Railo를 한번이라도 다운로드해본 분들은 다운로드 페이지에서 실시하는 설문조사 화면을 보신 적이 있을 겁니다. 그 결과가 Railo 블로그에 공개되었는데요. 재밌는 사실이 몇가지 있습니다.

http://www.railo.ch/blog/index.cfm/2010/8/5/Railo-Download-Statistics

그중에서 눈에 띄는 것은 대부분 ColdFusion개발자들이 Railo를 받아서 사용해보았다는점과 다운로드 국가랭킹에서 미국, 영국, 독일, 캐나다 등과 함께 브라질이 비율이 높았는데요.

중남미 국가들도 ColdFusion 참 많이들 사용하고 있고, 또 커뮤니티도 많이 있다고 들었는데 사실인가 봅니다. 전반적으로 보면 미국과 영국, 캐나다, 독일, 인도, 브라질, 일본 등이 ColdFusion이 강세인 나라들인데 대부분 Web기술이 발달된 나라들이죠. 사실상 이들 국가가 웹기술의 대부분을 원천보유하고 있고 개발, 발전시켜가고 있으며, 사실상 유일한 공급원이기도 하죠.

한가지 재미있는건. 블로그의 댓글이였습니다. Adobe가 미국, 일본을 제외하고는 대부분 Flex/Flash/Mobile에 대한 역량을 강화하다보니 ColdFusion이란 제품의 마케팅은 사실상 손을 놓고 있다고 저 역시 누누히 말하고 있는데(그래서 관심을 못받는지도 모르겠습니다. ^^;) 브라질 CF팬 역시 한마디 남겨두었더군요.

Brazil has a strong CF community (unfortunately neglected by Adobe Brazil).

브라질은 매우 강한 ColdFusion 커뮤니티를 갖고 있지만, Adobe 브라질 지사는 그들을 방치하고 있다.

점점 Adobe의 ColdFusion보다 Railo나 OpenBD와 같은 오픈소스 엔진으로 갈아타는 분위기가 여기저기서 보이는데 정말이지 Adobe가 ColdFusion이란 핵심기술을 스스로의 방치에 의해 놓치질 않기 바랄 뿐 입니다. 정말로 관심이 없다면.. Flash기술이야 Adobe외엔 다른 IT업체는 큰 관심이 없는 듯하니 놔두더라도 ColdFusion이나 Jrun과 같은 "진짜" Enterprise급 제품과 기술만이라도 IBM이나 Oracle과 같은 업체의 품에 안기는건 어떨까요?

Saving Private ColdFusion & Jrun!!(from Adobe) - Oracle(or IBM)'s the last mission 

OpenBD를 사용중인 환경에서 OpenBD 관리자의 패스워드를 분실했을 경우엔 어떻게 찾을 수 있을까요? 우선, FTP나 SFTP 또는 SSH가 가능해야 합니다. 다음의 경로에서 bluedragon.xml 파일을 다운로드하여 수정하거나, 또는 VI등으로 열어보면 패스워드를 알 수 있습니다. 일반적으로 자신의 웹루트에서의 WEB-INF디렉토리에서 다음의 위치를 찾습니다.

OpenBlueDragon Admin : {HOST WEB ROOT}/WEB-INF/bluedragon/bluedragon.xml

위 파일의 Server - System의 노드에서 보면 Password항목이 있는데 이 부분이 관리자 패스워드 입니다. 암호화되어 있지 않기 때문에 바로 보거나 수정할 수 있습니다. 그렇다면 Railo의 경우는 어떨까요? Railo와 Adobe ColdFusion의 경우는 암호화되어 기록되기 때문에 분실한 패스워드를 알 수 없지만 다시 설정은 가능합니다. Railo의 경우 Server Admin과 Web Admin의 각각의 다른 관리자모드를 제공하므로 각각의 패스워드를 저장한 위치가 다릅니다.

Railo Server Admin : {railo installation}/railo-server/context/railo-server.xml
Railo Web Admin : {host root}/WEB-INF/railo/railo-web.xml.cfm

위 파일을 각각 열어(Web Admin만 하는 경우 Server Admin파일은 수정할 필요없음) 관리자 패스워드 부분을 삭제하고 공란으로 수정한 뒤 Railo를 재시작하면 관리자 패스워드를 재설정 할 수 있습니다. 그럼 Adobe ColdFusion의 경우는 어떨까요? ColdFusionMX버전 이후의 모든 버전에서는 먼저 ColdFusion데몬(프로세스)를 중지한 후 다음의 파일을 열어 수정한뒤 데몬(프로세스)를 재시작하면 관리자 패스워드를 재설정할 수 있습니다.

Adobe ColdFusion : {Adobe ColdFusion Installation directory}/lib/neo-security.xml

위 파일을 열고 <var name='admin.security.enabled'><boolean value='true'/></var> 부분의 False부분을 True 바꾼뒤 ColdFusion을 재시작하면 관리자 패스워드를 재설정할 수 있습니다.

OpenCFML(http://www.opencfml.org)위원회는 ColdFusion Markup Language의 표준을 정하는 비공식 단체입니다만, 사실 ColdFusion의 모든 특허, 저작권은 Adobe Systems에게 있기 때문에 사실상 위원회의 위원들이 Adobe사와 직간접적을 관련이 있는 사람들이여서 결론적으론 Adobe의 영향력이 가장 많이 미치는 단체이기도 합니다.

이런 단체를 만든 이유는 사실 Adobe사외에 BlueDragon과 같은 경쟁 엔진들 그리고 Railo나 Open BlueDragon과 같은 공개용 엔진들이  등장하면서 서로 다른 태그 및 함수, 그리고 기능을 하나로 규격해 보고자 함이 가장 큰 목적입니다. 여러 엔진을 대표하는 위원들이 모여서 다음번 버저에서 이 태그는 서로 공동으로 채택하자 등등의 일들을 벤더에게 조언하는것이죠. 여기에는 Ben Forta나 Ray Camden, Rob brooks Bilson과 같은 친 Adobe개발자도 있고, Sean Corfield 과 같은 Railo진영, Matt Woodward와 같은 친 OpenBD진영의 사람도 있죠.

그런데 어제 저도 놀라는 포스트를 보고 말았는데 Adobe가 이 위원회에서 손을 뗀다는 것이였습니다. Adam Lehman의 블로그(http://www.adrocknaphobia.com/post.cfm/adobe-no-longer-part-of-opencfml)에서 해당 내용이 처음 언급된거 같은데요. 사실 실제 Adobe가 위원회에서 탈퇴한다는 말이 아니라.. Adobe진영의 위원들이 이 조직에서 손을 뗀다는 말이 맞겠네요.

요약하자면 위원회의 노력에도 불구하고 표준으로 정한 ColdFusion의 스펙이 각각의 엔진별로 따로 구현되고 있고, 태그나 함수도 각각 다른 길로 가는것도 문제고, 더욱이 표준으로 정해서 복제엔진들(Adobe의 입장에서는 Railo나 OpenBD는 그저 자사의 제품을 복제한 복제품에 불과합니다.)로 고객이 이탈하는 것을 조장하는 꼴이 되는것이 아니냐.. 그래서 결론은 Adobe가 피해를 보는것이 아닌가? 뭐 이런 이야기 같습니다. 결국 이는 많은 ColdFusion 커뮤니티나 개발자에게 피해가 고스란히 간다..뭐 이런 이야기죠.

특히 Adobe ColdFusion의 스팩을 충실히 따르는 Railo와는 달리 BlueDragon진영은 거의 따로 놀고 있어 표준 CFML로 만들어도 작동이 안되거나 어떤 함수와 태그는 서로 호환도 안되어서 문제가 발생한다는 겁니다. 그런데 문제를 바라보는 시각은 각각 다른가 봅니다.

표준엔진인 Adobe엔진이 있는데 왜 복제엔진들이 나와서 설치느냐 하는 부류와 너네껀 너무 비싸고 비효율적이야 하는 부류.. 두 부류의 감정싸움이 서서히 나타나고 있는 것 같습니다. 대부분은 복제엔진의 등장에 원인이 있고 문제가 있으니 너네가 잘못이다.. 이런 시선이 강한것도 사실인거 같습니다만, 그러나 사실.. Java나 다른 언어를 보더라도 표준과 제정은 Sun이 하지만 Java를 하는 업체는 많다는 것을 보면 Adobe진영의 주장도 그리 논리적이질 못합니다. 즉, 스스로 ColdFusion의 주인으로서 보다 저렴하고 강력한 제품을 출시하고, 업계 및 개발자의 지원에 보다 적극적이였다면 복제엔진의 등장이 없었을 지도 모르겠습니다. 대부분의 복제엔진들의 등장의 이면에는 가격적인 측면, 새로운 태그와함수의 추가를 원하는 커뮤니티의 의견이 제때 반영되지 않는 느린 출시속도.. 등등 Adobe가 해결해 주지 않으니까 우리가 직접 한다는 식의 주장도 있는 걸 보면 이런 표준기관의 등장도 참으로 안타까울 뿐인데 더욱이 이번 소식은 이런 조직의 갈등?이라니..

암튼 각각의 엔진별로 따로 함수나 태그를 지원하기 시작한다면, 결국은 아이폰이나 안드로이드냐의 문제보다 더 복잡한 같은 언어인데 서로 다른 비극이 생기지 않을까 걱정입니다. 좋은 언어임에는 분명한데 제 개인적인 생각으로는 주인들을 잘못 만나 성장하지 못함이 아쉽기만 합니다. Railo나 OpenBD가 등장할때 적극적으로 가격인하, 성능개선 등등의 무기로 적극적인 대응을 하거나, 아니면 이들 엔진을 인수합병하거나 하는 방법도 있을 텐데 말입니다.

점점 OpenBD와 Railo 그리고 Adobe ColdFusion이 달라지기 시작해서 걱정입니다.  

Railo 3.1.2.001 final 버전을 사용하는 분들은 BlazeDS의 보안 업데이트(Security Updates for Railo's BlazeDS)를 반드시 하시길 바랍니다. Railo 내장 BlazeDS의 버전이 3.2버전인데 이 버전에서 보안 취약점이 발견되었다는 소식은 예전 2월에 알려드린바 있습니다.(http://www.coldfusionfunnylog.com/blog/post.cfm/adobe-coldfusion-blazeds-lcds-fds) 당시의 Railo버전에서는 문제가 있었으나 Railo 3.1.2.001 final 버전에서는 정상적으로 패치가 되는 것을 확인했습니다. Adobe에서는 BlazeDS의 이 보안문제를 "매우 심각"로 보고하고 있습니다.

먼저, Railo를 Stop시킨 후, Railo의 설치경로로 이동하여 lib디렉토리안의 다음 2개의 파일을 백업합니다.(반드시 백업하시길 바랍니다. 업데이트 적용 후 Railo가 정성적으로 구동되지 않으면 다시 복원하기 위하여 반드시 필요합니다.) JSP/Servlet 호스팅을 이용하신분들 중 Railo를 적용한 분은 자신의 웹루트디렉토리의 WEB-INF안의 railo/lib에 존재하며, Server에 설치하신 분은 설치하신 경로로 이동하시면 됩니다. 예를 들면 /opt/railo/lib 와 같습니다.

flex-messaging-common.jar
flex-messaging-core.jar

위 2개의 파일을 Backup한 후  http://www.adobe.com/support/security/bulletins/apsb10-05.html 에서 Download the patch zip file for BlazeDS 3.2를 다운로드 합니다. 다운로드한 업데이트 파일을 압축을 풀면 방금전에 백업했던 파일과 동일한 파일 2개와 설명서 텍스트파일이 있습니다. 백업한 파일과 동일한 파일을 Railo의 lib 디렉토리에 복사해 줍니다.(또는 덮어 써 줍니다.) 그런 다음 Railo를 시작(Start)하시면 되겠습니다.

본인의 Railo의 BlazeDS의 취약점이 있는 버전인지 확인하려면  HackMyCF(http://hackmycf.com)에서 웹사이트의 URL을 넣고 테스트하면 됩니다. 아래의 그림과 같은 심각단계의 메시지가 뜬다면 일단 취약점이 보고된 버전이니 반드시 업데이트해야 합니다.

단, HackMyCF는 개인정보보호를 위해 웹사이트 URL의 도메인과 동일한 이메일 계정을 입력해야 하고 해당 이메일로 결과를 전송해 줍니다. 따라서 사이트 도메인과 이메일주소의 도메인이 다르면 검사나 결과를 받아볼 수 없습니다. 이는 타인이 자신의 웹사이트의 취약점을 알 수 없게 하기 위한 방지책입니다.

하지만 대부분의 Railo의 버전에서는 위와 같이 업데이트하면 될 것 입니다. 아직 Railo에서 정식으로 내장 BlazeDS에 대한 업데이트 패치를 배포하고 있지 않기 때문입니다.

Railo의 설치본 중 Resin기반형의 Server 버전의 경우 기본적으로 SES URLs(Search Engine Safe URLs)이 먹혀서 작동합니다. 가령 이 블로그와 같은 Mango Blog Tool을 Railo에서 설치하여 운영하려고 하는 경우(cafe24 JSP환경에서 Railo WAR를 적용한 경우), 설치는 정상적으로되나, 각각의 포스트를 클릭했을때 문서를 찾을 수 없다는 에러 메시지를 나타내는데, 그 이유는 http://www.coldfusionfunnylog.com/blog/post.cfm/test 처럼 ?이하의 Query String이 없는 주소를 찾지 못하기 때문인데요. Tomcat이나 기타 다른 WAS에 Railo를 적용한 경우 다음과 같이 Servlet Mapping을 추가해 주면 됩니다.

Tomcat의 web.xml 파일안에 Railo Servlet의 매핑정의를 보면 *.cfm, *.cfc, *.cfml에 대한 정의는 기본적으로 Railo을 Deploy할때 추가됩니다. 이 부분에 다음의 매핑을 추가하시면 SES URLs를 이용할 수 있습니다.

<servlet-mapping>
   <servlet-name>CFMLServlet</servlet-name>
   <url-pattern>/index.cfm/*</url-pattern>
</servlet-mapping>