IT이야기2009. 3. 17. 19:01
1~2월에 시스코에서 서버 시장에 진출한다는 언론보도가 있었다. 그리고 시스코는 16일 서버 진출에 대한 공식 선언을 했다. 시스코의 서버시장 진출에서 가장 중요한게 봐야할 것은 UCS(Unified Computing System) 개념. 'Unified'단어에서도 알 수 있듯이 서버, 네트웍, 스토리지, 가상화 SW가 하나로 묶어 통합된 하나의 아키텍쳐를 제공한다는 것이다. 그들은 이 UCS가 데이터센터용으로 새로운 표준 아키텍쳐가 되기를 기대하고 있다.

간략한 사항은 다음과 같다. ('Data Center Knowledge'의 글에 따르면 4월 초에 상세한 사항이 나올 예정)
  • 비용 절감 : 설비 비용(CAPEX) 최대 20%, 운영 비용(OPEX) 최대 30%까지 절감한다고 주장
  • 인텔 네할렘(Nehalem) 프로세서(새로운 제온 프로세서)
  • 10G 네트웍 지원
  • 가상화 기술
  • GUI, CLI환경의 'Cisco UCS Manager'를 이용하여 중앙에서 통합관리할 수 있다. API 제공
  • 6U 블레이드 샤시 ('UCS 5108' 모델의 경우)
  • 1U half 슬롯 크기의 서버 8대(아래 첫번째 사진) 또는 full 1U 서버 4대(두번째 사진)장착 가능

시스코의 UCS B-Series 블레이드 서버(사진에는 'UCS 5108'이라고 적혀있다.)의 사진이다. 플리커에 올라온 'Unified Computing Telepresence Press Conference' 에서 3000x2400 크기의 사진을 볼 수 있다.

Cisco UCS blade server
Cisco UCS blade server

[ 사진 출처 : 위 플리커 주소에서 ]

블레이드 서버를 만드는 IBM, HP, 선마이크시스템즈, Dell에는 어떤 영향을 미칠까? 파이를 나눠먹을 것인가, 더 커질 것인가? 현시점에서 이를 알기는 어렵다. 다만 서로 자극을 받아 혁신적인 플랫폼을 만들어내기를 바랄 뿐이다.

Posted by 좋은진호
IT이야기2009. 3. 9. 23:53
웹프로그래밍을 할 때, 웹브라우저명(Agent)이나 레퍼러(Referer) 정보를 화면에 출력할 경우가 있다. Request header의 웹브라우저명, 레퍼러를 누구나 쉽게 변경(위조)가 가능하다는 것을 알면서도 특별한 조치없이 바로 echo하는 경우가 많다. 일반적인 브라우저명이라면 다음과 같은 형식이다. 그대로 echo한다고 해도 문제가 되지 않을 것이다. 

Mozilla/5.0 (X11; U; Linux i686; ko; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

그러나 다음과 같이, 브라우저명에 자바스크립트 등의 코드를 넣은다면 상황은 달라질 것이다. 피해는 XSS나 XSRF에 비해 미비할 수도 있겠지만 악의적인 임의의 자바스크립트를 실행할 수 있다.

<script>alert('hello')</script>

브라우저명에 실행가능한 형태의 코드나 자바스크립트를 넣는 것을 XAS(Cross Agent Scripting)라고 하며,
레퍼러에 넣는 것을 XRS(Cross Referer Scripting)이라고 부른다.

레퍼러를 변경해서 테스트해보자. FireFox에는 레퍼러를 변경할 수 있는 'RefControl' Addon( http://addons.mozilla.org/ko/firefox/addon/953 )이 있다. 설치 후 도구 -> RefControl Options -> Add Site 를 클릭한다.

RefControl

( Firefox RefControl Addon에서 Referer를 사용자가 설정하는 화면 )



단순히 <? echo $_SERVER['HTTP_REFERER']; ?>만 되어 있는 페이지의 경우 다음과 같이 자바스크립트가 실행되는 것을 확인할 수 있다.
XRS 임시 테스트 화면

( XRS 테스트 결과. 이 페이지는 테스트를 위해 임시로 만듬. 실제 존재하지 않음 )



XAS, XRS를 막기위해서 php의 경우 htmlspecialchars() 함수 등으로 특수문자(<, > 등)를 변환해야 한다.

[ 좋지 않은 php 코드 ]
<?
echo $_SERVER['HTTP_USER_AGENT'];
echo $_SERVER['HTTP_REFERER'];
?>

[ 안전한 형태의 php 코드 ]
<?
echo htmlspecialchars($_SERVER['HTTP_USER_AGENT']);
echo htmlspecialchars($_SERVER['HTTP_REFERER']);
?>

※ XSS(Cross Site Scripting), CSRF/XSRF(Cross Site Request Forgery)에 대한 한글 문서는 많으나 XAS, XRS에 대한 글은 거의 없어 정리했다.

Posted by 좋은진호
IT이야기2009. 2. 27. 13:37
꽃보다 남자

드라마 '꽃보다 남자' (이미지 출처 : esbada 티스토리 블로그)


드라마 '꽃남'을 본 적이 없다. 주위에서 F4, 구준표, 금잔디 얘기가 자주 들린다. 얘기를 해도 뭔지 알아 들을 수가 없지만. ^^ 'F4', '꽃남', '꽃보다남자' 등의 이름으로 도메인 등록한 것이 있는지 확인해봤다.

결과는?

$ ./whois_list.sh f4
f4.co.kr             등록 => 등록일: 2005. 01. 15.
f4.or.kr             등록 => 등록일: 2008. 11. 30.
f4.re.kr             없음
f4.pe.kr             등록 => 등록일: 2008. 03. 04.
f4.go.kr             없음
f4.kr                없음
f4.com               등록 =>  Creation Date: 17-nov-1999
f4.org               등록 => Created On:11-Dec-1998 05:00:00 UTC
f4.net               등록 =>  Creation Date: 27-may-2002

$ ./whois_list.sh 꽃남
꽃남.co.kr           없음
꽃남.or.kr           없음
꽃남.re.kr           없음
꽃남.pe.kr           없음
꽃남.go.kr           없음
꽃남.kr              등록 => 등록일: 2009. 01. 20.
꽃남.com             등록 =>  Creation Date: 31-jan-2009
꽃남.org             없음
꽃남.net             없음

$ ./whois_list.sh 꽃보다남자
꽃보다남자.co.kr     없음
꽃보다남자.or.kr     없음
꽃보다남자.re.kr     없음
꽃보다남자.pe.kr     없음
꽃보다남자.go.kr     없음
꽃보다남자.kr        등록 => 등록일: 2008. 09. 25.
꽃보다남자.com       등록 =>  Creation Date: 08-jan-2009
꽃보다남자.org       등록 => Created On:19-Nov-2002 09:53:15 UTC
꽃보다남자.net       등록 =>  Creation Date: 20-feb-2009

f4.or.kr은 2008년 11월 30일. 꽃남.kr, 꽃남.com, 꽃보다남자.com, 꽃보다남자.net은 드라마의 인기 시점과 맞아 떨어지는 2009년 1월~2월에 등록했다. f4.or.kr, 꽃남.kr, 꽃보다남자.com 도메인은 서비스가 되고 있다. 그러나 다른 것을 홍보하기 위한 용도의 서비스. '꽃보다여자'가 들어가는 도메인은 없었다.

2mb 도메인 이후 흥미롭게 찾아본 도메인이다. f4.kr 도메인은 아직 남았있다. 난 전혀 관심이 없는데, 누구 등록하실 분? ^^



Posted by 좋은진호
IT이야기2009. 2. 9. 19:33
UNIX time은 UTC(표준시) 기준으로 1970년 1월1일 00:00:00 부터 시작한다. 재밌게도 1234567890

- GMT 기준으로 '13일의 금요일' 23:31:30이고,
- GMT+9(우리 나라) 기준으로 '14(토) 발렌타인데이' 08:31:30이다.
( GMT 기준으로 13일이라는 것을 얘기해준 '쿠사리줄까'님 감사)

php에서
<?
echo date("Y/m/d H:i:s T", "1234567890");
?>
결과 : 2009/02/14 08:31:30 KST

perl에서
$ perl -e "print scalar localtime(1234567890);"
Sat Feb 14 08:31:30 2009

shell에서
$ date -d @1234567890
2009. 02. 14. (토) 08:31:30 KST

글을 쓰는 현재는 1234175076.
Posted by 좋은진호
IT이야기2009. 2. 7. 00:35
MIB Browser로 운영중인 네트웍 장비의 SNMP값을 보곤하는데, '혹시 아파트나 건물의 네트웍 장비의 SNMP값을 얻어낼 수 있을까'라는 생각이 들었다.
PC에서 사용중인 게이트웨이 IP를 MIB Browser에 넣고 'system.sysDescr.0' GET 요청을 해봤다. 오~ 'V5216F NOS 9.26/DS-O4-06H-B3'라고 나온다. SNMP를 열어놨어? 아니~~ 이러면 안되는 거잖아. walk 요청을 해봤다. 정보가 줄줄줄~~ 모두 나온다.

sysDescr.0 V5216F NOS 9.26/DS-O4-06H-B3
sysUpTime.0 3110 hours 55 minutes 7 seconds
sysName.0 ?????????_???????
sysLocation.0

ifDescr.1 port1-FX-100
ifDescr.2 port2-FX-100
... 생략 ...
ifDescr.5 port5-TX-10/100
ifDescr.6 port6-TX-10/100
... 생략 ...
ifDescr.13 port13-UNKNOWN
ifDescr.16 port16-UNKNOWN
... 생략 ...
ifDescr.17 port17-GBIC
ifDescr.18 port18-GBIC

.1.3.6.1.2.1.47.1.1.1.1.12.1 DASAN Networks Inc.,

V5216F 장비에 대해 찾아봤다.
SNMP 정보에서도 확인된 것 처럼 '다산 네트웍스' 장비이며, 10/100 Base TX(또는 100 Base FX) 16포트와 GBIC 2포트를 제공한다. 'FTTB/FTTH 네트워크 환경기반의 아파트, 호텔, 병원 등과 같은 거주자 밀집 지역에 서비스 위한 장비'라고 한다. 그리고, 모 통신사에 2004년, 2005년 등에 많은 대수를 납품한 적이 있다. 그렇다. 난 그  통신사의 서비스를 이용하고 있다.

SNMP 정보로 네트웍 장비 종류, 업타임, 포트별 트래픽, TCP/UDP/ICMP/SNMP 통계정보, 라우팅정보, 그리고 이 장비를 이용하는 여러 가입자의 MAC Address, 사용중인 IP 등의 정보를 모조리 볼 수 있었다. IP 대역이 4~5개 정도 되었고 확인된 IP가 대략 140여개 된다. IfInOctets, IfOutOctets 등의 값으로 트래픽 그래프(RRD나 MRTG)를 그릴 수도 있을 것이다.

가입자 IP정보와 MAC Address


라우팅 정보


두 곳에서 SNMP정보를 얻었는데, system.sysName.0 값은 '건물명_장비명'(아파트명_장비명) 또는 '건물명_설치된공간명' 처럼 규칙이 있는 것으로 보인다. 그리고 두 곳의 system.sysUptime.0 이 비슷했다. 그 시점에 일괄점검이나 펌웨어 업그레이드를  했을 가능성이 보인다.

장비 기본 정보


서비스 제공업체는 Community명을 변경하거나, SNMP GET/SET을 허용할 IP를 제한할 수도 있을건데, 가입자들은 네트웍에 대해 전혀 모른다는 안일한 생각을 갖고 있는 것은 아닐까.

Posted by 좋은진호
IT이야기2009. 2. 3. 19:37
리눅스에서는 GQview( http://gqview.sourceforge.net/ ), gThumb 등으로 Exif 정보를 쉽게 살펴볼 수 있다.

01


사진의 Exif 정보에는 찍은 시간, 어떤 디카를 갖고 있는지 등 너무 상세한 정보가 적나라게(?) 드러난다. '아~ 이사람 그시간에 저기에 있었군'이라는 느낌을 받기 싫다면 gimp에서 Exif 정보를 지우고 저장할 수 있다. 저장할 때 Exif 정보를 함께 저장할 것인지 선택('Save EXIF data')할 수 있는데, 체크만 해제(기본값은 체크되어 있음)하면 된다.


Exif정보가 말끔히 사라졌다.

Posted by 좋은진호
IT이야기2009. 2. 2. 23:13
방통위에서 며칠전 2009년도 '본인확인조치 의무대상' 사업자(본인확인제) 선정결과를 공시하였다. 2008년에는 포털 16개, 인터넷 언론 15개, UCC 6개(판도라TV, 디씨인사이드, 엠엔캐스트, 티스토리, 이글루스, 엠군)등 37개 업체였다. 그러나 올해는 무려 153개 사이트로 급증했다.


- P2P 사이트 상당수(짱파일, kdisk, wedisk, mfile, zfile, 프루나, 파일노리, ...)
- 쇼핑몰사이트 상당수
- JobKorea, 알바몬, 인크루트, 사람인, 커리어 등 취업 사이트 다수
- 유투브, 뽐뿌, SLR클럽, 풀빵닷컴, 다나와, cafe24 등

선정기준은 일평균이용자수가 10만명 이상이며 게시판 및 댓글 서비스를 운영하는 사이트를 대상으로 했다고 한다. 결국 유저들이 가는 대부분의 곳에 규제 및 감시할 수 있는 장치를 마련한 것이 아닌가. '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따른 것이라는데, 늘 생각 되는게 '이용촉진'이라는 말을 왜 저기에 쓰는 것인지 알 수가 없다.

작년 말 교과서 수정하라는 말도 안되는 일이 벌여졌다. 하지만 교과서에만 해당된 것이 아니었다. '현 대한민국에서 출판의 자유는 없다!! - 때 아닌 출판 검열!!'이라는 글을 읽어보면, 끓어오르는 감정과 나도 모르게 불끈쥔 주먹을 보게될 것이다.

이쯤하면 '빅브라더'도 울고갈 세상이다. '조지 오웰'이 쓴 소설 '1984'(빅브라더가 등장하는 바로 그 소설)는 디스토피아 세상인 1984년을 배경으로 했다. 1984년은 시간적으로 이미 지났지만 '1984'는 결코 멈추지 않고 최근 1년간 무섭게 진행되고 있음을 우리는 안다. 이런식의 규제와 겸열은 그만두고, 정치인이나 고위직의 언행을 검열하는게 나을 듯 싶다. 먼저 뱉어낸 다음 '그게 아니다', '오해다'라고 얘기하고, 지키지 못할 약속으로 국민을 붙통터트리고 있지 않는가.

Posted by 좋은진호
IT이야기2009. 1. 3. 12:48


Where Google gets all that Gmail hard drive space

출처 : 'Joy of Tech' comic (2005.4.4)

Gmail만 그러겠는가. 서버, 검색데이터 등 모두 저렇게 땅속을 떡 하니 잡고 있을 것이다. 그래서 개발할 때 '삽질'한다는 말을 쓰는 것 같다. ^^

2005~2006년 콜롬비아강 근처 댈러스에 축구장 2배 크기의 IDC 건립에 대한 얘기가 떠오른다. 그 당시에 전세계 서버팜에 있는 서버가 45만대 정도될거라는 얘기가 있었다. 지금은 몇 대나 될까...

Posted by 좋은진호
IT이야기2008. 12. 14. 02:21
정식 발표 이후 이틀정도 주 브라우저로 사용했다. 베타 버전 사용할 때 자꾸 브라우저가 멈춰서, 10월 이후에는 거의 사용하지 않았다. 그래서 이 글에서 얘기한 것이 그 이전에 이미 개선된 것일 수도 있다.

  • 안정적이다. 브라우저가 죽는 경우가 없었고, 먹통이 되지도 않았다.
  • '알라딘'에서 책 미리보기시 '이전'과 '다음'버튼 눌러도 동작한다. 이전 사용할 때 안되어서 FF 사용했었다.
  • 시크릿 모드(Ctrl+Shift+N) 창에서 Ctrl+N을 누르면 일반 창으로 빠져 나올 수 있다. 전에는 Ctrl+N를 눌러도 계속 시크릿 모드 창만 떴다.

  • URL을 UTF-8로 보내서, 한글 파일 링크 클릭시 다운로드 안되는 것은 여전하다.
         (현실은 아직 EUC-KR한글 파일명이 많다.)
         (※ 파이어폭스는 about:config한 후 network.standard-url.encode-utf8 를 false 로 설정할 수 있다. 파이어폭스처럼 설정가능하면 얼마나 좋을까...)

Posted by 좋은진호
IT이야기2008. 12. 10. 19:36
골빈해커님의 '역시 아직은 Perl 이 짱이에염~!'  글과 aero님의 'Wanna Kill Perl?'  글을 읽고, FreeBSD 6.4에서 perl 등의 스크립트가 몇개가 되는지 확인해봤다.  체크할 디렉토리는 스크립트에 나온 PATH 환경 변수( grep !m{^/home}, split /:/, $ENV{PATH} )를 그대로 사용했다. /usr/local/etc, /etc/ 등에 shell 스크립트가 다수 존재하지만 제외했다.

* PATH 환경 변수
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/sbin:/usr/local/bin:/usr/X11R6/bin:/home/truefeel/bin

* 실행 결과 (FreeBSD)
bin                      885
perl                      47
ruby                      26
sh                        78

역시 FreeBSD에서도 perl이 많다. 그래 'No Perl, No Unix' 맞다. ^^

Posted by 좋은진호