Mozilla가 2021년 5월 18일에 데스크탑용 Firefox에 '사이트 격리' 기능을 탑재한 사실을 발표했습니다. 이 기능은 2018년에 발견되었음에도 지금까지 응급적인 대응에 머물러 있던 취약성 'Spectre'와 'Meltdown'에 대한 과감한 조치를 취할 수 있게 되었다고 Mozilla는 말합니다.
Introducing Site Isolation in Firefox - Mozilla Security Blog
https://blog.mozilla.org/security/2021/05/18/introducing-site-isolation-in-firefox/
Introducing Firefox's new Site Isolation Security Architecture - Mozilla Hacks - the Web developer blog
https://hacks.mozilla.org/2021/05/introducing-firefox-new-site-isolation-security-architecture/
Introducing Firefox’s new Site Isolation Security Architecture – Mozilla Hacks - the Web developer blog
With Site Isolation enabled on Firefox for Desktop, Mozilla takes its security guarantees to the next level.
hacks.mozilla.org
2018년 1월에 시장에 나와 있는 많은 CPU의 하드웨어 수준에 취약성 'Spectre'와 'Meltdown'이 발견되었습니다. 이에 Mozilla를 비롯한 IT업체들은 일제히 대응책을 강구했지만, Mozilla에 따르면 당시 실시된 대책은 급한 불을 끄는 임시방편에 불과했다는 것.
Critical "Meltdown" and "Spectre" Flaws Breaks Basic Security for Intel, AMD, ARM Computers | WIRED
https://www.wired.com/story/critical-intel-flaw-breaks-basic-security-for-most-computers/
Critical "Meltdown" and "Spectre" Flaws Break Basic Security for Intel, AMD, ARM Computers
Still-unidentified researchers have found a critical chip flaw that developers are scrambling to patch in millions of computers.
www.wired.com
Researchers Discover Two Major Flaws in the World’s Computers - The New York Times
https://www.nytimes.com/2018/01/03/business/computer-flaws.html
Researchers Discover Two Major Flaws in the World’s Computers (Published 2018)
Called Meltdown, the first and most urgent flaw affects nearly all microprocessors made by Intel. The second, Spectre, affects most other chips.
www.nytimes.com
Firefox의 보안에 대해 근본적인 재검토를 진행했던 Mozilla는 5월 18일 열람 중인 사이트를 처리하는 프로세스를 다른 프로세스에서 분리하여 개인 데이터의 취득을 어렵게 하는 '사이트 격리'를 Firefox에 도입했다고 발표했습니다.
Mozilla의 소프트웨어 엔지니어인 Anny Gakhokidze 씨에 따르면, 기존의 브라우저에서는 악성코드가 내재된 사이트와 인터넷뱅킹 등 중요한 개인정보를 취급하는 사이트가 동일한 프로세스에서 처리되고 있었다고 합니다.
따라서 악성코드가 내재된 사이트에서 Spectre 같은 고급공격이 실시되면 메모리에 저장되어 있는 은행의 로그인 데이터 등이 누출될 위험이 있었습니다.
이것은 Firefox에서도 마찬가지인데, Firefox에서는 가동할 때 '부모 프로세스'라는 최상위 권한을 가진 프로세스가 생성되고 그 아래에 사이트 등을 처리하는 컨텐츠 프로세스가 생성됩니다. 지금까지의 Firefox에서는 다른 사이트가 동일한 프로세스에서 처리될 수 있어서 콘텐츠 프로세스를 통해 부모 프로세스가 탈취되는 위험이 있었습니다.
한편, 사이트 격리가 구현된 Firefox에서는 개별 사이트가 별도의 프로세스에서 처리되기 때문에 사용자는 안전하게 브라우징을 할 수 있게 된다는 것입니다.
또한 사이트 격리는 '개별 프로세스로 사이트가 처리되므로 무거운 사이트를 열어도 다른 페이지의 응답성이 저하하지 않는다', '탭이 충돌해도 다른 프로세스에서 처리되고 있는 페이지가 영향을 받지 않는다', '사이트의 로딩에 여러 프로세스를 사용하기 때문에 작업이 더 많은 CPU 코어에 분산되어 하드웨어의 성능을 보다 효율적으로 사용할 수 있다' 등 부차적인 장점도 있습니다.
Mozilla는 실험적인 기능을 테스트하는 Firefox Beta나 Firefox Nightly에서 사이트 격리 기능을 선행 배포하고 있으며, 2021년 하반기에는 표준판의 Firefox에 정식으로 구현할 계획입니다.
Firefox Nightly에서 사이트 격리를 시도하는 단계는 다음과 같습니다.
1) Firefox Nightly의 URL 상자에 'about:preferences#experimental'을 입력하고 'Fission(사이트 격리)'에 체크를 넣은 후 다시 시작합니다.
2) 표준판의 Firefox에도 URL 상자에 'about:config'를 입력하고 '위험을 감안하고 사용하기'를 클릭.
3) 'fission.autostart'의 값을 'true'로 하고 다시 시작하여 활성화할 수 있습니다.
'IT' 카테고리의 다른 글
| 운하에 떨어트린 iPhone 12 Pro, MagSafe를 이용하여 낚는 데 성공 (0) | 2021.05.31 |
|---|---|
| Wi-Fi(무선 LAN)가 갑자기 끊겼다! 공유기의 수명 판단방법 (0) | 2021.05.29 |
| 경찰이 시위대 진압에 사용하는 Oracle의 시민 모니터링 도구 'Endeca Information Discovery' (0) | 2021.05.28 |
| Oracle, 중국에서 '민중의 탄압에 사용되는 데이터 분석도구를 판매하고 있다는 지적 (0) | 2021.05.28 |
| 언어의 벽을 넘어 복잡한 문장이나 이미지도 이해할 수 있는 새로운 검색 알고리즘 'MUM'을 Google이 발표 (0) | 2021.05.20 |
| Google, Android 탑재 스마트폰을 '자동차 키'나 'TV 리모컨'으로 사용할 수 있는 기능을 발표 (0) | 2021.05.20 |
| '그랜드 테프트 오토 V'의 그래픽을 거의 실사화하는 AI를 개발 (0) | 2021.05.14 |
| "피싱사이트가 검색광고로 표시되고 있다"며 FBI가 경고를 발표 (0) | 2021.05.14 |
