No description
749b284941
다중 에이전트 보안 리뷰 후속 수정:
- (HIGH) config.local.example.php ADMIN_TOTP_SECRET '' 로 교체: 기존 플레이스홀더가
Base32 디코드되어 실제 TOTP 코드를 생성(공개 시드로 MFA 활성화)하던 회귀를 차단.
fail-closed(미설정 시 로그인 차단) + 회귀 테스트 추가.
- (MEDIUM) 레거시 키-접두 sha256 서명 경로를 ALLOW_LEGACY_BODY_SIGNATURE(기본 false)로
게이트: X-Signature(HMAC) 없으면 거부.
- (LOW) 인증 전 본문 크기 상한 INGEST_MAX_BODY_BYTES(8KB) → 413.
- (LOW) heartbeat throttle 를 flock 기반 원자 판정으로 교체(중복 스캔 방지).
- (LOW) CRON_SECRET: md5 → hash_hmac('sha256','cron',API_KEY).
|
||
|---|---|---|
| docs | ||
| firmware | ||
| php | ||
| scripts | ||
| sql | ||
| tests | ||
| (20260518)_IoT_기반_모니터링_체계_구축을_위한_보안대책서.hwp | ||
| (Y수정)_(20260520)_IoT_기반_모니터링_체계_구축을_위한_보안대책서.hwp | ||
| (Y수정)_(20260528)_IoT_기반_모니터링_체계_구축을_위한_보안대책서.hwp | ||
| .gitignore | ||
| CHANGELOG.md | ||
| README.md | ||
| report_leak_detection_system.md | ||
| VERSION | ||