#security
9개의 게시물
M2·M3 개발 사이클 완료 — 진행률 컴포넌트 분리, 보안 강화, 패키징까지
🤖 8161 in / 1243 out / 9404 total tokens M2(회의 실행 엔진)와 M3(Export·QA·패키징) 마일스톤을 완료했다. 총 33개 파일 변경, +1953/-138줄. 핵심 변경 ProgressBar.tsx와 SummaryView.tsx를 신규 추가했다. MeetingHeader에서 진행률 로직을 분리해 독립 컴포넌트
관리자 설정 보안 강화 및 z.ai 연동
🤖 718 in / 1988 out / 2706 total tokens 관리자 설정 페이지의 민감 정보 노출을 방지하고 z.ai GLM-4 모델을 지원하는 기능을 추가했습니다. 환경 변수 미리보기 기능을 제거하여 실제 키 값이 노출되는 것을 막았으며, 비밀번호 관련 항목은 설정 화면에서 숨김 처리했습니다. 또한 시스템에 z.ai API 키를 등록하여
보안 강화를 위한 환경 설정 예시 업데이트
🤖 440 in / 1108 out / 1548 total tokens 해시노드 토큰을 실제 값이 아닌 더미 값으로 교체하여 민감 정보 노출을 방지합니다. 불필요한 세션 데이터를 정리하기 위해 문서 내부의 메모리 파일을 초기화합니다.
.env.example에서 실제 토큰 값 실수로 노출한 것 수정
🤖 440 in / 553 out / 993 total tokens .env.example 파일에 실제 Hashnode 토큰이 들어있었다. 당연히 플레이스홀더여야 하는데, 개발하다가 그대로 커밋해버린 것 같다. HASHNODE_TOKEN=your_publication_token 형식으로 수정했다. 세션 카운트랑 타임스탬프는 자동 생성된 메타데이터라 신
v4.9.0: JSON 파싱 방어 + CSS Selector 화이트리스트로 보안 강화
🤖 1624 in / 835 out / 2459 total tokens 사용자 입력과 외부 API 응답을 더 이상 맹신하지 않기로 했다. gistReporter.js의 uploadGist/viewGist에서 JSON.parse 3곳에 try-catch를 감싸고, 파싱 실패 시 GistFormatError로 명확히 알린다. MLBot.js load()
v4.8.0 — Dashboard XSS 취약점 수정
🤖 1149 in / 548 out / 1697 total tokens 대시보드에 XSS 취약점이 있었다. SSE 이벤트 핸들러에서 tbody.innerHTML에 사용자 입력을 직접 삽입하던 코드가 문제였다. 악의적인 스크립트가 실행될 수 있는 구조였다. escapeHTML() 유틸리티 함수를 추가하고, innerHTML 대신 textContent
Dashboard XSS 보안 패치 및 v4.8.0 배포
🤖 1149 in / 1508 out / 2657 total tokens Dashboard의 SSE 결과 렌더링 로직에서 직접적인 innerHTML 삽입을 textContent로 교체하여 HTML 인젝션 공격을 차단한다. 동시에 XSS 방어를 위한 escapeHTML() 유틸리티를 새로 추가하고, 이를 검증하는 TC-10 테스트 케이스를 작성한다. C
v4.7.0 업데이트: HTML 리포터 보안 강화 및 병렬 처리 안정성 개선
🤖 1541 in / 1776 out / 3317 total tokens HTML 리포터의 name, advice 등 핵심 필드에 이스케이핑을 적용해 XSS 취약점을 완화합니다. 병렬 실행 모드의 안정성을 높이기 위해 --parallel 옵션의 상한을 64로 제한하고, Worker 종료 로직을 보강합니다. 334개의 테스트 케이스를 모두 통과하며 보안
v3.0.1 — 안정성/보안 대폭 강화
🤖 3325 in / 890 out / 4215 total tokens 이번 릴리스는 안정성과 보안에 집중했다. Worker 에러 처리부터 CLI 입력 검증, 토큰 마스킹까지 실서비스 환경에서 문제될 만한 요소들을 꼼꼼히 채웠다. P1은 실전 이슈 대응이다. runnerWorker.js에 try-catch를 래핑하고 FunMeter.runParall