'Software Development'에 해당되는 글 135건

vi 에는 set paste 기능 없다.

:set noai

하면 된다.

Vi: Search and Replace

Change to normal mode with <ESC>.

Search (Wraped around at end of file):

  Search STRING forward :   / STRING.
  Search STRING backward:   ? STRING.

  Repeat search:   n
  Repeat search in opposite direction:  N  (SHIFT-n)

 
 First occurrence on current line:      :s/OLD/NEW
  
 Globally (all) on current line:        :s/OLD/NEW/g 

 Between two lines #,#:                 :#,#s/OLD/NEW/g
  
 Every occurrence in file:              :%s/OLD/NEW/g 

출처 : http://www.iwiz.pe.kr/bbs/zboard.php?id=webdev&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=4

IE6에서의 개인정보보호(P3P) 구현과 쿠키 관련 문제점

1. P3P

(1) P3P의 개념

  P3P(Platform for Privacy Preferences)는 W3C에서 개발한 프라이버시 보호 관련 표준 기술이다.  P3P에 대한 상세한 설명은 뉴스&이슈란을 참고하면 되며, 그 개념을 쉽게 설명하자면 식품등에 붙어있는 일종의 "성분표시"라고 할 수 있다.  P3P를 적용한 사이트에서는 HTTP 헤더 또는 링크된 XML 파일을 통해 해당 사이트에서 취급하는 게인정보의 레벨이나 성격 등을 웹브라우져에게 알려주고 있다.  실제 사이트상에서의 P3P의 적용은 기술적으로는 별로 어렵지 않으나 "개인정보보호"라는 용어에서 느껴지듯 정책적인 측면이 매우 강하고 까다롭다.  또 계속 읽다보면 느끼겠지만 부적절한 번역 등으로 인해 각종 용어들이 무척 어렵게 느껴질 것이다.  그러나 실제로 그렇게 어려운 개념은 아니다.  단지 이해하기 힘들뿐...

  현재 우리나라에서는 회원들이나 방문객들의 개인정보를 보유하고 있는 웹사이트들은 의무적으로 "개인정보보호지침"을 기재하도록 법률로 정해져 있다.  이런 개인정보보호지침은 사람이 그 내용을 읽고 이해할 수 있도록 되어있지만, P3P는 이와는 반대로 웹브라우져 등의 소프트웨어에서 해당 사이트의 개인정보보호 지침을 인식할 수 있도록 규정되어 있다.  즉, 기계 차원에서 접속한 사이트의 개인정보 보호지침을 인식하고 현재 사용자가 설정해둔 허용값과 비교해본 후 허용, 제한, 강등, 금지 등의 조치를 자동으로 취하게 되는 것이다.

  P3P는 아직 법률과 같은 규정에 의해 강제되고 있는 사항이 아니기 때문에 모든 사이트에 적용해야할 의무는 없으나, 현재 MSIE 6.0에서 이 기능이 부분적으로 탑재되어 있기 때문에 웹프로그래머로서는 이를 무시할 수 없다.  MSIE 6.0에서부터 발생하는 쿠키 관련 문제 등의 상당 부분이 바로 이 P3P와 연관되어 있기 때문이다.

(2) P3P의 구현

  실제 웹사이트에서 P3P를 구현하기 위해서는 개인정보 보호정책이 담긴 XML 파일을 페이지에 링크하거나, 또는 압축된(Compact) 개인정보보호정책이라 불리는 HTTP 헤더값을 이용하는 방법이 있다.  XML의 경우에는 다음과 같은 방법으로 XML 파일의 URL을 지정하면 P3P를 지원하는 브라우져에서 해당 파일을 읽어와 사이트의 개인정보보호정책을 이식하게 된다. (XML파일의 스펙은  http://www.w3.org/TR/P3P 참고)

• HTTP 헤더 이용 방법 : P3P: policyref="http://test.com/p3p.xml"
• 태그 이용법1 : <meta http-equiv="P3P" content='policyref="http://w.about.com/w3c/p3p.xml"'>
• 태그 이용법2 : <link rel="P3Pv1" href="http://w.about.com/w3c/p3p.xml" type="text/xml"> 

  그리고 압축된 정책은 HTTP 헤더값에 한줄로 간략하게 넣는 형태로서 헤더값은 [P3P: CP='CAO PSA CONi OTR OUR DEM ONL'] 과 같은 형식으로 구성되어 있다.  실제로 우리가 사용하고자 하는 것도 바로 이 압축된 정책이다.  지금 IE에서 [도구]-[인터넷 옵션]-[개인정보] 메뉴를 보라.  개인정보 설정이 디폴트값인 보통으로 되어 있다면 "압축된 개인정보 보호정책이 없는 제3사 쿠키를 차단합니다"라는 문구를 볼 수 있을 것이다.  이제 "압축된 개인정보 보호정책"이란 무엇인지 이해가 되는가? (굵은 글자는 꼭 외워야 한다.)

  우리의 목적은 P3P를 실제 사이트에 적용하는 것이 아니라 P3P의 개념을 이해하여 웹프로그램상의 쿠키 적용 등에 있어 IE6에서 발생하는 문제를 막고자하는데 있으므로 굳이 P3P의 스펙을 이해할 필요는 없다. (그러기엔 너무 난해하고 까다롭다. 고로 나도 모른다.)  따라서 개인적으로 개인정보보호에 각별한 관심이 있다면 이쯤에서 이 글을 읽는 것을 중단하고 MSDN이나 W3C의 P3P 공식 사이트를 뒤져보기 바란다.

2.  MSIE 6에서의 P3P 구현

  마이크로스프트에서는 IE6에서 구현된 개인정보 보호기능과 관련해 공식적으로 다음과 같이 밝히고 있다.  (귀찮으면 읽지 않아도 된다.  한마디로 요약하자면 IE6로 쿠키를 보내려면 P3P 압축 정책을 사용하라는 말이다.)

"Internet Explorer 6의 개인 정보 기능에서 쿠키를 성공적으로 사용하려면 웹 서비스는 W3C(World Wide Web Consortium)에서 개발한 개인 정보 기본 설정용 플랫폼(P3P: Platform for Privacy Preferences) 프로젝트에 정의된 대로 압축 정책을 구축해야 합니다. Internet Explorer 6 개인 정보 기능은 이러한 압축 정책과 사용자의 개인 정보 설정에 기초하여 쿠키를 필터링합니다. 이 문서는 해당 사이트와 연관된 쿠키의 개인 정보 요구 사항 및 Internet Explorer 6에서 구현되는 쿠키 필터링에 대해 설명합니다. 일부 쿠키에는 압축 정책이 필요하지 않을 수도 있지만, 모든 쿠키에서 정책을 구현하는 것이 바람직합니다."

  IE6에서는 P3P를 이용해 개인정보 보호기능을 구현하고 있으며, 이에 따라 압축정책이 없는 쿠키들은 경우에 따라 거부될 수도 있다.  IE 6 발표 후 기존 사이트에서 빈번한 쿠키 관련 문제들이 바로 여기에 기인하고 있다.  IE6의 개인정보 보호기능은 [도구]-[인터넷 옵션]-[개인정보]를 통해 그 레벨을 조절할 수 있는데, 레벨별 제한 수준은 다음과 같다.

  여기에서 배경색이 다른 "보통" 레벨이 바로 대부분의 IE6 이용자들의 설정이다. (이유는 단지 디폴트값이므로...)  여기에서 MS식 번역으로 쿠키의 종류를 알아볼 필요가 있다.

• 제1사 쿠키 : 현재 보고 있는 사이트에서 제공하는 쿠키이다.  즉 현재 sme.or.kr을 보고 있다면 sme.or.kr에서 보내온 쿠키가 바로 제1사 쿠키이다.
• 제3사 쿠키 : 현재 보고 있는 사이트가 아닌 다른 사이트에서 보내온 쿠키이다.  이것은 img 태그나 frame 또는 iframe 등을 통해 다른 사이트의 컨텐츠를 링크해왔을 경우 해당 컨텐츠에서 쿠키를 보내오면 제3사 쿠키로 취급된다. (제2사 쿠키가 없는 이유는 제3사 라는 용어가 바로 third-party의 번역이기 때문이다 -_-)
• 영구쿠키(지속성쿠키) : 쿠키의 만료일자가 지정되어 임시파일 디렉토리에 텍스트 파일 형태로 남게되는 쿠키로서 브라우져가 닫혀도 삭제되지 않는다. (그러나 만료일자가 되면 삭제되므로 엄밀히 따지면 영구히 존재하지는 않는다.  이 세상에 영원한 것은 없는 법...)
• 임시쿠키(세션쿠키) : 쿠키의 만료일자가 지정되지 않아 브라우저가 닫히면 자동으로 삭제되는 쿠키로 메모리상에만 존재한다.

  이제 용어가 정리되었으면 다시 보통 수준의 개인정보 보호 레벨을 보자.  "압축 정책을 갖고 있지 않은 제 3 사 웹 사이트의 쿠키를 차단합니다."라는 말이 무슨 뜻인지 이해가 되는가?  이게 도대체 우리와 무슨 관계가 있을까?  매우 중요한 관계가 있다.

  이 P3P를 처음으로 들여다보게 된 계기는 수록업체 홈페이지들의 게시판에 글을 쓸때 에러가 나는 문제로 인해 정대리님의 지시를 받아 조사에 착수했었다.  현재 업체 게시판의 경우에는 게시판 자동등록기를 막기 위해 글 입력 폼에 들어가면 쿠키를 하나 보내고, 이후 폼이 submit 되면 해당 쿠키가 존재하는지 여부를 확인해 실제로 글을 등록하게 되어 있다.  따라서 글쓰기 폼을 거치지 않고 자동등록기 등을 통해 바로 submit 하게 되면 차단이 되게 만들어져 있다.  그러나 IE6 이용자의 경우에는 개인정보 보호기능 때문에 쿠키가 차단되어 정상적으로 글쓰기 폼을 거쳐와도 쿠키가 없기 때문에 에러가 난다.  바로 "압축 정책을 갖고 있지 않은 제 3 사 웹 사이트의 쿠키"이기 때문이다.  홈페이지 URL은 업체명을 딴 aaa.co.kr이지만 게시판 부분은 sme.or.kr에서 링크해오기 때문에 제3사 쿠키가 되버리기 때문이다.

  비단 게시판 문제뿐 아니라 아직 리포트되진 않았지만 sme.or.kr, smipc.or.kr, koreasme.org 등 여러가지 도메인이 혼용되어 서로 링크를 걸어가며 사용하는 사이트의 성격상 어느곳에서 이와 유사한 문제가 나타날지는 알 수 없다.  따라서 쿠키를 보낼때는 반드시 "압축된 정책"을 사용하는 것이 문제를 피할 수 있다.  이것은 매우 간단하게 프로그램 앞 줄에 다음과 같은 한줄만 추가시켜 주면 된다.

[PHP] header ("P3P: CP='ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI'");

  다른 언어도 이와 유사하게 HTTP 헤더값을 추가시켜주면 된다.  그런데 문제는 PHP에서 이 코드를 넣고 헤더분석 프로그램으로 테스트해본 결과 이 헤더값이 실제로 브라우져로 날아가지 않았다. (이유는 모른다... -_-)   더군다나 중기관의 수많은 프로그램 코드중 어떤 프로그램 소스에서 쿠키를 발급하는지 찾는것도 쉬운 일이 아니다.  따라서 가장 확실한 방법은 웹서버 차원에서 이 헤더를 뿌려주는 방법이다.  웹서버에서 뿌려주면 기존 프로그램 소스 수정없이 모든 프로그램에 적용될 것이다.   Apache에서는 httpd.conf에 다음과 같은 라인을 추가시켜 주면 된다.  (현재 SME 서버에 적용되어 있다)

  Header add 라인은 한 줄로 주욱 써야 하며, 물론 사전에 apache_root/libexec/mod_headers.so 파일이 존재하고 LoadModule과 AddModule을 통해 모듈이 정상적으로 로드되어 있어야 한다.  (mod_headers.so는 아파치 기본 컴파일 옵션으로는 설치되지 않는다.)

  이제 마지막 남은 한가지 의문은 암호문같이 길게 나열된 코드가 도대체 무엇이냐는 것이다.  바로 이것이 압축된 개인정보 정책인데, 그 의미는 솔직히 본인도 모른다.

  P3P Spec을 보고 본인 나름대로 정책을 구성해가며 계속 시도해 보았으나 무심한 IE6는 배가 불렀는지 상태바에 빨간아이콘을 내보이며 계속 쿠키 받기를 한사코 거부했다.  그래서 '이런 괴물을 만든 MS 사이트에서는 어떤 정책을 사용하나?'라는 의문이 들어 헤더분석기를 이용해 MS 사이트의 압축정책을 조사해본 결과 상기와 같은 정책이 들어있길래 Copy해서 그대로 헤더로 뿌려봤더니 드디어 빨간아이콘이 나타나지 않아서 채택한 것일 뿐이다. (무려 25개나 되는 압축된 정책들의 의미를 찾아볼 엄두가 나지 않았음... 불성실의 극치임.  -_-  본받지 맙시다!)

  압축 정책의 스펙에 대해서는 아래에서 간략히 소개할 것이며, 여기에 나와있지 않은 내용은 P3P 공식 사이트를 되져보면 된다.

3. P3P의 압축정책 Spec

  짧은 시간내에 P3P를 파헤치다보니 미흡한 점이나 잘못된 부분도 많으리라 봅니다.  편의상 존칭어를 생략한 점 사과드리고, 앞으로 보충설명이나 문제점 지적 부탁드립니다.

--------------------------------------------------------------
request.getRequestedSessionId()는 지금 만들어진 세션Id을 보기 위함이 아니라,
이전에 만들어진세션의 Id를 보기 위함입니다
--------------------------------------------------------------
세션은 보통 세션만 쓰지는 않습니다. 요것이 life타임이 얻는것이나 셋팅하는 값으로 잘 안되기 때문입니다.
디폴트가 30분인데 30분이 되기 전에 사라지는 일이 종종발생하기 때문입니다.
세션에 대한 메소드를 추가 해서 소스를 올렸습니다.
getCreateTime : 생성된 시간을 반환해주는 메소드입니다.
getLastAccessedTime : 마지막으로 세션을 access한 시간을 반환해줍니다.
getMaxInactiveInterval  : 마지막 acceess로 부터 살아남을 수 있는 시간입니다.
하지만 전 그전에 사라지는 경우를 종종 봐왔기때문에 오히려 살아남을 수 있는 최대한의 시간이라고 말하고 싶습니다.
getId : 서버가 클라이언트별루 주는 세션ID입니다. 인식자인 셈이죠..

아래 소스를 실행하면 아이디를 넣어 달라는 말이 나올겁니다. 거기서 아이디를 넣으면 그 아이디를 세션에 넣습니다.
그리고는 소스 하단부분의 if문장을 실행하게 되죠.

<%@ page contentType="text/html; charset=euc-kr"   session="true" %>
<%@ page import="java.io.*,java.util.*"%>
<html>
<body>
<%
if(session.getValue("id") == null  ){
%>
  아이디를 입력하세요.<br>
  아이디가 없으신 분은 guest를 입력하세요.<br>
  <form  >
      아이디 <input type="text" name="id"><br>
              <input type="submit" value="login">
  </form>           
<%
}
%>

<%
String user="";
if(request.getParameter("id") != null){
  user=request.getParameter("id");
  session.putValue("id",user);
          java.util.Enumeration st = session.getAttributeNames();
%>
  <br>
  <table border="1" align="center">
              <tr>
                          <td>getCreationTime()</td>
                          <td><%=(new Date(session.getCreationTime()))%></td>
              </tr>
              <tr>
                          <td>getID</td>
                          <td><%=session.getId()%></td>
              </tr>
              <tr>
                          <td>getMaxInactiveInterval</td>
                          <td><%=(session.getMaxInactiveInterval()/60)%>min</td>
              <tr>
              <tr>
                          <td>getLastAccessedTime()</td>
                          <td><%=(new Date(session.getLastAccessedTime()))%></td>
              </tr>
  </table>

<%
}
%>
</body>
</html>

--------------------------------------------------------------
일정한 시간이 지나서, 이미 해당 HttpSession 이 invalidate 되었군요...
이미 invalidate 된 session을 다시 invalidate 시키려고 하면 IllegalStateException이
발생합니다. 이 경우에 발생하는 IllegalStateException은 무시하시면 되겠습니다.

아래처럼 고치세요..

>    String mem_id = req.getParameter("mem_id");
>    HttpSession session = SessionPool.get(mem_id);
>
>    if(session!=null) {
>       session.invalidate(); // <--- !!!
>       SessionPool.remove(mem_id);
>    }

==>

>    String mem_id = req.getParameter("mem_id");
>    HttpSession session = SessionPool.get(mem_id);
>
>    if(session!=null) {
>       try{session.invalidate();}catch(Exception e){} // <-- !!!
>       SessionPool.remove(mem_id);
>    }
--------------------------------------------------------------

1. 현재 로긴되어 있는 사용자들의 id 와 세션카운트를 하는 방법

package session;

import java.io.*;
import java.util.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.util.Enumeration;

public class SessionDisplay extends HttpServlet {

 public void doGet(HttpServletRequest req, HttpServletResponse res)
 throws ServletException, IOException {

  res.setContentType("text/plain");
  PrintWriter out = res.getWriter();

  HttpSession dummySession = req.getSession(true);
  dummySession.putValue("userID", "Watcher");
  HttpSessionContext context = dummySession.getSessionContext();

  int i = 0;
  Enumeration ids = context.getIds();
  out.println("========================================");   
  out.println("No  SessionID  UserID");   
  out.println("========================================");   
  while (ids.hasMoreElements()) {
   i++;
   String id = (String) ids.nextElement();
   HttpSession session = context.getSession(id);
   String user_id = (String)session.getValue("userID");
   out.print("(" + i + ")" + id );
   out.println("  userID = [" + user_id + "]");   
  }
  out.println("========================================");   
  out.println("Total Connect User : " + i );
  out.println("========================================");   
  out.flush();
 }
}
--------------------------------------------------------------

1. user들이 로그인시 각각의 session에 아이디등이 저장됩니다.
    관리자입장에서 모든 유저들의 로그인상태를 알고자 하는데요,
    모든 유저들의 session에 저장된 값을 읽을수 있는지요...

   int k = 0;
   int j = 0;
   HttpSessionContext context = session.getSessionContext();
   Enumeration ids = context.getIds();
   while(ids.hasMoreElements())
   {
      String id = (String) ids.nextElement();
      out.println("<tr><td>");
      out.println(id);
      HttpSession foreignSession = context.getSession(id);
      String foreignUser = (String) foreignSession.getValue("LoginUser");
      String foreignName = (String) foreignSession.getValue("LoginUserName");
      out.println("<td>"+foreignUser);
      out.println("<td>"+foreignName);
      out.println("<td>"+request.getHeader("REMOTE_ADDR"));
      out.println("<td>"+new Date(foreignSession.getCreationTime()));
      out.println("<td>"+new Date(foreignSession.getLastAccessedTime()));
      out.println("</tr>");
   }
  
   위와 같이 하였더니 되더군요...
   근데요 브라우저 기준 세션을 보여주더군요...
   세션이 null로 나온것은 세션저장안된 브라우저랍니다. 
--------------------------------------------------------------

1. 세션 ID획득하는 방법임다.
  
   // 이건 세션의 컨텍스트를 얻기위한겁니다..(컨텍스터를 이용해서 세션의 ID를 알려고...)
   HttpSessionContext context = session.getSessionContext();
  
   // 위의 컨텍스트를 이용해서...
   Enumeration ids = context.getIds();
  
   // 최신의 상태가 아닌 세션을 검색하기위해 세션ID를 살펴봄..
   while (ids.hasMoreElements()) {
      String id = (String)ids.nextElement();
      out.println("Checking " + id + "...."); // 세션의 ID가 나오겠죠...
      HttpSession session = context.getSession(id);
      . . .
      String foreignUser = (String)foreignSession.getValue("user_id");
   }
--------------------------------------------------------------

1. jsp에서 회원로그인에서 session을 받아 처리하는 부분하고 이 session을 가지고
   정보수정이랑 하고 싶은데 어떻게 처리를 해 줘야 하나요?
  
   로그인할때 회원아이디값을 넘겨줍니다.
   값을 받은 페이지에서는 그 값을 세션에 넣습니다.
   이렇게요..
   session.putValue("id",userid);
   여기서 userid는 회원아이디값을 받은 String입니다.
   그러면 세션에 id가 들어가겠지요.
   다음으로 정보수정하는 페이지에 세션을 가져오는 문장을 넣지요.
   session.getValue("id");
   그리고 그 값을 String형으로 변환해서 임의의 변수에 넣습니다.
   그리고 그 임의의 변수를 이용해서 해당회원의 정보를 수정하면 되겠지요...
--------------------------------------------------------------

1. >client별 세션객체를 얻어서 client들의 세션 저장내용을 지우는 부분입니다...
   >근데 맨날도 아니구 가끔 아주 가끔 foreignSession객체에서 NullPointerException이
   >발생하는데요... 왜 그런에러가 나는지 모르겠네요...

   > HttpSessionContext context = session.getSessionContext();
   > Enumeration ids = context.getIds();
   > while(ids.hasMoreElements())
   > {
   > id = (String) ids.nextElement();
   > HttpSession foreignSession = context.getSession(id);
   > String[] session_valuenames = foreignSession.getValueNames();
   > for(int i=0; i<session_valuenames.length; i++)
   > {
   > foreignSession.removeValue(session_valuenames[i]);
   > }
   > }
  
   일종의..동기화 문제로 보여집니다.
   세션목록을 가져온 후,
   그리고 세션저장내용을 지우기 전에
   세션타임아웃 등의 이유로 세션이 없어지면
   해당 id값이 없으니 null이 들어갈것이구..
   모 일단 그렇게 보여지네요 ^^

또한 참고하세요..

☞ 로그인하고 로그아웃할때 데이터베이스 테이블에 값을 설정해서 비교하는 방법이 있습니다.

☞ 세션정보에 로그인한 사용자의 데이터도 넣을수 있을수 있다면,
세션을 체크해서 주기적으로 데이터베이스를 체크한다면 가능할거 같기두 한데요...

☞ javax.servlet.http.* 패키지에 보면 HttpSessionBindingListener 인터페이스가 있습니다.

이 인터페이스에는 몇개의 메소드가 있는데 그 중 한개가 아래에 있는것입니다.

// HttpSessionBindingListener 구현
public void valueUnbound(HttpSessionBindingEvent http) {
        logout();
}

위 메소드는 서블릿에서 사용자의 세션이 끊어졌을때 생기는 이벤트입니다.
그러니깐 사용자가 로그인 했을때 데이타 베이스에 세션 정보가 있다면 중복 로그인한 사용자이고, 없다면 세션 정보를 넣어두고, 위 메소드에서 세션 종료시 DB에 저장된 세션정보를 지우던지 필드를 ™V팅하던지 작업을 하시면 될것같습니다.

? 관련 메소드 정리

Object getAttribute(String name)
 - 주어진 이름으로 세션에 저장된 객체를 리턴한다. ※ Object getValue(String name)

Enumeration getAttributeNames()
 - 세션에 저장된 모든 객체들의 이름을 Enumeration 타입으로 리턴한다. ※ String

getValueNames()
long getCreationTime()
 - 1970년 1월 1일 0시 0분 0초를 기준으로 세션이 생성된 시간을 리턴한다.(단위 ms)

String getId()
 - 세션의 ID를 리턴한다.

long getLastAccessedTime()
 - 1970년 1월 1일 0시 0분 0초를 기준으로 클라이언트가 이 세션에서 요청을 보낸 마지막 시간을 리턴한다.

int getMaxInactiveInterval()
 - 서버가 클라이언트의 요청없이 세션을 유지하는 최대 시간을 리턴한다. (단위 초)

void invalidate()
 - 세션을 종료한다.

boolean isNew()
 - 세션이 만들어지고 클라이언트가 아직 세션에 조인되지 않았으면 true를 리턴한다.

void setAttribute(String name, Object value)
 - 세션에 이름을 이용해서 객체를 저장시킨다. ※ void putValue(String name, Object value)

void removeAttribute(String name)
 - 주어진 이름의 객체를 세션에서 삭제한다. ※ void removeValue(String name)

void setMaxInactiveInterval(int interval)
 - 클라이언트의 요청없이 세션을 유지할 수 있는 최대 시간을 설정한다. (단위 초)