AOJ v2 1차 구현 목록을 전부 끝내고 이제 그간 쓰고 있던 XpressEngine 에서 바닐라2 로 마이그레이션 툴을 짜면서 사용자 비밀번호를 어떻게 마이그레잇해야 하나.. 하면서 XE 구현을 들여다 보니
modules/member/member.model.php: // md5 해쉬된값가 맞으면 return true
modules/member/member.model.php: if($hashed_password == md5($password_text)) return true;
오 쉬발 제발 이게 사실이 아니라고 말해줘. 심지어는 한글 주석 문법도 틀렸어.
하지만 사실이었다. 디비 뒤져보니 내 패스워드가 salt 도 없이!!!!! 깔끔하게 md5() 한번 해서 들어가 있다. 알고스팟이 3년쯤 되었으니 XE 도 3년이 되었다. 아직도 이 모양. 아직도 이걸 쓰고 있었다니. 한숨
바닐라는 당연하게도... md5 로 비밀번호가 저장되어 있으면 (마이그레이션을 예상하고 만든 것 같다) 처음 로그인시에 '핫뜨거라 md5 네' 하고 blowfish 로 바꿔서 다시 저장해 준다. :-(
근데 암호저장에 2-way 인 blowfish 쓰는건 반댈세