2018.01.19

모질라 "파이어폭스에 '시큐어 콘텐츠' 강제 적용"

Gregg Keizer | Computerworld
모질라가 앞으로 파이어폭스가 개발하는 모든 웹 기술에 브라우저-서버간 모든 트래픽을 암호화하는 개발 기준을 따를 것이라고 선언했다.



모질라 엔지니어 앤 반 케스터렌은 블로그를 통해 "앞으로 웹을 통해 외부로 노출되는 파이어폭스의 모든 기능은 반드시 시큐어 콘텐츠(Secure contexts)여야 한다. 그 대상은 기존 IDL 정의 오브젝트의 확장, 새 CSS 속성, 새 HTTP 응답 헤더부터 웹VR(WebVR) 같은 덩치 큰 기능까지 모두 포함된다"라고 말했다.

시큐어 콘텐츠는 이른바 '최소 보안 수준(minimum security level)'으로 불린다. 웹의 표준을 정하는 W3(World Wide Web Consortium)에 표준으로 제정하는 논의가 현재 진행중이다. 관련 문서에 따르면, 시큐어 콘텐츠의 주 목적은 '민감하거나 개인적인 데이터에 접근하는 애플리케이션 코드가 데이터 무결성을 보장하는 인증된 채널을 통해 안전하게 전송하는 것'이다.

현실에서 이것이 의미하는 것은 트래픽을 암호화해 중간자공격(man-in-the-middle)을 막아야 한다는 것이다. 중간자공격이란 해커가 보안이 허술한 브라우저-서버간 오고가는 트래픽을 가로채 내용을 빼내는 것을 의미한다.

이번 발표로 앞으로 브라우저-서버간 통신을 하는 파이어폭스의 어떤 신기능도 반드시 HTTPS 연결을 이용해야 한다. 반 케스터렌은 "기존 기능과 기술 중 일부는 때에 따라 계속 암호화되지 않은 HTTP 연결을 이용할 것이다. 이를 보완하기 위해 모질라는 시큐어 콘텐츠로 전환하는 작업을 쉽게 해주는 별도의 개발 툴을 제공할 예정이다"라고 말했다.

이번 조치는 갑작스러운 것이 아니다. 모질라는 지난 2015년 4월 HTTPS 확대 적용에 대한 의사를 이미 밝혔다. 이후 파이어폭스의 모든 신기능을 보안 웹사이트에서만 사용할 수 있도록 설정했다. 모질라 외에도 비슷한 움직임을 보이는 곳이 있다. 바로 구글이다. 구글은 지난 2014년 이후 기업들이 사이트를 HTTP에서 HTTPS로 바꾸도록 압박하고 있다.

모질라 역시 이를 지지할 뿐만 아니라 보안 사이트에 무료 인증을 제공하는 렛츠인크립트(Let's Encrypt) 프로젝트를 후원도 하고 있다. 모질라에 따르면, 이번달 기준 파이어폭스로 접속한 페이지의 66%가 암호화됐다. 파이어폭스의 다음 버전에서 추가되는 신기능과 기술은 이번 발표에 즉각 영향을 받는다. 새 버전인 58버전은 오는 23일 공개될 예정이다. ciokr@idg.co.kr 



2018.01.19

모질라 "파이어폭스에 '시큐어 콘텐츠' 강제 적용"

Gregg Keizer | Computerworld
모질라가 앞으로 파이어폭스가 개발하는 모든 웹 기술에 브라우저-서버간 모든 트래픽을 암호화하는 개발 기준을 따를 것이라고 선언했다.



모질라 엔지니어 앤 반 케스터렌은 블로그를 통해 "앞으로 웹을 통해 외부로 노출되는 파이어폭스의 모든 기능은 반드시 시큐어 콘텐츠(Secure contexts)여야 한다. 그 대상은 기존 IDL 정의 오브젝트의 확장, 새 CSS 속성, 새 HTTP 응답 헤더부터 웹VR(WebVR) 같은 덩치 큰 기능까지 모두 포함된다"라고 말했다.

시큐어 콘텐츠는 이른바 '최소 보안 수준(minimum security level)'으로 불린다. 웹의 표준을 정하는 W3(World Wide Web Consortium)에 표준으로 제정하는 논의가 현재 진행중이다. 관련 문서에 따르면, 시큐어 콘텐츠의 주 목적은 '민감하거나 개인적인 데이터에 접근하는 애플리케이션 코드가 데이터 무결성을 보장하는 인증된 채널을 통해 안전하게 전송하는 것'이다.

현실에서 이것이 의미하는 것은 트래픽을 암호화해 중간자공격(man-in-the-middle)을 막아야 한다는 것이다. 중간자공격이란 해커가 보안이 허술한 브라우저-서버간 오고가는 트래픽을 가로채 내용을 빼내는 것을 의미한다.

이번 발표로 앞으로 브라우저-서버간 통신을 하는 파이어폭스의 어떤 신기능도 반드시 HTTPS 연결을 이용해야 한다. 반 케스터렌은 "기존 기능과 기술 중 일부는 때에 따라 계속 암호화되지 않은 HTTP 연결을 이용할 것이다. 이를 보완하기 위해 모질라는 시큐어 콘텐츠로 전환하는 작업을 쉽게 해주는 별도의 개발 툴을 제공할 예정이다"라고 말했다.

이번 조치는 갑작스러운 것이 아니다. 모질라는 지난 2015년 4월 HTTPS 확대 적용에 대한 의사를 이미 밝혔다. 이후 파이어폭스의 모든 신기능을 보안 웹사이트에서만 사용할 수 있도록 설정했다. 모질라 외에도 비슷한 움직임을 보이는 곳이 있다. 바로 구글이다. 구글은 지난 2014년 이후 기업들이 사이트를 HTTP에서 HTTPS로 바꾸도록 압박하고 있다.

모질라 역시 이를 지지할 뿐만 아니라 보안 사이트에 무료 인증을 제공하는 렛츠인크립트(Let's Encrypt) 프로젝트를 후원도 하고 있다. 모질라에 따르면, 이번달 기준 파이어폭스로 접속한 페이지의 66%가 암호화됐다. 파이어폭스의 다음 버전에서 추가되는 신기능과 기술은 이번 발표에 즉각 영향을 받는다. 새 버전인 58버전은 오는 23일 공개될 예정이다. ciokr@idg.co.kr 

X