시큐리티포커스의 그리스몽키 보안 결함 보도

시큐리티포커스(SecurityFocus)Don’t Click on the Blue E!의 저자인 스코트 그레인너만이 쓴 그리스몽키의 최근 보안 재난에 대한 컬럼을 개제하였다. 스코트는 모질라 확장인 그리스몽키(Greasemonkey)이 수행하는 기능을 설명한 후(지메일(Gmail)에 삭제 버튼을 추가하는 사용자 스크립트를 예로 들었다), 그리스몽키에서 발견된 보안 결함(원문)에 대해 설명하였는데, 이 결함은 잠재적으로 사이트에서 사용자 컴퓨터에 있는 파일에 접근을 허용하게 된다. (그리스몽키 0.5 베타 버전에서 이 문제가 수정되었다원문 참조).

스코트는 인포월드(InfoWorld)의 컬럼니스트인 존 유델이 쓴 위기의 그리스몽키에서 이야기한 문제를 반박하였다. 그는 그리스몽키의 문제에 대해 파이어폭스가 비난을 받아야 한다는 의견에 반대하였다. 그는 “문제는 브라우저 자체의 디자인과 기술에 있지 않고, 잘못 구현된 API로 사용자 컴퓨터의 내용을 너무 많이 노출한 확장에 있다.”

비록 스코트는 그리스몽키의 개발자들이 “공격당할 수 있는 부분을 줄이기 위해 더욱 절제된 접근”을 취해야 할 것이라는 존의 말에는 동의했지만(존은 마이크로소프트를 이 규칙의 옹호자로 예시하였다), 그는 이것이 중요한 문제가 아니며, 발견된 보안 버그를 다루는 방법 또한 중요하다고 주장하였다. 스코트는 이러한 측면에서 그리스몽키의 팀이 문제에 응답하고 사용자들에게 문제를 알리며 해결택을 토론하는 것에 근거하여, 문제에 잘 대처하고 있다고 하였다. 그는 “이 모든 고통스런 과정에서 정보가 개발자, IT 관계자, 사용자, 보안 전문가 등 필요한 사람들에게 공개되고 있다.”고 하였다. 스코트는 이러한 개방성이 마이크로소프트나 시스코 등의 독점 소프트웨어 회사의 폐쇄적인 개발 과정보다 나은 방법이라 결론을 내렸다.

원문: MozillaZine: SecurityFocus on Handling of Greasemonkey Security Flaw

No comments yet

Post a comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다