Page 1 of 2
최근 발표된 보안취약성 문제
Posted: 2005 05 11 00:11 17
by 소프트원트
국내에서도 모질라 관련 문제가 생기면 언론에서 신속(???)하게 보도가 되는군요. 파이어폭스에 대한 좀 더많은 장점 소개도 함께 이루어졌으면 좋겠습니다.
파이어폭스에서 치명적 보안결함 발견
위에 언급된 문제에 대한 해결책은 다음과 같습니다.
1. 자바스크립트 기능을 꺼놓는다.
[도구>환경설정>웹기능]에서 자바스크크립트 사용을 선택해제한다.
2. 확장기능 허용 리스트에서 update.mozilla.org와 addons.mozilla.org 를 제외한 확장기능 허용 사이트를 모두 제거한다.
이 대화창은 [도구>환경설정>웹기능]에서 [웹사이트가 소프트웨어 설치 허용] 우측에 있는 [허용된 사이트]를 클릭하여 제거할 사이트를 선택하고 하단에 [제거]를 이용하면 된다.
3. 현재 나이틀리 최신 버전을 사용할 경우 최근 발표된 두 가지 문제가 해결되었다고 한다.
나이틀리 최신판 사이트로 이동
현재 모질라재단에서는 이 문제를 해결하기 위한 배보판을 테스트 중이라고 하며 과거에도 그랬듯이 신속하게 문제를 처리할 것이란 생각이다.
Re: 최근 발표된 보안취약성 문제
Posted: 2005 05 11 00:18 31
by XviD
오픈소스의 장점인가요..
문제 해결을 위해 개발자들이 순식간에 달라붙어 문제점을 고쳐 나가고 있네요.
바쁘게 돌아가고 있습니다.
Re: 최근 발표된 보안취약성 문제
Posted: 2005 05 11 01:02 58
by astraea
소프트원트 wrote:국내에서도 모질라 관련 문제가 생기면 언론에서 신속(???)하게 보도가 되는군요. 파이어폭스에 대한 좀 더많은 장점 소개도 함께 이루어졌으면 좋겠습니다.
개발자들이 신속하게 해결한다는 것도 알려주면 좋겠어요;;
덧글들을 보면..
firefox 도 별 수 없네~ 이런 덧글들이 많이 보여서..
물론 순전히 악플러들이겠지만..
잘 모르는 네티즌들한테 그닥 안 좋게 비쳐지는건..-_-;
연이어 보안결함 뉴스로 크게 보도되니 참 그렇네요
저번 뉴스는 이미 해결된 문제 보도기도 했구요..쩝.
Posted: 2005 05 11 01:33 20
by 소프트원트
공격과 반격은 오래동안 지속되며 공방이 되겠죠.
별로 달갑지않은 뉴스이지만 아이뉴스가 Zdnet과 함께 모질라 파이어폭스 관련 정보를 많이 알려주는 곳이죠.
모질라는 한동안 여러 곳에서
트집을 잡히겠죠.
과거의 경험이 그러하듯, 개발자들이 보안문제와 버그문제를 신속히 처리할테니 그 문제보다는 일반 사용자가 모질라 파이어폭스를 쉽게 이용할 수 있도록 다양한 사용법들이 나왔으면 합니다.
요즘은 확장기능에 대한 사용자들의 관심도 높아지고 있기 때문에 이에 대한 사용법 작성에 관심을 기울였으면 합니다.
확장기능 사용법은 김고명님이 그래도 많이 신경쓰고 있는 데, 아래 링크를 참고하세요.
김고명, 불여우와 친구들
확장기능 사용법이 작성된 곳이 있다면 소프트원트닷컴으로 알려주세요. 메일주소 wa_free_wa <골뱅이> softwant.com 로 보내주시면 해당 안내정보를 올려놓을테니까요.
확장기능 사용법은 아래 링크에서도 참고하시면 됩니다.
소프트원트닷컴 확장기능 안내
자연스럽게
Posted: 2005 05 11 11:39 40
by 박민권
치명적 보안 위험이 발견되었다고 하더라도 자연스럽게
'곧 패치가 나오겠군' 하는 생각이 들더군요.
믿을 수 있고 신뢰감을 주는 불여우 입니다.
그에 비해 IE가 보안 위험이 발견되면
'정말 패치할까? 어물쩡 넘어가는거 아냐?'하는 의심이 들죠.
안고치고 넘어간게 한두개야지. ㅡㅡ;
Re: 자연스럽게
Posted: 2005 05 11 13:09 27
by miLRain
박민권 wrote:치명적 보안 위험이 발견되었다고 하더라도 자연스럽게
'곧 패치가 나오겠군' 하는 생각이 들더군요.
믿을 수 있고 신뢰감을 주는 불여우 입니다.
그에 비해 IE가 보안 위험이 발견되면
'정말 패치할까? 어물쩡 넘어가는거 아냐?'하는 의심이 들죠.
안고치고 넘어간게 한두개야지. ㅡㅡ;
그렇지도 않습니다.
파이어폭스나 IE나 취약점 패치 안하고(안하다긴보단 작업 중이라는 표현이 맞을라나??)
넘어가는게 있습니다.
파이어폭스와 IE가 다른 점이 있다면 파이어폭스는 매일매일업데이트되는 나이틀리버젼이란게 존재해서 취약점또는 개선된 업데이트 버젼이 제공되는 반면 IE는 없다는 차이 일듯싶습니다.
하지만 파이어폭스 정식판만 사용하는 사람은 정식판 나오기만을 기다려야하니 IE와 별차이 없을 듯 싶습니다.
PS:파이어폭스의 업데이트하는방식 좀 고쳤으면 좋겠더군요.
매번 업데이트시 마다 부분업데이트가 아니라 새로설치하는 방식은..;;;
마소처럼 패치만 내놓던가 maxthon처럼 개선된부분만 업데이트하는 방식으로요.
Re: 자연스럽게
Posted: 2005 05 11 13:14 04
by 하늘다람쥐
miLRain wrote:PS:파이어폭스의 업데이트하는방식 좀 고쳤으면 좋겠더군요.
매번 업데이트시 마다 부분업데이트가 아니라 새로설치하는 방식은..;;;
마소처럼 패치만 내놓던가 maxthon처럼 개선된부분만 업데이트하는 방식으로요.
음, 이상하네요. 저도 Maxthon을 IE대용으로 사용하는데, 업데이트하면 새로 인스톨하거든요. 물론 컴포넌트들은 따로 설치할 수 있지만, 확장기능을 따로 설치하는거랑 별다를게 없으니 그걸 얘기하신건 아니신 것 같고...
아무튼 중요 패치도 안하고 있는 IE와 비교하는게 좀 이상한 듯 싶지만.. 그래도 좀 지연시간이 있는건 사실이죠. 저도 업데이트방식이 얼른 바뀌었으면 좋겠습니다.
Re: 자연스럽게
Posted: 2005 05 11 13:38 11
by XviD
miLRain wrote:
하지만 파이어폭스 정식판만 사용하는 사람은 정식판 나오기만을 기다려야하니 IE와 별차이 없을 듯 싶습니다.
IE는 지금 현재 미해결로 남아 있는 치명적인 수준의 보안 결함도 몇 가지 있습니다.
또한 패치된 버전을 내놓는 시점에도 문제가 없는 것은 아닙니다.
MS는 안정성 및 테스트라는 명목으로 보안 결함 패치에까지 시간을 정해놓고 패치하고 있습니다. 최소한 빨라야 한 달이라는 기간을 기다려야 합니다.
게다가 그냥 은근슬쩍 넘어가는 보안 취약점까지 있지요.
최소한 모질라 재단의 경우에는 심각한 보안 결함에 대해서 사용자들이 "이 녀석도 금방 패치되겠군."이란 신뢰감이라도 있죠. 실제로 이런 보안 결함들은 신속히 패치되고 있고요.
그리고 이런저런 변명으로 사용자들을 기만하지도 않습니다.
MS는 항상 이런 식으로 말하죠. 별거 아니다. 문제 없다. 사실과 전혀 다르다. 기타등등..
MS의 경우에는 이번에는 제대로 패치될까? 이번에도 저번처럼 얼렁뚱땅 넘어가는 건 아니겠지?라는 생각부터 들지요.
이 부분은 제가 아무리 MS를 좋게 생각하려고 해도 호감이 가지 않는 부분입니다.
Re: 자연스럽게
Posted: 2005 05 11 13:38 35
by miLRain
하늘다람쥐 wrote:
음, 이상하네요. 저도 Maxthon을 IE대용으로 사용하는데, 업데이트하면 새로 인스톨하거든요. 물론 컴포넌트들은 따로 설치할 수 있지만, 확장기능을 따로 설치하는거랑 별다를게 없으니 그걸 얘기하신건 아니신 것 같고...
아무튼 중요 패치도 안하고 있는 IE와 비교하는게 좀 이상한 듯 싶지만.. 그래도 좀 지연시간이 있는건 사실이죠. 저도 업데이트방식이 얼른 바뀌었으면 좋겠습니다.
maxthon업데이트시 인스톨은 하긴하는데, 파이어폭스와는 다르지않나요?
maxthon같은경우 업데이트된 부분만 다운받아 인스톨되지만 파이어폭스는 처음사용자용(용량을 보면 처음사용자설치용이나 업데이트용이나 같더군요)을 다운받아 인스톨시키는거 아닌지요? 아니라면 제가 착각한 듯 싶습니다.
그리고 IE패치(느리긴 하지만) 중에 치명적인게 패치안된게 있는지요?
파이어폭스도 보안등급이 낮은거는 패치안된게 있더군요, MS의 IE보단 그 숫자가 확연히 적지만요.
Re: 자연스럽게
Posted: 2005 05 11 13:56 57
by 소프트원트
miLRain wrote:
파이어폭스와 IE가 다른 점이 있다면 파이어폭스는 매일매일업데이트되는 나이틀리버젼이란게 존재해서 취약점또는 개선된 업데이트 버젼이 제공되는 반면 IE는 없다는 차이 일듯싶습니다.
하지만 파이어폭스 정식판만 사용하는 사람은 정식판 나오기만을 기다려야하니 IE와 별차이 없을 듯 싶습니다.
나이틀리 사용자도 그렇게 많지는 않다고 봅니다. 그러나 정식판의 경우 기본적으로 분기당 1회(1.X 형식)와 부정기 공식판(1.0.X형식)이 나오고 있으니, 정식판 사용자라 하더라도 IE보다 더 안전할 수 있다고 보아야 하지 않을까 합니다.
더욱이 파이어폭스로 전환의 이유가 IE의 보안문제이기 때문에 파이어폭스 사용자들의 보안관리능력은 좀 더 높을 것입니다. 저의 개인적 생각이지만...
그런데 IE사용자의 경우 보안업데이트 패치 이용하는 경우는 더 드물죠. 윈XP이하에서 자동업데이트 기능을 사용하는 이용자가 얼마나 될까요? 또 윈98 사용자의 경우는 이런 기능도 없죠. 윈98의 경우 전세계적으로 5-10%이상이 사용하고 있습니다.
miLRain wrote:
PS:파이어폭스의 업데이트하는방식 좀 고쳤으면 좋겠더군요.
매번 업데이트시 마다 부분업데이트가 아니라 새로설치하는 방식은..;;;
마소처럼 패치만 내놓던가 maxthon처럼 개선된부분만 업데이트하는 방식으로요.
이 문제는 수정될 것이라 봅니다. 이미 지적되고 있는 문제라서.. 그래도 IE의 보안패치 크기는 일반적으로 1-2M가 되죠. 작은 것도 있지만 XP서비스팩2는 260M입니다. 그러니 해외의 경우 모뎀 이용자중 아예 서비스팩2를 설치하지 못합니다. 파이어폭스야 기껏 4M이니 다행이죠. 물론 이에 대한 변경은 반드시 이루어져야 하며, 그럴 것이라 생각합니다.
1.1 정식배포판이 나오는 7월이면 될 것같내요. 아래 로드맵을 보세요.
파이어폭스 2.0 로드맵
Posted: 2005 05 11 13:57 56
by 소프트원트
7월이 아니라 6월이내요.. ^^;;;
Re: 자연스럽게
Posted: 2005 05 11 14:05 12
by 빛알갱이
miLRain wrote:
파이어폭스와 IE가 다른 점이 있다면 파이어폭스는 매일매일업데이트되는 나이틀리버젼이란게 존재해서 취약점또는 개선된 업데이트 버젼이 제공되는 반면 IE는 없다는 차이 일듯싶습니다.
하지만 파이어폭스 정식판만 사용하는 사람은 정식판 나오기만을 기다려야하니 IE와 별차이 없을 듯 싶습니다.
그 정식판이 비교적 빨리 나오지 않던가요? 이번에 발견된 문제를 해결한 1.0.4는 곧 나올 것 같습니다. 매일 나오는 버전은 (개발 버전이 아니라 안정 버전 브랜치의 것은 일반사용자가 써도 별 상관이 없겠지만) 일반인 쓰라고 있는 것은 결코 아니니까요.
PS:파이어폭스의 업데이트하는방식 좀 고쳤으면 좋겠더군요.
매번 업데이트시 마다 부분업데이트가 아니라 새로설치하는 방식은..;;;
마소처럼 패치만 내놓던가 maxthon처럼 개선된부분만 업데이트하는 방식으로요.
이것은 전에도 한번 나온 얘기인데요. 간단하게 configuration 파일만 바꾸면 되는 경우는 xpi로 만들어서 업데이트할 수 있게 나왔습니다. (1.0.1에서 1.0.2로 갈 때 그랬던 것 같군요.) 그렇지 않은 경우 왜 전체를 다운로드하게 하느냐고 물으신다면... 모질라 스위트는 말씀 하신 방식이 가능했습니다. 새 버전에서 바뀐 dll/so/dynlib 파일만 다운로드해서 덮어 쓰면 됩니다. 그런데, firefox는 모질라 스위트와 달리 시작 속도 향상을 위해서 수십 개의 dll/so/dylib 파일을 따로 떼어 놓지 않고 이들을 몽땅 묶어서 큰 static binary 파일을 만들었습니다. 그 바람에 실행 파일이 바뀐 경우에는 부분 업데이트를 못 하고 전체를 다운로드해야 합니다. (개발자 입장에서도 좀 귀찮습니다. 한 부분 고치고 나서 그 부분만 컴파일해서는 안 되고, 마지막 static link 단계를 꼭 거쳐야만 고친 부분이 제대로 동작하는지 시험해 볼 수 있으니까요)
말씀하신대로 불편한 면이 있습니다. 또, 인터넷 접속 속도가 느린 환경 - 한국에서야 별 문제가 없겠지만-에 있는 경우에 상당히 부담 - 시간 및 금전적으로-이 될 수 있습니다. 종전의 방식으로 돌아가면서도 시작 속도를 빠르게 할 방법을 연구해 보아야 할 것입니다.
Re: 자연스럽게
Posted: 2005 05 11 15:14 03
by 소프트원트
1.0.4는 곧 출시..
Posted: 2005 05 11 15:47 42
by Channy
빛알갱이 wrote:그 정식판이 비교적 빨리 나오지 않던가요? 이번에 발견된 문제를 해결한 1.0.4는 곧 나올 것 같습니다.
1.0.4의 RC버전은 나왔고 각국 언어판 QA만 거치면 주중에 바로 출시와 업데이트가 이루어질 것 같네요...
Re: 자연스럽게
Posted: 2005 05 11 15:52 02
by miLRain
neowin에서 파이어폭스 보안결함뉴스보구 secunia.com에서 이미 IE, 파이어폭스 보안결함관련은 다 봤습니다.
그래서 제가 보안등급이 낮은것은 IE나 파이어폭스나 패치안된게 있다고 말씀드린거구요.
빛알갱이 wrote:그 정식판이 비교적 빨리 나오지 않던가요? 이번에 발견된 문제를 해결한 1.0.4는 곧 나올 것 같습니다. 매일 나오는 버전은 (개발 버전이 아니라 안정 버전 브랜치의 것은 일반사용자가 써도 별 상관이 없겠지만) 일반인 쓰라고 있는 것은 결코 아니니까요.
보안취약점 발견 후 정식판이 빨리 나오는지는 모르겠습니다.
IE는 느리다는건 알겠는데...
빛알갱이 wrote:이것은 전에도 한번 나온 얘기인데요. 간단하게 configuration 파일만 바꾸면 되는 경우는 xpi로 만들어서 업데이트할 수 있게 나왔습니다. (1.0.1에서 1.0.2로 갈 때 그랬던 것 같군요.) 그렇지 않은 경우 왜 전체를 다운로드하게 하느냐고 물으신다면... 모질라 스위트는 말씀 하신 방식이 가능했습니다. 새 버전에서 바뀐 dll/so/dynlib 파일만 다운로드해서 덮어 쓰면 됩니다. 그런데, firefox는 모질라 스위트와 달리 시작 속도 향상을 위해서 수십 개의 dll/so/dylib 파일을 따로 떼어 놓지 않고 이들을 몽땅 묶어서 큰 static binary 파일을 만들었습니다. 그 바람에 실행 파일이 바뀐 경우에는 부분 업데이트를 못 하고 전체를 다운로드해야 합니다. (개발자 입장에서도 좀 귀찮습니다. 한 부분 고치고 나서 그 부분만 컴파일해서는 안 되고, 마지막 static link 단계를 꼭 거쳐야만 고친 부분이 제대로 동작하는지 시험해 볼 수 있으니까요)
아, 그렇군요.
Posted: 2005 05 11 16:58 16
by 소프트원트
패치되지않은 취약성 갯수로 그 제품의 안정성을 진단할 수 없습니다. 그러나 말씀하신 내용으로보면 100보 50보처럼 MS와 모질라 재단의 문제처리에 큰 차이없내라는 이야기처럼 들립니다.
심각한 등급이지만 패치되지않은 게 그것도
2003년도에 알려진 것이 있다는 것을 확인하셨는 지 모르겠내요.
그렇다면 모질라 파이어폭스의 문제 처리속도는 얼마나 빠른 것이라고 해야할까요 ? ^^
보안취약점 발견 후 정식판이 빨리 나오는지는 모르겠습니다.
1.0.3버전 이하에서 취약성은 4월 4일에 발표되었고 4월7일에 Zdnet에 보도되었습니다. 그리고 그 때 1.0.3 후보판이 발표되었습니다. 정식판은 4월 15일에 발표가 되었습니다. 아래 링크에서 파이어폭스 1.0.3의 등록일을 참고하세요.
1.0.3 정식판 링크
이에 대해 소프트원트닷컴에서
Zdnet:FF 보안결함보도▶벌써 해결되었내..^^]라는 글을 올린 적이 있습니다.
그리고 파이어폭스 0.9 버전대에서 있었던 문제를 어떻게 처리했는 지 보시기 바랍니다.
모질라 제품 보안문제 처리과정 : 2004년 7월 9일
Posted: 2005 05 11 17:06 04
by 소프트원트
위 링크중 모질라 제품 보안문제 처리과정 : 2004년 7월 9일에 대한 링크가 원저작자(영문) 사이트로 이동하내요.
아래 링크에서 번역본을 볼 수 있습니다.
한글내용 보기
보안문제와는 별개이지만
Posted: 2005 05 11 19:16 29
by 박민권
보안문제와는 별개이지만 익스플로러는
수많은 랜더링 버그는 완전 무시하고 고칠 생각도 안합니다.
아래 사이트는 익스플로러의 랜더링 버그를 모아놓은 곳입니다.
http://www.positioniseverything.net/explorer.html
Re: 자연스럽게
Posted: 2005 05 12 16:23 37
by 빛알갱이
miLRain wrote:
빛알갱이 wrote:그 정식판이 비교적 빨리 나오지 않던가요? 이번에 발견된 문제를 해결한 1.0.4는 곧 나올 것 같습니다. 매일 나오는 버전은 (개발 버전이 아니라 안정 버전 브랜치의 것은 일반사용자가 써도 별 상관이 없겠지만) 일반인 쓰라고 있는 것은 결코 아니니까요.
보안취약점 발견 후 정식판이 빨리 나오는지는 모르겠습니다.
IE는 느리다는건 알겠는데...
5ㅤㅇㅝㅊ 초에 발견된 심각한 보안 상 결함을 고친 1.0.4가 내일모레면 나올 예정입니다. 그 정도면 빠른 것 아닌가요? 물론, 10일 정도가 아니라 10시간 정도면 더 좋겠지요. 하지만, 그게 말처럼 쉬운 게 아닙니다.
게다가 보안 상 결함이 외부로 노출되자 바로 어떤 식으로 그것을 막을 수 있는지에 대한 정보가 바로 나왔습니다.
1.0.4 영문판은 이미 공개가 되었네요.
Posted: 2005 05 12 16:53 00
by BlueRobot
빛알갱이 wrote:
5ㅤㅇㅝㅊ 초에 발견된 심각한 보안 상 결함을 고친 1.0.4가 내일모레면 나올 예정입니다.
이미 1.0.4 영문판이 공개되어 모질라 공식 홈페이지에서 제공중에 있네요.
물론 준비하는데 시간은 걸리는 것은 잘 알고 있지만, 한국어판도 빨리 나오면 좋겠습니다.
