질을 거듭하며 힘들게 구현했네요.
CPAN에 그 인증을 해주는 모듈이 있네요~ 펄(perl)모듈입니다.
http://search.cpan.org/~btrott/Authen-TypeKey-0.02/lib/Authen/TypeKey.pm
펄에서도 깔끔하게 구현되었네요 역시 오픈소스의 힘!
ㅠㅠ
오늘 스팸 폭탄에 쑥대밭이 되어 typekey 인증 댓글만 허용하게 임시조치했습니다. 이 보다 더 좋은 방지법 있으시면 조언 좀 주세요.
SCode 는 어떨까요 ?
http://www.inel.pe.kr/archives/computing/20040830_203121.php
soandso님 제이앨런 씨 사이트에 가면 MTBlacklist 플럭인이 3.x에서 돌아가도록 현재 긴급판이 나와 있어요. 좀 더 있으면 3.x용 정식판이 나올 것 같네요. 저도 예전에 무지막지한 줄줄이 스팸을 받고 블랙리스트를 설치하고는 편해졌거든요.
오전내내 그거 가지고 끙끙거렸는데 그게 잘 안되요. ㅠㅠ
mt-bl-load까지는 되었는데 mt-blacklist.cgi를 돌리면 "500 error"가 뜹니다. 예전에도 설치하다가 포기했었는데(그때는 storable module 문제 관련인 걸로 기억합니다) 2.0b 버전에서는 그런 모듈이 필요한 것인지 아닌지에 대한 이야기도 없고 필요하다면 예전 매뉴얼에 나온 편법을 써야되는데 계정에 올리는 폴더/파일 구성 체계도 바꾸었고... 뭐가 문제인지 모르겠습니다. 무식이 죕니다. ㅠㅠ
호오 MT는 그런기능도 있네요..;;
네 유용한 기능이지요 :)
예전에 http://litconan.byus.net/conan/archives/000145.html 이런 생각을 했던 적이 있었습니다. 이 땐 이글루스에 덧글 달 때 너무 귀찮아서 했던 생각인데 다른 툴에서 모두 이용해 준다면 너무 편하고 좋을 것 같습니다~
대형웹사이트들의 SSO (혹은 유사한) 의 가장 큰 장애는 포스트에 서 1순위로 언급한 파워게임입니다. 경쟁관계에 있는 업체가 상호간에 회원정보를 공유할리만무하죠.
그런데 이글루스는 지금은 비로그인 사용자도 코멘트 쿠키를 구워요.
soandso님 저는 2.666을 사용해서 블랙리스트 2.0b와 2.0e가 완전히 다른 구조를 갖고 있는지 꿈에도 몰랐군요. 2.0e는 온라인에 올려진 블랙리스트 메뉴얼대로 하면 안된다고 하네요. 제이 엘런 씨는 2.0e에 포함된 리드미 화일을 참조하라고 합니다.
아래 쓰레드 한번 참조해 보세요.
http://www.jayallen.org/comment_spam/forums/index.php?showtopic=19&st=0&p=95&#entry95
위 쓰레드에 제이 엘런 씨가 올린 포스트는 전부 2.0e 기준으로 되어 있어요.
UTF-8 로 날라오는거 그냥 php 에서 iconv 로 변환해서 보이니
괜찮군요. 제 블로그에도 복호화 부분은 빼고 설치해 놨습니다 ^^
일단 기능만 넣어놓고, Verification 부분은 시도해봐얄듯.
근데 아직 좀 이상한거 같기도 하네요.. 아직 테스트중입니다.
복호화가 제일 어려운 과정이에요 ^^ 조금이나마 덜 삽질하시길 기원합니다.
재즈님// 구글신에게 아무리 물어봐도 MT 2.x에서 타입키를 달 방법이 없군요. MT 2.x는 3.x에 버림받은 자식 취급을 받는 것 같습니다. 3.x로 업그레이드 자체가 어려운 것은 아니지만 트랙백 인코딩 관계로 소스를 손 댄 부분이 있는 등 이것 저것 만져 줄 부분이 많군요. 그래서 그냥 계속 2.x에서 뿌리 박고 살고 있어요. (아, 삽질은 지금까지 한 걸로 충분하고 블로깅에만 열중을 하라는 뜻으로 알겠습니다. =3=3)
플러그인이라도 있을줄 알았는데 없나보군요. TypeKey 자체는 간단해도 그 기능을 위해 추가된 코드는 엄청난거같아요. 트랙백인코딩패치만 해결되면 3.x 로 오실꺼죠 ? 최근에 저도 3.11 설치하고 이것저것 테스트중인데 트랙백인코딩패치라도 만들어야 할까봐요 http://mt.likejazz.com/
구루님/// 저도 구루님이나 재즈님에게 트랙백 날릴 때 iconv가 euc-kr로 변환해서 날려요. 아마 대부분의 MT 사용자들이 그라티아님의 한글인코딩 패치 사용하고 있을 거에요.
전 좀 생각이 다른데요.. RDF를 이용한 FOAF라는 SN 배포 방법이 있습니다. 자신의 블로그에 자신에게 글 제대로 쓸만한 친구들을 등록해 놓는 거죠. 여기에 등록된 사람만 코멘트를 달게 하는 겁니다.. sha1를 통한 암호화도 가능하기 때문에 쉽게 그 사람인지 확인 가능합니다. 딴 데가서 글 쓸 때도 rdf파일을 서로 가져와서 파싱할 수 있기 때문에 누가 누군지 알 수 있죠.
http://www.ldodds.com/foaf/foaf-a-matic
단, likejazz님 같이 수백명의 팬을 가진 인기 스타들에게는 좀 그렇겠습니다 ㅎㅎ
TypeKey 는 foaf.rdf 도 지원해 줍니다. http://profile.typekey.com/likejazz/foaf.rdf 이처럼 모든 사용자의 프로필에 foaf.rdf 가 기본적으로 생성되어있습니다. 그러니까 TypeKey 를 사용해BoA요~
헛.. 재즈님.. 또 할일을 만들어 주시는군요.. ㅡ.ㅜ
ㅎㅎㅎ
MT 3.x의 라이센스 정책 때문에 업그레이드 안 하시는 분이 계시다면요(저는 다른 사정이 있습니다만 ^^) 공개 배포 버전 받아서 써도 됩니다. 작가 한명에 세 개의 블로그만 가질 수 있다는 것은 6A에서 사용자에게 지킬 것을 권장하는 사항이지 MT 자체에 그런 제한은 걸려 있지 않은 것으로 알고 있거든요. 어차피 개인사용자의 경우 필진이 한사람이고, 블로그의 수도 하나 아니면 두개가 보통이니까요.
네, 맞아요 사실상 개인사용자에겐 여전히 3.x 는 무료입니다. 다만 유료화를 깔끔하지못하게 단행한점때문에 많은이들이 실망을 느끼고 떠나갔더군요.
재즈님이 MT 테스트하고 계신 줄은 몰랐는걸요? UTF-8로 되어 있네요. 이참에 UTF-8로 가시죠?
그럼요! 트랙백 인코딩 패치만 되고 MT 3.x로 올라 가야죠. 시간 걸리는 삽질이 너무 싫어서 도망다니는 중이에요. 재즈님도 아시다피시 제 서버는 iconv를 이용하는 것 밖에 안 먹어요. 좋은 결과 있으면 연락 기다릴께요 ;-)
이곳은 UTF-8 로 가기에 몇가지 문제점들이 있습니다. 결정적인게 개발에 사용하는 툴인데 옛날거라 UTF-8 을 지원하지 않습니다. 그리고 EUC-KR 사이트에 트랙백을 보내기 위해선 iconv 같은 기능이 절실한데 그런 기능을 하는 함수나 무료컴포넌트가 없어요. 유료컴포넌트가 있긴한데 가격이 비싸고 거기에 별로 투자하고픈 마음은 없네요.
저 글을 쓸 ㅤㄸㅒㅤ가 4월 23일.. 이글루스에서 쿠키를 도입하기 전이랍니다 :)
네 그렇군요 :)
MT야말로 정말로 여러 다양한 스팸 솔루션이 있죠. 타입키 말고도 블랙리스트, 3.0에서 생긴 얼마 시간 동안 한 사이트에서 대글 달기 제한하는 기능, 예전부터 있었던 "랜덤으로 그림 문자를 생성해서 그걸 입력하게 하기" 플러그인 등등요.
MT가 표준도 잘 지키고 해서 여러 면에서 좋긴 했는데 저처럼 이글루스로 옮겨 온 사람도 있죠.
한글 닉네임은 아직 깨져서 나와요 엉엉.
한가지 궁금한것이 있는데요? Typekey 로 인증을 하게되면, 어딘가 인증 정보가 있을텐데요. 그곳에 대해 얼마나 신뢰할 수 있는가!! 에 대한 문제는 여전히 남아있는 것 아닌지요? 아니면, Typekey 의 구현상 그런것을 방지(?)하는 무엇인가가 있는지요?
아무튼 재미있네요. 해봐야겠습니다. ^^
인증후 관리에 대해서는 전적으로 해당 사이트의 책임이겠지요. MT 의 경우 안전하게 암호화해서 관리해주고 있으나 저처럼 따로 구현한경우 별도의 관리체계가 있어야 되는데 사실 마음만 먹으면 위조할수는 있습니다. 차츰 개선해야겠지요.
홀홀... 코멘트가 많아서. 대부분 패스.. ^^; 전 둘다 못믿겠음.. 캬하하하하..
이사람 믿어주세요!
흐음.. 제 블로그는 asp 로 만들었는데...
암호화 복호화 모듈이 있어야 겠네요.. ㅡ.ㅜ
asp 복호화 모듈은 상당히 만들기가 난해하고 시일이 걸리는 작업입니다. 무료컴포넌트는 제가 알아본바로는 없구요 유료밖에 없어요. 마침 .NET 에서 TypeKey 인증을 구현한게 있어 저는 그걸 수정해서 사용했어요. http://blog.monstuff.com/archives/000184.html
로긴해서 남겨봅니다.:)
국내 주요 블로그 사이트에서 comment만 남기고 싶은곳에서는 이 기능을 지원해줬으면 좋겠어요..-_ -;
가능성은 희박합니다. 대형 블로그서비스업체들은 자신들의 서비스에 가입을 원하지 이런 공용인증체계에 참여하진않을껍니다.
재즈님. 흑흑흑... MT 커뮤니터 포럼에 물어 보니깐 대량의 코드를 수정하지 않는한 MT 2.x에서 타입키 인증방식을 채택하는 것은 힘들다고 하더군요.
이참에 3.11 로 업그레이드하세요 ^^
안그래도 그러고 있어요 -_-; MTBlacklist에 등록된 내용(1600개 이상)이 많다 보니까 코멘트 올릴 때 속도가 쳐지는 것 같아서 결국에는 업그레이드를 결심하고 작업 중인데요. 업그레이드 스크립트로 했다가 DB가 꼬여 버려서 백업해 놓고, DB 날리고 새로 DB 만들었는데 제가 쓰는 호스팅은 DB 추가하면 활성화 되는데 한 두시간 걸려요. 기존 2.x 완전히 밀고 새로 설치해 버렸습니다. 기다리는 중에 코멘트 남깁니다. 그래서 현재 제 블로그는 정상적으로 돌아가지는 않아요. 업하고 나면 블랙리스트고 뭐고 타입키로 인증할 경우에만 코멘트가 가능하도록 바꾸려고 생각해요. 오늘 안에 끝날려나 모르겠네요. 불안과 초조 속에서...
결국은 강한 욕구를 버티지 못하고 삽질의 길을 선택하셨군요. 삽질은 안하고 블로깅에만 열중하겠다고 말씀하신게 불과 이틀전인거같은데 .. ㅎㅎ
저도 Typekey 활성화 시켰습니다...만, 코멘트를 단 사람의 id 옆에 생기는 조그마한 이미지의 태그에 있는 valign 때문에 XHTML 1.0 Strict를 지키지 못하게 되어 또 한번 수정하느라 고생했습니다.
이 모든게 likejazz님 때문에 생긴... ㅜ.ㅠ
어, 그 이미지에 기본적으로 valign 이 붙지 않던데요 ? 이상하네요. 그나저나 이미지전혀없는 블로그를 표방하던 정책이 깨져버렸군요 ^^
TypeKey에 회원가입후, 로그인해서 글 남겨봅니다.....
:)