티스토리 블로그는 원격에서 포스팅을 할 수 있도록 Blog API 기능을 제공하고 있습니다.



티스토리만의 기능이 아니고 티스토리, 텍스트큐브닷컴, 이글루스, 네이버, 다음, 싸이 블로그등 이름이 좀 알려진 블로그들은 모두 Blog API 기능이 있습니다.



Blog API의 장점?
 
사용하기 나름이지만 장점이 많습니다.

인터넷이 되지 않는 환경이라도 언제든 시간이 날때마다 글을 작성해 두었다가 인터넷이 되는 환경에서 글을 등록할 수 있습니다.

Blog API를 지원하는 곳에서 글을 하나 작성하면 Blog API를 지원하는 블로그에 모두 등록이 가능 합니다.

한곳에서 글을 작성한후 복사하기 - 붙여넣기의 과정 따위는 필요하지 않습니다.


또는 제가 사용하듯이 프로그래밍이 가능하다면 자료를 입력하면 일정한 형식으로 글을 작성하여 자동으로 블로그에 등록이 되도록 하는것도 가능 합니다.

Blog API를 사용하여 GPS를 이용한 여행기가 자동으로 등록되는 블로그

GPS 로그 공유 => http://log.gpson.kr

위의 블로그는 야외 활동시(자전거 여행, 라이딩, 등산, 여행등) GPS를(GPS Logger) 이용해 이동 경로를 기록하면서 같이 찍은 사진을 입력하면 자동으로 사진을 지오태깅(GeoTagging)하여 이동 경로를 표시한 지도와 고도, 속도 그래프, 지오태깅한 사진을 입력하도록 만들어 놓은 블로그 입니다.

여행기의 경우 사진이나 이동 경로, 설명등의 내용은 다르지만 전체적인 형태는 동일하기 때문에 이렇게 자동으로 내용을 만들어 올리고 필요한 내용만 추가해주면 쉽게 여행기를 만들 수 있습니다.




티스토리에만 없는게 있다? 보안성
 
Blog API를 제공하는 다른 블로그엔 모두 있지만 티스토리 블로그에만 없는게 있습니다.

티스토리에만 없는건 보안성 입니다.


블로그에 직접 로그인을 하여 글을 적는게 아니기 때문에 Blog API를 이용할땐 패스워드 노출의 위험성이 있습니다.

직접 로그인을 하는 경우엔 보안을 위해 여러가지 장치가 되어 있지만 Blog API는 원격에서 등록을 하기 때문에 보안을 위한 장치가 없습니다.

쉽게 얘기해서 "아이디와 패스워드는 이거니까 이 글을 등록해줘~" 하고 친절하게 쪽지에 적어서 전달을 하기 때문에 전달하는 과정에서 마음만 먹으면 "아이디와 패스워드"를 쉽게 들여다볼 수 있습니다.

이러한 보안상의 위험 때문에 Blog API를 제공하는 블로그들은 계정의 패스워드가 아닌 Blog API 전용 패스워드를 별도로 사용을 합니다.

중간에서 패스워드가 노출이 되더라도 Blog API 전용 패스워드이기 때문에 사용하는 블로그 계정의 정보가 직접 노출이 되지는 않기 때문 입니다.

Blog API는 글 등록 / 수정 2가지 기능밖에 제공하지 않기 때문에 패스워드를 알고 있다고 하여도 심각한 위험에 노출이 되지는 않습니다.


아래의 내용은 이글루스의 Blog API에 있는 내용으로 읽어보시면 Blog API 전용 패스워드가 왜 필요한지 이해가 되실거라 생각 합니다.

API key는 XML-RPC를 이용하여 포스팅을 할 때 비밀번호 대신 입력하는 값입니다. 이글루스의 비밀번호는 외부로 유출될 경우 회원님의 개인정보 열람 및 블로깅한 Data를 수정/삭제할 수도 있는 중요한 정보입니다. 특히 신뢰할 수 없는 타 사이트에서 XML-RPC를 이용하기 위해 회원님의 비밀번호를 입력하는 것은 보안상 위험할 수 있습니다. 비밀번호는 이글루스에 로그인할 때만 이용하시기 바라며, XML-RPC를 이용하실 때에는 앞으로 비밀번호 대신에 API key를 사용하시기 바랍니다.



네이버 블로그

네이버 블로그

싸이월드 블로그

싸이월드 블로그

이글루스 블로그

이글루스 블로그

텍스트큐브닷컴 블로그

텍스트큐브닷컴 블로그



위와 같이 Blog API를 제공하는 블로그들은 모두 보안을 위해 Blog API 전용 패스워드를 사용하고 있습니다.

티스토리만 패스워드가 보이질 않아~!

티스토리만 패스워드가 보이질 않아~!


하지만 티스토리만 위와 같이 주소와 ID만 나와 있지 패스워드에 대한 항목은 없습니다.

즉, 티스토리만 블로그 계정의 패스워드를 그대로 Blog API 패스워드로 사용을 하고 있습니다.





티스토리의 개선이 필요한 부분 입니다 ^^



신고

Posted by 상오기™

이 포스팅이 도움이 되었다면 구글에서 관련 정보를 찾아 보세요 ^^


댓글을 달아 주세요

  1. Favicon of http://parksk.tistory.com BlogIcon 박상근 2009.09.05 13:25 신고  댓글주소  수정/삭제  댓글쓰기

    BlogAPI는 삭제 기능까지도 제공합니다 :)

    • Favicon of http://sangogi.com BlogIcon 상오기™ 2009.09.05 13:40 신고  댓글주소  수정/삭제

      어디에서 제공을 하나요?
      Blog API 자체에선 삭제 기능이 없습니다.
      MetaWeblog API, Blogger API, Movable Type API의 스펙을 보면 삭제와 관련된 API는 없습니다.
      참고 : http://dna.daum.net/apis/tistory

      블로거 데이터 API에서 삭제 기능이 있긴 하지만 이 API를 모든 블로그에서 지원을 하지는 않는것 같습니다.
      http://code.google.com/intl/ko-KR/apis/blogger/

      대부분 MetaWeblog API를 지원을 하죠 ^^

  2. Favicon of http://blog.daum.net/teriouswoon BlogIcon 테리우스원 2009.09.05 13:28 신고  댓글주소  수정/삭제  댓글쓰기

    즐거운 주말이 되시길

    행복하세요! 사랑합니다!!

  3. Favicon of http://blue2310.tistory.com BlogIcon 드자이너김군 2009.09.05 13:50 신고  댓글주소  수정/삭제  댓글쓰기

    전 블로그 APi를 쓰지는 않기 때문에..ㅎ
    사실 저 개념도 썩 와닿지 않아요. 제가 Rss를 쓰기 전에는 잘 몰랐던 것처럼.
    근대 비밀번호가 그대로 노출될 위험이 있다는건 정말 큰일이네요..

  4. Favicon of http://iconiron.tistory.com BlogIcon 레오 ™ 2009.09.05 21:31 신고  댓글주소  수정/삭제  댓글쓰기

    아 ~ 이게 뭔소린쥐 ...컴맹아저씨 다녀갑니다 ㅋㅋ

  5. Favicon of http://parksk.tistory.com BlogIcon 박상근 2009.09.06 23:21 신고  댓글주소  수정/삭제  댓글쓰기

    MetaWeblog API에서 deletePost(String.Empty, postid, username, password, true) 함수가 있습니다.
    삭제할 글의 postID만 알면 수정분 아니라 삭제도 가능합니다^^

    http://msdn.microsoft.com/ko-kr/library/aa905670.aspx

    • Favicon of http://sangogi.com BlogIcon 상오기™ 2009.09.07 00:18 신고  댓글주소  수정/삭제

      전의 댓글에 달았다시피 삭제 api는 MetaWeblog의 API가 아닙니다.

      Blogger API에서 버전업(?)한 API에서 지원하는 것입니다.

      제가 Blog API로 나온 프로그램을 직접 써보지 않아서 실제로 티스토리나 텍큐닷컴이나 네이버 블로그등에서 삭제 API가 적용이 되는지는 모르겠네요.

      블로그마다 blog api 설명에 대부분 MetaWeblog API를 지원하는걸로 되어 있는데(프로그램 설명에 모두 MetaWeblog API를 선택하라고 나오니까요) Blogger API를 지원하지 않는다면 삭제 기능 역시 지원이 되지 않는다고 봐야겠죠

      어찌되었든 티스토리의 blog api에 별도의 암호는 필요할것 같습니다 ^^

      좋은 밤 되세요 ^____^

      p.s 관련 자료를 찾다보면 blog api는 우리나라에서만 사용되는 용어 같네요.
      외국에선 각각의 API를 구분해서 사용하는것 같습니다 ^^

  6. Favicon of http://parksk.tistory.com BlogIcon 박상근 2009.09.07 01:13 신고  댓글주소  수정/삭제  댓글쓰기

    아, 함수를 보니 blogger API에서 지원하는 삭제함수군요.
    간단하게 BlogAPI를 이용해서 제 티스토리에 글등록/수정/삭제 등 테스트 해봤는데 삭제기능 또한 잘 작동합니다.
    좋은 밤 되세요~^^

  7. 2009.10.21 18:41  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • Favicon of http://sangogi.com BlogIcon 상오기™ 2009.10.21 21:56 신고  댓글주소  수정/삭제

      가능 합니다.
      API를 이용하여 검색 결과를 반환받아서 그 값을 Bloa API를 이용하여 블로그에 등록하면 됩니다.
      네이버나 다음 오픈 API 사이트를 참고 하시면 됩니다.
      전제조건은 PHP나 기타 웹 프로그래밍을 아셔야 합니다 ^^

  8. 2009.10.22 09:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  9. 좀과민한건지? 2010.11.29 23:27 신고  댓글주소  수정/삭제  댓글쓰기

    외부에서 api키값을 알수 있다는건 나머지 아이디나 뭐 그런것도 알수 있다는 뜻인데요.
    어차피 api키을 알아도 삭제 수정이 가능한데 그냥 비밀번호로 하는거하고 무슨 차이가 있을까요?

    • Favicon of http://sangogi.com BlogIcon 상오기™ 2010.11.29 23:36 신고  댓글주소  수정/삭제

      어떤 이유로든 api 키 값이 노출되었다고해서 비밀번호까지 노출되었따는 의미는 아니니까요~~

      그리고 비밀번호의 경우 대다수의 유저가 같은 비번을 사용하는 경향이 많기 때문에 가능한 노출되지 않는게 좋다고 생각 합니다.

      그리고 blog api의 경우 저와 같은 개인 개발자들이 제공하는 경우도 많은데(제가 공개한 블로그 지오태깅처럼) 직접적으로 비번을 노출시키는건 아무래도 찜찜하기 때문이죠~! ㅡㅡ



티스토리 툴바