member 모듈의 procMemberUpdateAuthMail act 삭제

[kijin]

코어 어디에도 이 act를 호출하는 코드가 없습니다. 아마 오래 전에 procMemberResendAuthMail로 대체된 후 버려진 act인 것 같습니다. 실제 내용도 procMemberResendAuthMail와 거의 똑같고요.

사용자 계정 보안과 직결된 코드에 이렇게 불필요한 중복이 있으면 나중에 취약점이 발생할지도 모르기 때문에 삭제하는 것이 좋겠습니다.

이 act를 지워도 인증메일 재발송에는 아무 문제가 없는 것을 확인했습니다.

[ghost]

오래된 member 스킨에서 이 액션을 사용할 가능성이 있습니다.

[bjrambo]

@bnu 그건 서드파티 개발자들이.. 직접 업데이트 해봐야할 부분이 아닐까 생각됩니다.

[kijin]

XE 1.3.0부터 여러 버전을 다운받아서 확인해 봤는데, 어디에도 이 act를 호출하는 코드가 보이지 않습니다. 버려진 지 5년 반이 넘었다는 뜻이지요. 그렇게 오래된 스킨이라면 최신 버전의 XE에서는 아예 작동이 안 되지 않을까요?

[YJSoft]

@bnu
confirm_member_account_mail.html confirm_member_new_email.html find_member_account_mail.html 스킨파일이 모두 인증 링크를

<a href="{$auth_url}">{$auth_url}</a>

와 같이 직접 작성하지 않고 있어, 코어에서 사용하지 않는다면 스킨에서도 사용할 일은 없습니다.
(XE 1.2.5부터 위와 같이 스킨파일에서 직접 주소를 작성하지 않은 것으로 보이기에, 서드파티 자료 문제는 없을 것으로 보입니다)

다만 예전 해당 act가 사용될 때 발송된 메일은 인증이 안되는 문제가 있을수 있습니다만, 그때 발송한 메일이 아직도 인증된다는것 자체가 문제입니다.

[kijin]

@YJSoft 인증메일에 들어가는 링크($auth_url)는 해당 act가 아니라 procMemberAuthAccount를 호출합니다. 따라서 이 act가 있든 없든 인증가능 여부와는 관련이 없습니다.

아직도 인증이 너무나 잘 된다는 것이 오히려 문제이긴 하죠 #1373 ㅋㅋ