본문 바로가기
나의 정보/블로그 활용하기

티스토리에만 없는게 있다면? 실종된 Blog API 보안성~!!

by 상오기™ 2009. 9. 5.
티스토리 블로그는 원격에서 포스팅을 할 수 있도록 Blog API 기능을 제공하고 있습니다.



티스토리만의 기능이 아니고 티스토리, 텍스트큐브닷컴, 이글루스, 네이버, 다음, 싸이 블로그등 이름이 좀 알려진 블로그들은 모두 Blog API 기능이 있습니다.



Blog API의 장점?
 
사용하기 나름이지만 장점이 많습니다.

인터넷이 되지 않는 환경이라도 언제든 시간이 날때마다 글을 작성해 두었다가 인터넷이 되는 환경에서 글을 등록할 수 있습니다.

Blog API를 지원하는 곳에서 글을 하나 작성하면 Blog API를 지원하는 블로그에 모두 등록이 가능 합니다.

한곳에서 글을 작성한후 복사하기 - 붙여넣기의 과정 따위는 필요하지 않습니다.


또는 제가 사용하듯이 프로그래밍이 가능하다면 자료를 입력하면 일정한 형식으로 글을 작성하여 자동으로 블로그에 등록이 되도록 하는것도 가능 합니다.

Blog API를 사용하여 GPS를 이용한 여행기가 자동으로 등록되는 블로그

GPS 로그 공유 => http://log.gpson.kr

위의 블로그는 야외 활동시(자전거 여행, 라이딩, 등산, 여행등) GPS를(GPS Logger) 이용해 이동 경로를 기록하면서 같이 찍은 사진을 입력하면 자동으로 사진을 지오태깅(GeoTagging)하여 이동 경로를 표시한 지도와 고도, 속도 그래프, 지오태깅한 사진을 입력하도록 만들어 놓은 블로그 입니다.

여행기의 경우 사진이나 이동 경로, 설명등의 내용은 다르지만 전체적인 형태는 동일하기 때문에 이렇게 자동으로 내용을 만들어 올리고 필요한 내용만 추가해주면 쉽게 여행기를 만들 수 있습니다.




티스토리에만 없는게 있다? 보안성
 
Blog API를 제공하는 다른 블로그엔 모두 있지만 티스토리 블로그에만 없는게 있습니다.

티스토리에만 없는건 보안성 입니다.


블로그에 직접 로그인을 하여 글을 적는게 아니기 때문에 Blog API를 이용할땐 패스워드 노출의 위험성이 있습니다.

직접 로그인을 하는 경우엔 보안을 위해 여러가지 장치가 되어 있지만 Blog API는 원격에서 등록을 하기 때문에 보안을 위한 장치가 없습니다.

쉽게 얘기해서 "아이디와 패스워드는 이거니까 이 글을 등록해줘~" 하고 친절하게 쪽지에 적어서 전달을 하기 때문에 전달하는 과정에서 마음만 먹으면 "아이디와 패스워드"를 쉽게 들여다볼 수 있습니다.

이러한 보안상의 위험 때문에 Blog API를 제공하는 블로그들은 계정의 패스워드가 아닌 Blog API 전용 패스워드를 별도로 사용을 합니다.

중간에서 패스워드가 노출이 되더라도 Blog API 전용 패스워드이기 때문에 사용하는 블로그 계정의 정보가 직접 노출이 되지는 않기 때문 입니다.

Blog API는 글 등록 / 수정 2가지 기능밖에 제공하지 않기 때문에 패스워드를 알고 있다고 하여도 심각한 위험에 노출이 되지는 않습니다.


아래의 내용은 이글루스의 Blog API에 있는 내용으로 읽어보시면 Blog API 전용 패스워드가 왜 필요한지 이해가 되실거라 생각 합니다.

API key는 XML-RPC를 이용하여 포스팅을 할 때 비밀번호 대신 입력하는 값입니다. 이글루스의 비밀번호는 외부로 유출될 경우 회원님의 개인정보 열람 및 블로깅한 Data를 수정/삭제할 수도 있는 중요한 정보입니다. 특히 신뢰할 수 없는 타 사이트에서 XML-RPC를 이용하기 위해 회원님의 비밀번호를 입력하는 것은 보안상 위험할 수 있습니다. 비밀번호는 이글루스에 로그인할 때만 이용하시기 바라며, XML-RPC를 이용하실 때에는 앞으로 비밀번호 대신에 API key를 사용하시기 바랍니다.



네이버 블로그

네이버 블로그

싸이월드 블로그

싸이월드 블로그

이글루스 블로그

이글루스 블로그

텍스트큐브닷컴 블로그

텍스트큐브닷컴 블로그



위와 같이 Blog API를 제공하는 블로그들은 모두 보안을 위해 Blog API 전용 패스워드를 사용하고 있습니다.

티스토리만 패스워드가 보이질 않아~!

티스토리만 패스워드가 보이질 않아~!


하지만 티스토리만 위와 같이 주소와 ID만 나와 있지 패스워드에 대한 항목은 없습니다.

즉, 티스토리만 블로그 계정의 패스워드를 그대로 Blog API 패스워드로 사용을 하고 있습니다.





티스토리의 개선이 필요한 부분 입니다 ^^