사이트 내 전체검색
[linux] IE6 P3P 에 대하여
로빈아빠
https://cmd.kr/server/284 URL이 복사되었습니다.

본문

IE6 P3P 에 대하여
글쓴이 : blue

IE6부터는 P3P라는 새로운 개인정보 규약을 도입했습니다.
이는 쿠키를 통해서 사용자의 개인정보를 사용자의 동의 없이 가져가지 않도록
하는 장치이기도 합니다.
이로 인해서 기존 사이트의 쿠키 정보가 제대로 저장되지 않는 문제가 생기게 되었는데 이를 해결할 방법을 찾아보게 되었습니다.
아파치에 세팅하는 상세한 부분은 아래 글과 중복이 되므로 생략하였습니다.
저 역시도 부족한 영어로 간략하게 사용 방법만을 올리니 자세한 스펙은 첨부한 URL을 참고해 주십시오.

참고.
P3P 규약: http://www.w3.org/P3P/
Apache에서 P3P 설정하기: http://kltp.kldp.org/stories.php?story=01/11/01/9121595

본.
P3P 설정은 크게 두가지로 나뉩니다.
1. HTTP 헤더 정의 (아파치의 httpd.conf)
2. P3P 규약에 의거한 XML 설명문 (htdocs 아래의 xml)

HTTP 헤더에 P3P에 대한 정보가 없으면 IE6은 쿠키를 차단합니다.
HTTP 헤더에 P3P 헤더를 남기는 방법은 링크한 팁을 참고하십시오.

IE6에는 "보기" 메뉴에서 "개인정보 보고서"라는 메뉴가 추가되었습니다.
이 메뉴는 현재 페이지의 P3P 규약 준수에 대한 정보를 담고 있습니다.
(XML문은 UTF-8을 사용함이 원칙이나 EUC-KR로 지정해도 되기는 하더군요.)

예를들어 위의 P3P 규약 사이트에 접속하신후 IE6의 개인정보 보고서 메뉴를 연뒤 아무 URL이나 더블클릭 해보십시오.
"다음에 대한 개인정보 요약 ..." 식으로 나올 것입니다.
kldp는 이 글을 작성하는 현재 P3P가 적용되어 있지 않아 오류메시지가 나옵니다.

P3P 헤더를 HTTP 헤더에 보낸다고 모든게 끝나지는 않습니다.
P3P 헤더는 압축 요약이며 정책에 대한 상세한 내역을 제공해야 합니다.
다음 링크를 참고하시면 비교적 쉽게 만드실 수 있습니다.
(W3C 홈페이지의 링크에서 찾았습니다. 얘네들은 이런 정보 공개가 잘 되어 있는게 부럽네요. 다른 링크는 비용을 지불할 것을 요구했거든요.)

http://fs.pics.enc.or.jp/p3pwiz/p3p_en.html (무료)

XML문은 물론 전송해야 하는 헤더정보까지 자세하게 알려줍니다.

저는 초보자들이 간략하게 사용할 수 있는 방법을 설명하려 합니다.
P3P에 대해 감이 잡히셨으면 위 규약에 대해 좀 더 공부하셔서 제대로 된 멋진 정책 페이지를 만드시길 바랍니다.

먼저 httpd.conf를 편집합니다.
XML페이지가 저장될 위치를 설정합니다.
일반적으로 /w3c/ 를 사용합니다.
---------- <IfModule mod_alias.c> Alias /w3c/ "/usr/local/apache/htdocs/w3c/" <Directory "/usr/local/apache/htdocs/w3c"> Options None AllowOverride None Order allow,deny Allow from all </Directory> </IfModule> ----------

다음에는 P3P 헤더를 남기도록 설정합니다.
policyref 의 your.domain 부분을 대표 도메인으로 바꿔 주십시오. (예: kldp.org)
---------- <IfModule mod_headers.c> Header add P3P "policyref="http://your.domain/w3c/p3p.xml" CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC"" </IfModule> ----------

웹서버를 리셋한후 htdocs 아래에 w3c 라는 디렉토리를 만듭니다.
p3p.xml 파일은 접근 지정자로 어느 디렉토리에 어떠한 정책을 사용할 것인지를 정의하는 파일입니다.
역시 your.domain 부분을 바꾸어 주십시오.
---------- <?xml version="1.0" ?> <META xmlns="http://www.w3.org/2002/01/P3Pv1"> <POLICY-REFERENCES> <POLICY-REF about="http://your.domain/w3c/p3policy.xml"> <INCLUDE>/*</INCLUDE> </POLICY-REF> </POLICY-REFERENCES> </META> ----------

역시 w3c 디렉토리 밑에 p3policy.xml 을 만듭니다.
인코딩은 EUC-KR 을 사용하면 한글을 쓸수도 있으나 표준안은 UTF-8을 쓸것을 권하고 있습니다.
속편하게 영어로만 간략히 쓰십시오. ;-)
역시 your.domain 부분과 your offical name 부분을 바꾸어 주십시오.
---------- <?xml version="1.0" encoding="UTF-8"?> <POLICY xmlns="http://www.w3.org/2002/02/P3Pv1" discuri="http://your.domain/w3c/info.html"> <ENTITY> <DATA-GROUP> <DATA ref="#business.name">your offical name</DATA> </DATA-GROUP> </ENTITY> <ACCESS><all/></ACCESS> </POLICY> ----------
discurl 부분은 전체 개인보호 정책에 관한 항목입니다.
이미 상업적 페이지를 운영하신다면 "개인정보 보호정책 - policy.html" 등의 이름으로 만들어 두셨겠지요? 없으면 이번 기회에 새로 만드세요. :-)

이제 끝입니다. IE6을 사용해서 테스트해 보십시오.
"보기" 메뉴의 "개인정보 보고서..." 메뉴를 선택한뒤 URL 중의 아무 항목이나 더블클릭해 보십시오.

" 다음에 대한 개인정보 요약:
your offical name
이 웹 사이트의 전체 개인 정보 보호 정책을 읽으려면 여기를 클릭하십시오. "
('여기' 부분을 클릭해서 discurl 로 지정한 페이지가 나오는지 확인합니다.)

결.
P3P의 의의는 웹사이트 관리자와 사용자를 귀찮게 하기 위함이 아닙니다.
사실상 웹사이트 관리자는 헤더 정보만 추가하고 기타 P3P 규약을 지키지 않아도 문제는 전혀 없습니다.

P3P를 도입한 목적은 사용자의 정보를 가져감에 있어 사용자에게 명시적으로 알린다는데 있습니다. 즉 사용자는 "개인정보 관리자"를 통해서 사이트의 개인정보 보호규약을 언제든지 열람할 수 있으며 규약을 제공하지 않거나 개인정보의 침해 우려가 있을 경우 차단도 가능하다는 것입니다.
어느 구석에 작게 박혀 있는 "개인 정보 보호에 관한 사항" 이라는 링크보다 훨씬 찾아보기 쉽고 일정한 규칙에 의거하여 작성하기에 이해하기 쉬우며 사용자 스스로가 자신의 정보를 컨트롤할 수 있는 길을 열었다는 점에 의의를 두어야 할 것입니다.
좀 더 부연설명을 붙이자면, 이때까지 쿠키란 "모두 허용" 아니면 "모두 거부" 혹은 "물어보기(꽤 귀찮음)" 밖에 없던 것에 비해 신뢰가 가지 않는 사이트는 영구히 거절하고 신뢰가 가는 사이트는 허용할 수 있도록 보다 세밀한 제어가 가능해 졌다는 점에서 또하나의 발전이라 볼 수 있습니다.

차단을 하느냐 마느냐는 전적으로 사용자에게 달린 문제이며 신뢰성 있는 사이트 구축을 위해서는 개인정보에 관한 사항을 "의무적"으로 제공하는게 올바르다고 생각됩니다. (예를들어, 프라이버시가 침해된다고 느낄경우 상담할 수 있는 연락처 정보 등이 반드시 들어가야 한다고 봅니다.)

꽤 어설프게 설명한 감이 있지만, P3P가 무엇인가, 그리고 어떻게 적용해야 하는가를 궁금해 하시는 분들께 조금이나마 도움이 되기를 바랍니다.

댓글목록

등록된 댓글이 없습니다.

1,139 (13/23P)

Search

Copyright © Cmd 명령어 13.59.205.182