Digg link: http://digg.com/tech_news/Just_How_Secure_Is_Google_Chrome

Org. Article link: http://www.pcworld.com/article/158400/google_chrome.html

구글 크롬 아직까지 쓰는 사람 있을까? 아마 있지 않을까 싶다. 생각 같아선 PC World 기사의 전문을 번역하고 싶지만, 귀차니즘과 원문의 방대한(과장 섞어서) 기사량의 압박으로 포기.

눈에 끌리는 부분 중 하나는,
Chrome also installs the Googleupdate.exe application,
... 중략
but it riles many security administrators because there is no notification of the outward-bound search, no notification of pending patches, and no approval requested for patches to be applied; plus, this behavior cannot be easily changed.

- PC World: http://www.pcworld.com/article/158400/google_chrome.html

인데. 크롬 자체적으로 업데이트 프로그램을 구동시키고, 백그라운드에서 사용자 모르게 자동으로 프로그램을 업뎃/패치한다는 부분이다. 보안 전문가들을 걱정 시키는 부분 중 하나라니, 어떤 식으로 보완 될련지는 구글에게 달린 것이겠지.

그리고 Digg 하면 빼놓을 수 없는 것이, 베스트 댓글! 내 맘대로 정하는 베스트 댓글이라서 더욱더 신난다. (응?)

Chrome is not that safe. if you do your research you will know that Chrome is a member of the transition metals, in group 6. Chromium(0) has an electronic configuration of 4s13d5, due to the lower energy of the high spin configuration it exhibits a wide range of possible oxidation states. The most common oxidation states of chromium are +2, +3, and +6, with +3 being the most stable. +1, +4 and +5 are rare. Chromium compounds of oxidation state +6 are powerful oxidants. So yeah, not all that. - javiero

크롬은 그닥 안전하지 않아. 어쩌고 저쩌고 주저리 주저리... 귀차니즘으로 인한 해석 패스. 요는 크롬은 보통 Cr+2, +3, +6 상태일때가 많으며, +1, +4, +5는 드물다. Cr+6의 경우엔 산화성이 매우 강하다. (사실 화학은 4년전에 이미 손을 떼버렸습니다... /먼산)

그래서 오늘의 결론은?
Cr은 매우 강력한 산화제로 쓰일 수 있다.
Posted by hyomini 트랙백 0 : 댓글 4
으음, 제목은 거창하게 썼지만, 정작 내용은 얼마나 알차게 쓸 수 있을련지 크게 자신은 없습니다. 최대한 제 경험에 비추어서 '정확하게' 쓸 수 있도록 노력할 테니, 틀린 부분이 있다면 많은 지적 부탁드립니다.


요즘 보안 문제로 시끌 시끌하네요. 나쁜 의미에서 시끄럽다기 보다는, 많은 분들이 보안에 관심을 가지시는 것 같아서 좋긴 합니다. 알아둬서 손해볼 게 없는 것이 컴퓨터 보안 문제거든요. :) 대신 과유불급이라고 무작정 많이 알고, 항상 내용 그대로 행한다고 해서 언제나 좋은 결과만을 바랄 수는 없습니다. 문제점이 있다면 해결점을 찾아야 되고, 해결점이 없다면 회피하거나 다른 차선책을 찾아야 겠죠.

우선은 지적되고 있는 부분부터 짚고 넘어가야 겠죠. 많은 분들이 걱정하시는 로그인 정보 저장문제는 이미 sonamu님의 http://osnews.kr/328 에서 잘 설명되어 있으니 자세하게 다루지 않겠습니다. 다만 제가 알려드리고자 하는 것은 (비단 osnews.kr 블로그만이 아니라) 지적된 부분에 대한 제 생각입니다.

사용자가 모질라 파이어폭스나 구글 크롬을 사용함에 있어서, 내장된 웹사이트 자동 로그인 기능을 사용할시엔 사용자가 입력하는 아이디와 비밀번호가 컴퓨터에 일정한 형태로 저장되며 브라우저를 통해서도 그것을 손쉽게 확인할 수 있습니다. (편리를 위해서 이하 '아이디와 비밀번호'는 '로그인 정보'로 대신합니다) 여기서 일정한 형태란, 컴퓨터 레지스트리가 될 수도 있고, 텍스트 파일이 될 수도 있으며 또는 바이너리 파일이 될 수도 있습니다.

브라우저를 통해서 비밀번호를 확인할 수 있는 게 왜 중요하냐고 하실지도 모르겠는데요. 제 개인적으로는 사용자가 비밀번호를 '볼 수 있는 것'이 중요하다고 생각합니다. 행여라도 비밀번호를 까먹을 때, 확인하기도 쉽고 비밀번호를 사이트 마다 다 다르게 사용하실 분들에게도 편할 테니까요. 솔직히 비밀번호 까먹었는데, 비밀번호 분실 신고를 해서 이메일로 '리셋'된 새로운 비밀번호를 받는 것도 번거롭거든요.

이 와중에, 많은 분들이 (제 보기에는 말입니다) 잘못 생각하시는 것 같은데, 어떠한 정보가 plain text 또는 '텍스트'로 저장되는 것과 텍스트파일 포맷으로 저장되는 것은 크게 다릅니다. 텍스트파일 포맷으로 저장된다는 것은 일반 (MS윈도우에 내장된) 메모장으로 손쉽게 열어서 내용물을 확인할 수 있다는 것이며, 일반 '텍스트'로 저장된다는 것은 '암호화'없이 그대로 저장된다는 것입니다. 이렇게 일반 '텍스트'로 저장된 정보들은 메모장으로 열었을 시에 아무런 제제가 없이 내용 그대로 확인할 수 있게 됩니다. 예를 들어서, 특정 사이트의 로그인 정보가 hongildong//password (아이디//비밀번호) 라면, 일반 '텍스트'로 저장된 파일을 열었을 적에 위의 hongildong//password를 그대로 볼 수 있다는 것이에요.

하지만, '암호화'되어서 저장된 파일은 열어서 내용을 확인해도 (텍스트파일 포맷이라 할지라도) 육안으로는 절대 원문이 무엇인지 알아낼 수 없습니다. 일례로, linux에서 제공되는 기본적인 SHA-1 hash는 password라는 단어를 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 와 같이 암호화해서 저장합니다. 파이어폭스에서는 무슨 방식을 사용하는 지 찾아볼려고 했는데, 간단한 검색으로는 찾을 수가 없네요. 자신의 자동로그인 정보가 어떻게 저장되어 있는지 확인하실 분은 %userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt 또는 "C:\Documents and Settings\사용자이름\Application Data\Mozilla\Firefox\Profiles\xxxxxxxx.default\signons.txt (파폭2 유저라면 signons2.txt; xxxxxxxx.default 에서 xxxxxxxx 부분은 랜덤하게 만들어 집니다) 에서 확인하실 수 있습니다.

많은 분들의 근심과 걱정은 이해합니다. 특히나 PC방과 같은 공공장소에서의 컴퓨터 사용은 한층 더 신경을 써야 하죠. 언제 자신의 로그인정보가 빼내어져 가는지 모를 수가 있거든요. 하지만, 파폭의 자동로그인 기능은 단순히 도구에 불과하다고 말씀드리고 싶습니다. 제대로 사용한다면, 사용하지 않을 때보다 훨씬 더 편리한 웹서핑을 하실 수 있다고 강조하고 싶네요.


짤막하게나마 제가 생각하는 브라우저 사용팁은:

  • PC방과 같은 공공장소에서 웹서핑을 할때는, 왠만해서는 USB드라이브에 포터블 브라우저를 넣어서 들고 다니시는 게 제일 속편하고 안전할 겁니다.

  • 만약 그게 아니라면, (이미 설치되어 있는) 브라우저를 사용할때는 항상 로그인정보 저장이 선택되어 있는지 확인하시길 바랍니다.
    • 익스플로러에서는 (영문 IE6 기준으로) Tools 메뉴 -> Internet Options 창 -> Content  탭-> AutoComplete 설정 -> Use AutoComplete for 섹션 -> User names and passwords on forms 에 체크가 되어 있다면 해제; 사용후에 기분이 찝찝하시다면 Clear Forms와 Clear Passwords 버튼 클릭도 추천해드리고 싶네요.
    • 파이어폭스에서는 (영문 파폭2 기준으로) Tools 메뉴 -> Options 창 -> Security 탭 -> Passwords 섹션 -> Remember passwords for sites 에 체크가 되어 있다면 해제
    • 파이어폭스에서 로그인정보가 그대로 노출되는 것이 불안하신 분들은, master password를 꼭 정하시길 바랍니다. 로그인정보에 자물쇠를 하나 더 채우는 셈이 되는 거에요.
    • 크롬은 구글에서 개인정보 (웹서핑 관련; 방문사이트와 같은 통계) 를 따로 빼내간다는 (크롬 자체에서 구글로 정보를 보낸다는 표현이 맞을려나요) 기사를 읽은 뒤에는 사용하지 않고 있습니다. 정보 보내는 자체를 해제할 수도 그리고 수집한 정보를 익명처리한다고 하지만 불신감에 사용하지 않고 있습니다. 관련 기사는 Google Promises Privacy Fixes in Its Chrome Browser

  • 알패스나 AI Robo Form과 같은 프로그램을 사용하신다면, master password를 꼭 정하시고 자동으로 로그인 되는 부분도 왠만하면 조심하시는 게 좋습니다. 비밀번호가 노출되지 않게 하는 것 까진 좋은데, 사이트 방문시에 자동으로 로그인이 되어 버린다면 비밀번호를 감춘 의미가 많이 사라지지 않겠어요. 자신의 컴퓨터를 타인에게 잠시 (사용할 수 있도록) 맡겨 두었는데, 그 상대방이 자신의 이메일 계정으로 자동 로그인할 수 있게 되는 것을 원하는 분은 없으시겠죠?

  • 집에서든 회사에서든 (특히 회사에서) 컴퓨터를 개인적으로 사용하신다면, 꼭 컴퓨터 자체에 비밀번호를 걸어두시길 바랍니다. 왠만한 IT회사라면 도메인자체에서 password policy를 적용해서 비밀번호를 지속적으로 바꾸도록 강요하겠지만, 가정에서라면 귀찮아서라도 안하시는 분들이 계실 것 같습니다. 습관화 해주시면 나중에 소잃고 외양간 고치는 일이 없을 겁니다. MS윈도 영문 기준으로 Control Panel -> User Accounts 에서 자신의 계정의 암호를 정할 수도, 바꿀 수도 있습니다.

  • 컴퓨터 OS자체에 암호를 정해놓는 것만으로는 부족합니다. 짧은 시간이든 긴 시간이든, 자리를 떠나야 하는 일이 생기면 꼭 컴퓨터를 '잠그시기' 바랍니다. 컴퓨터를 잠근다는 말은 'Lock Computer'의 직역이 될 수가 있는데요. 절대 컴퓨터가 스크린세이버 이후에 자동으로 잠궈지길 기다리지도 바라지도 마세요. 스크린세이버가 뜨는 동안에는 컴퓨터가 잠궈진 상태가 아닙니다. 누구든 곧바로 컴퓨터를 사용할 수 있는 상태에요. 컴퓨터를 잠그시기 위해서는, Ctrl + Alt + Del에서 나오는 화면에서 Lock Computer를 고르셔도 되고, 아니면 좀 더 빠르게 (단축키로) 키보드에서 windows key (윈도우 마크가 그려져 있는 키) + L 키를 누르시면 됩니다. 이렇게 '잠궈진' 컴퓨터는 자신이 정한 계정의 암호를 입력해야만 사용할 수 있게 되거든요.

  • 자신의 계정에 암호를 걸어 두셨다면, 컴퓨터를 켰을 때 (패스워드 입력없이) 자동 로그인 되는 부분도 해제해주셔야 합니다. 컴퓨터를 잠그고 자리를 비웠다고 해도, 리붓을 해버리면 암호 입력없이 자동으로 로그인할 수 있으니, 무의미하거든요.


위의 방법들이 처음에는 아주 많이 귀찮게 느껴질겁니다. 혼자서 쓰는 데 뭐하러, 또는 설마 누가 보겠어 하는 안이한 생각을 가지고 있다가 괜히 소잃고 외양간 고치지 마시고, 차츰 차츰 습관화 해보세요. 단순하게 파폭의 자동 로그인 해제만이 보안 문제의 해결점이라고 굳게 믿고 계시면 안됩니다.
Posted by hyomini 트랙백 0 : 댓글 2

장안의 화제인 Google Chrome (BETA), 이하 크롬은 구글에서 야심작으로 준비한 웹브라우저 입니다.

WebKit (이하 웹킷)을 기반으로 해서 모두가 칭송하는 사파리의 빠른 페이지 렌더링 속도를 그대로 따르고 있습니다. 그외에도 이것 저것 뒷배경 이야기가 많을텐데, 이미 수많은 블로그와 웹사이트에서 다룬 걸로 알고 있으니 사용기로 바로 넘어가도록 할께요. 행여라도 더 많은 정보를 원하시는 분이 계신다면, 위키피디아를 권해드립니다.

 

Google Chrome - http://en.wikipedia.org/wiki/Google_chrome

WebKit - http://en.wikipedia.org/wiki/WebKit

Acid2 test - http://acid2.acidtests.org/#top

The WebKit Open Source Project - http://webkit.org/

 

 

설치

 

설치 자체는 간단합니다. 구글에서 동의서에 체크를 한 후에 받게 되는 근 500KB대의 파일을 실행하면 인터넷을 통해 필요한 설치파일들을 받게되고 자동적으로 설치가 됩니다. 그러고 보면, 정작 어디에다가 설치를 한다는 것은 사용자가 직접 지정을 해주지 않아도 되네요 (또는 해줄 수가 없군요) 제가 깜박한 건지는 모르겠지만, 아래와 같이 installing 뜨다가 금방 끝나버립니다.

 

 

다시 설치를 해봐도 마찬가지군요. 사용자의 편의를 최대한 배려해서 그런건지 아니면 아직 베타버전이라서 제대로 구현을 하지 않은 건지는 몰라도, 편리하면서 동시에 불편한 부분입니다.

 

2:18 PM, Sep 3, 2008: 추가

좀 더 글을 읽어보고 확인을 해보니, 크롬은 굉장히 난해한 곳에 설치가 되는 군요. 정확하게는:

c:\documents and settings\$USER_NAME$\local settings\application data\google\chrome\

에 설치가 되는 군요. 사용자들이 일반적으로 "program files"가 아니라 기나긴 document ~ application data.. 폴더에 프로그램을 설치한다고 생각하는 걸까요? 아니면 대다수의 사용자들이 프로그램의 위치를 찾을 수 없게 하려고 그런걸까요? 아마도, 개발자측에서 윈도우 사용자들은 "documents and settings" 폴더를 항상 백업해두고 보관할 것이다 라는 전제하에 (포맷후 윈도우 재설치뒤, 백업본을 복원한 후) 크롬의 재설치를 편리하게 하기 위해서 그런걸까요? 사용자의 편의 배려를 명목으로 사용 환경을 '짐작'하는 것은 오류라고 생각됩니다.

 

또한 구글의 http://www.google.com/chrome/thankyou.html 에 의하면 브라우저가 자동적으로 실행될 것이라고 되어 있는데, 제 경우엔 그렇지 않았거든요. 실제로 배경화면에 새로이 놓여진 크롬 아이콘을 클릭해야 실행이 되었습니다. 제가 조금 까다롭게 구는 것처럼 보여도 (직업상) 그러려니 해주셨으면 합니다.

 

 

첫실행

 

첫실행은 굉장히 매끄럽습니다. FireFox (이하 파폭)의 무거움도 없고, Internet Explorer (이하 익스)의 번잡함도 느껴지지 않습니다. 필요한 부분만 남겨두고 (개발자가 생각하기에) 필요 없는 부분은 전부다 빼버린 것 같아요.

 

 

장점을 들자면 아무래도 심플한 첫인상입니다. 언제 쓸지 모를 메뉴나 아이콘 버튼들을 생략하고, 가장 자주 쓰일만한, Back, Forward, Reload 버튼 외에 탭과 주소창 메뉴버튼 두개 그리고 북마크 버튼만이 놓여져 있군요. 초보 또는 다양한 기능을 필요로 하지 않는 분들에게는 큰 환영을 받을 것으로 보입니다.

 

또한 새 탭화면에 보여지는 "Most visited" 부분도 흥미로워 보입니다. 설명을 인용하자면 "자주 방문하는 웹사이트들을 보여주는 공간"인데요. 자주 방문하시는 곳이 있으시다면 일일히 입력할 필요 없이 여기서 클릭만 하시면 될 것으로 보이네요. Show full history 링크를 클릭하시면 날짜와 시간별로 방문한 페이지들이 전부다 보여집니다. 차후에 언제 어디서 무엇을 보았는데, 그걸 정확하게 어느 사이트에서 본 거더라 하는 고민은 사라지겠네요. 물론 언제, 어디서 보았냐는 것을 정확하게 기억한다는 전제하에서 말입니다. (웃음) 우측의 Recent bookmarks 도 편리할 것 같습니다.

 

특히나 처음으로 크롬 아이콘 클릭하는 순간 부터 브라우저가 뜨는 순간까지 아무런 응답창이 뜨지 않습니다. 익스의 북마크들이나 설정 옵션들을 불러올것이냐는 물음도 없으며, 세세한 설정이 필요하다는 응답창도 뜨지 않았습니다. 모든 것이 매끄럽게 실행되었어요. 일일히 '예' 또는 '아니오' 를 대답하기 귀찮아 하시는 분들께는 '딱' 일 것 같군요.

 

단점을 들자면, 파워 사용자를 배려하지 못한 인터페이스 입니다. 가장 심플하면서 꼭 필요한 기능들만 배열해놓았기에 행여라도 자신이 필요한 버튼이나 메뉴가 있다면 (Open source니까) 직접 프로그래밍을 하시는 수 밖에 없겠군요. 물론 사용자층이 두터워지기 시작하면 각종 스킨과 새로운 인터페이스가 개발될 수도 있긴 하겠습니다.

 

"Most visited" 부분에 뿌려지는 웹사이트의 기준도 애매모호 합니다. 크롬내에서 자체적으로 설정하는 것처럼 보이기에 정확한 기준이 무엇인지는 알 수가 없습니다. 5번 이상 방문? 10번 이상 방문? 이틀 연속으로 방문? 세부 설정을 따로이 찾을 수가 없군요. 관리와 설정이 조금은 (많이?) 부족한 실정입니다.

 

그리고 많은 분들이 고심하고 계실, "내 발자취가 남는 걸 원치 않아"에 대해서는 보완점이 있어서 크게 단점이라고 지적하진 않겠습니다. 곧 설명할 incognito window에서 좀 더 자세히 다루게 될테니까요.

 

끝으로 장점이면서 동시에 단점이 될 부분은, 사용자의 의견을 초기 실행시 물어보지 않는 다는 것입니다. 과연 진정으로 사용자가 익스의 북마크와 기타 설정들을 그대로 불러오길 원하는 지, 또는 파폭의 북마크와 기타 설정들을 그대로 불러오길 원하는 지, 전혀 물어보지 않습니다. 그러면서 막상 실행이 된 후에 크롬을 보고 있자면, 익스의 북마크를 그대로 불러왔군요.

 

2:12 PM, Sep 3, 2008: 정정합니다.

freesohper님께서 지적해주신 대로, 크롬에서 초기 설치후 설정 불러오기를 물어보지 않는 것은 아니었습니다. 제가 무심결에 그냥 지나쳤나 보군요. 아래 스크린샷처럼, "Customize these settings" 를 클릭하시면 따로 북마크및 설정 불러오기를 정해주실 수 있습니다.

 

 

 

 

설정 메뉴

 

구글 회사 제품들의 가장 큰 장점이라면 심플한 인터페이스입니다. 동시에 관련된 많은 설정 메뉴들도 깔끔하다 싶을 정도로 심플하게 되어 있습니다. 크롬도 별다를게 없습니다. 화면에 보여지는 메뉴 버튼 두개 중에서 하나는 직접적인 브라우징에 관련된 메뉴이며, 다른 하나는 크롬 자체의 설정 메뉴입니다.

 

 

왼쪽의 브라우징 메뉴는 아래에서 다루도록 하고, 오른쪽의 크롬 설정 메뉴부터 보도록 할께요.

 

History나 Downloads 그리고 Help는 클릭시 새 탭으로 창이 열립니다. Clear browsing data나 Import bookmarks & settings는 많은 분들이 아실만한 부분이니 크게 다루지는 않겠습니다. Options는 곧 아래에서 따로 다루도록 하고, About을 클릭하니 아래와 같이 크롬 관련 창이 뜨는 군요.

 

 

위에 보이는 것 처럼, (user-agent 정보가 꽤나 길어서 조금 헥갈리긴 한데) 크롬은 WebKit기반으로 만들어졌습니다. "Google Chrome is up to date" 라고 보이는 자막 왼쪽엔 녹색 체크 마크가 떠있네요. 아마 자동적으로 버전 체크를 해서 업뎃이 필요할 경우 빨간색 체크마크를 표시하거나 무슨 다른 마크를 뜨게 할려나 봅니다. 버전이 0.2.149.27 인게 눈에 띄네요. 아직 0.2대라는 것도 놀랍지만, 리비전이 긴것도 눈에 띕니다. (웃음)

 

여기서 잠시 짚고 넘어갈 것은, 따로이 설정 불러오기 (import) 기능이 있다면 자동적으로 설정을 불러올 것이 아니라, 안내문을 표시함으로서 사용자가 그리할 수 있도록 유도를 했어야 한다고 생각합니다. 따로 안내창을 띄우는 게 번거롭다면, 첫 실행시 뜨는 탭창에 간략하게 "Guide & Tips" 식으로 설명을 넣을 수도 있었을 텐데 말입니다. 정식 출시에도 이 방식이 그대로 유지될련지 궁금하네요.

 

 

크롭 설정창

 

크롬관련 옵션들은 간단하다 못해 허전하게 느껴질지도 모릅니다. 파폭의 설정보다 더 간략하게 보이네요. 구글에서 복잡한 설정에 지친 사용자들을 타겟으로 한게 아닐까 하는 생각이 듭니다.

 

 

Basics탭에서는 크롬 실행시 보여질 페이지를 지정해줄 수 있고, 크롬을 default browser (기본 브라우저)로 지정해줄 수도 있군요. 귀찮게 크롬을 실행하거나 종료할 때마다 "크롬을 기본 브라우저로 설정하시겠습니까?" 라는 창이 뜨질 않는 것은 마음에 듭니다. 사용자에게 전적으로 맡기는 것이니까요.

 

Minor Tweaks탭에서는 다운로드 위치를 지정할 수 있고, (물론 파일 다운로드시마다 물어볼 수 있도록 할 수도 있구요) 패스워드 저장기능및 폰트와 언어 설정을 할 수 있습니다. 언어 설정은 제가 귀찮아서 따로 하질 않음으로 패스.

 

Under the Hood탭에서는 좀 더 세부적인 설정을 지정해줄 수 있습니다. 개인적으로 단어 선택이 마음에 드는데요. "Advanced" 같이 딱딱한 느낌의 단어가 아닌 "Under the Hood" 같은 친숙한 단어의 선택은 마음에 듭니다. 자동차같은 기계들을 지칭하며 사용되는 표현인 "under the hood"는 hood (덮개) 아래에 무슨 일이 벌어지고 있나 하며 들쳐 볼때 자주 쓰입니다. "Behind the Scenes" 도 괜찮은 선택이 될지도 모르겠는데요. (웃음)

 

아쉽게도 크롬 자체 언어를 한국어로 설정할 경우 설정 탭들의 단어선택이 일반적인 프로그램들 처럼 딱딱하게 변하는 군요. 기본설정, 환경설정, 고급설정 이라니요!

 

 

어쨋거나 세부적인 설정은 많이 부족해 보입니다. 차후에 "for power-user only" 라는 설정탭이 생길지도 모릅니다만... 괜한 바램일지도 모르겠어요. (웃음)

 

 

Incognito window

 

한글로는 "새 시크릿 창" 이라고 보여지는 이 incognito window는 (이하, 익명 모드) 자신의 발자취가 남는 것을 원치 않는 사용자들을 위한 기능이라고 할 수 있겠습니다. 이 모드에서 열리는 모든 창의 기록은 따로 컴퓨터에 남지 않기 때문에 새 탭 화면에 보여지는 "Most visited" 공간에도 뜨질 않아서 유용할 것 같습니다. 언제 어디서 무엇을 위해서 본 모드를 써야 하는지는 따로 밝히지는 않을께요. 다들 왜 필요한지는 아시리라 믿습니다. (웃음) 특히나 타인의 컴퓨터를 빌려서 (예를 들어 인터넷 카페라든지) 사용하는 경우엔 꼭 필요하겠어요.

 

익명 모드에서 가장 인상 깊었던 부분은, 안내문으로 보여지는 첫화면입니다.

 

 

영어를 그대로 인용하자면,

You've gone incognito. Pages you view in this window won't appear in your browser history or search history, and they won't leave other traces, like cookies, on your computer after you close the incognito window. Any files you download or bookmarks you create will be preserved, however.

 

Going incognito doesn't affect the behavior of other people, servers, or software. Be wary of:
- Websites that collect or share information about you
- Internet service providers or employers that track the pages you visit
- Malicious software that tracks your keystrokes in exchange for free smileys
- Surveillance by secret agents
- People standing behind you

한글 번역본을 그대로 인용하자면,

시크릿 모드로 바뀌었습니다. 시크릿 창에서 연 페이지는 브라우저의 웹 기록이나 검색 기록에 나타나지 않으며 창을 닫은 후에는 쿠키 같은 기록을 컴퓨터에 남기지 않습니다. 그러나 다운로드한 파일이나 작성한 북마크는 저장됩니다.

 

시크릿 모드는 다른 사용자나 서버 또는 소프트웨어의 동작에 영향을 주지 않습니다. 주의:
- 사용자 정보를 수집하고 공유하는 사이트
- 사용자가 방문한 페이지를 추적하는 인터넷 서비스 제공업체 또는 기업
- 무료 이모티콘을 제공하고 사용자의 키보드 입력을 추적하는 악성 소프트웨어
- 스파이의 감시
- 뒤에 서 있는 사람

 

아쉬운 부분이 있다면 구글의 (장난기어린) 위트를 제대로 이해하려면 영어 원문을 보시는 게 더 낫다는 거랄까요. 처음 세가지는 그저 무난한 일반적인 경고문이구요. 네번째와 다섯번째가 웃기다고 여겨지는 부분입니다. 영문의 주의 사항을 보면, "Surveillance by secret agents" 와 "People standing behind you" 라고 되어 있는데요. 익명 모드를 한다고 해서 첩보기관에서 감시를 하는 것과 (컴퓨터) 바로 뒤에서 자신을 지켜보고 있는 사람은 막질 못한다는 것을 익살맞게 주의사항으로 넣어 두었네요. 어떻게 보면 현실적이면서도 한편으론 절로 웃음이 나는 부분입니다.

 

 

Behind the scenes

 

크롬이 색다른 부분이 있다면, 모든 탭들이 개별적인 프로세스로 작동한다는 것입니다. 덕분에 탭들간의 연결고리를 최소화한다고 해야 할까요? 탭으로 열려진 웹페이지들을 모두 개별적으로 관리함으로서, malware로 부터의 피해를 최소화한다고 합니다. 위키피디아의 설명을 그대로 인용하자면,

Sandboxing
Each tab in Chrome is sandboxed into its own process to "prevent malware from installing itself" or "using what happens in one tab to affect what happens in another". Following the principle of least privilege, each process is stripped of its rights and can compute but can not write files or read from sensitive areas (e.g. documents, desktop)—this is similar to "Protected Mode" that is used by Internet Explorer 7 on Windows Vista. The Sandbox Team is said to have "taken this existing process boundary and made it into a jail";[15] for example malicious software running in one tab is unable to sniff credit card numbers, interact with the mouse or tell "Windows to run an executable on start-up" and will be terminated when the tab is closed. This enforces a simple computer security model whereby there are two levels of multilevel security (user and sandbox) and the sandbox can only respond to communication requests initiated by the user.

 

- excerpt from http://en.wikipedia.org/wiki/Google_chrome

위 원문에서, "for example malicious software running in one tab is unable to sniff credit card numbers" 부분이 눈에 가장 띕니다. 예를 들어서 SiteA에서 악성코드가 심어져 있어서 발동이 되었는데, 이 악성코드가 다른 탭에 열려진 SiteB에 입력되고 있는 신용카드 정보를 알아낼 수 없다는 걸로 보여지네요. Social engineering attack 때문에 악성코드가 점점 더 심각해지고 있는 요즘, 보안에 크게 도움이 될 거 같습니다. 비슷한 프로그램으로는 Sandboxie - http://www.sandboxie.com/ 가 있지요.

 

탭이 따로이 동작한다는 것은 Task manager 로도 확인할 수 있습니다.

 

 

열려진 탭이 각각 개별적인 프로세스로 작동되고 있네요. 어느 웹페이지가 86메가나 먹고 있는지는...

 

 

현재 알려진 보안 문제

 

베타버전이 출시가 된지 얼마 되지 않아서 그새 보안문제가 발견되었네요. 물론 구글 자체의 실수도 있지만, 브라우저라는 것이 항상 새로운 문제가 발견되게 마련이라서, 꼭 그들만 탓할 수는 없지 않나 싶습니다. 불만이 있다면, 왜 굳이 오래된 webkit버전을 썼냐는 것인데요. 베타라서 지속적으로 리비전이 바뀌는 와중에 그나마 안정적인 버전을 출시하다 보니 그렇게 된 걸지도 모르겠네요.

 

불거져 나온 문제점을 간략히 요약하자면, Safari WebKit 구버전과 Java 자체의 버그를 합쳐서 생기는 취약점이라고 하네요. 자세한 내용은 http://blogs.zdnet.com/security/?p=1843 과 벌새님 블로그 - http://hummingbird.tistory.com/496 에서 보실 수 있습니다.

 

Zdnet 에 가시면 proof-of-concept 라고 어떤 식으로 이 보안 취약점이 악용될 수 있는지 보여주는 데요. 직접 해보시긴 꺼려지고, 어떻게 작동되는 지 궁금하신 분들을 위해 제가 직접 해봤습니다.

 

사이트에 직접 가시면, 아래와 같은 페이지가 보여지게 됩니다. 실제로 사용자는 정확하게 무슨 일이 일어나고 있는지 '자세하게' 지켜보고 있지 않으면 알 수가 없습니다.

 

 

위에 제가 빨간색으로 네모로 테두리 쳐둔 부분이 보이시죠? 웹페이지에 가면 자동적으로 위 파일이 받아집니다. 실제 파일 이름은 Free Coupwns!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.jar 이구요, 길어서 생략되서 나오면 위와 같이 표기됩니다.

 

자, 페이지에 나와 있는 영어 문구를 읽어 봅시다. 공짜 커피를 원하면 아래 공짜 쿠폰 (테스트인지라 pun을 사용해서 Coupwn이라고 표기해두었군요) 을 클릭하라고 되어 있네요. 한번 눌러 볼까요? 어라 뭔가가 실행됩니다. 간략히 설명하자면, jar 파일은 자바 실행파일입니다. Java Runtime Environment (JRE) 가 설치되어 있는 컴퓨터라면 자동적으로 바이트 코드가 실행이 됩니다.

 

좀 더 자세히 부연 설명을 하자면, 첫째로, 사용자에게 파일을 다운로드 하겠냐는 응답창이 뜨질 않았습니다. 둘째로, Social Engineering attack에 취약하신 분들이라면 누구나가 "공짜 커피"를 위해 선뜻 아래의 "공짜 쿠폰"을 클릭하게 되겠지요. 셋째로, JRE 가 설치되어 있는 컴퓨터라면 (다운로드되었던) .jar 파일은 사용자의 클릭으로 인해 자동적으로 실행되게 되고, 악성코드가 발동되게 되는 것입니다.

 

애플에서는 이미 WebKit의 버전업을 통해 위와 같은 carpet-bombing flaw를 막은 상태라는 군요. 구글에서도 크롬 버전을 수정해야 할텐데 말입니다. 아무래도 수정 되기 전까지는 웹페이지에서 '무언가를' 클릭하는 일은 조심해서 하셔야 할 것 같습니다.

 

 

끝으로,

 

쓰다가 보니 꽤나 길어졌네요. 거기다가, 아직 다뤄야 할 부분이 몇군데 더 있지만 제가 웹프로그래머나 디자이너가 아닌 관계로 크게 관심을 쏟지 못했습니다.

 

짤막하게나마 제 느낌을 말하자면, 크롬은 구글의 인터넷 시장 확보를 위한 또다른 도약으로 보입니다. 그만큼 첫 티켓을 제대로 끊었다는 느낌이 들어요. 익스에 지치고, 파폭도 싫증이 나지만 사파리엔 손이 선뜻 가질 않는 분들에게 크나큰 선물이 될 것 같습니다.

 

뭐하세요? 얼른 가서 설치해서 써보셔야죠. :D

Posted by hyomini 트랙백 4 : 댓글 10