스팀잇 플러그인 사용하시는 분들께 한마디 올립니다.
이번에 공개된 스팀잇 플러그인 정말 정말 좋더군요. 그걸 만든분의 마음이 느껴지는 앱이었습니다. 얼마나 답답했으면 플러그인을 만드실 생각을 했을지, 그리고 기뻐하며 사용하는 분들을 생각하며 즐겁게 개발하는 모습이 상상되니 흐뭇하고 고맙더라구요. 정성것 소개해주신 nhj12311 님께도 너무나 감사 드립니다.
원글:
https://steemit.com/steemdev/@armandocat/steemit-more-info-1-2-chrome-extension-firefox-extension
njh12311 님으 글:
https://steemit.com/kr-tip/@nhj12311/steemit-steemit-more-info
하지만 웹 보안쪽에 일하던 사람으로써 걱정되는것이 있습니다. 결론부터 이야기 드리면, 플러그인은 안전이 보장되지가 않습니다. 웹사이트와는 다르게, 플러그인의 경우에는 소스코드가 깨끗하다고 완벽히 안전하다고 할 수 없습니다. 데이터만 오가는 웹사이트와, 실제 수행코드가 심어져있는 응용프로그램의 보안은 매우 다릅니다.
특히 컴퓨터 자체에 말웨어가 심어지면, 말웨어가 플러그인에 영향을 미치는것을 완벽하게 방어하는것은 불가능 하다고 보시면 됩니다. 소스가 공개되어있고 스팀잇 웹사이트의 구조를 꿰둟고있는 플러그인이 수많은 사람들의 브라우저에 깔린다면, 해당 헛점을 노리는 말웨어가 개발되고 유포되지 않는다는 보장이 없습니다. 아니 오히려 매우 인기있는 공격대상이 될겁니다. 프라이머리키만 딸깍 바꾸면 계정을 소유하거나 인질화 할수 있으니까요. 다시한번 말씀드리지만 플러그인이 설치 되고, 해당 플러그인의 취약점을 노린 바이러스가 브라우저든 컴퓨터든 감염이되면 상상 이상의 일도 일어날 수 있습니다.
제가 2년간 일단 웹 시큐리티 스타트업에서 이런 문제를 해결하기위해 web isolation 기술을 연구개발 했기 때문에 틀린말은 아니라고 생각하셔도 됩니다. 구글이 아무리 날고 긴다 해도 당장은 이부분은 어찌할수 없습니다. 일단 컴퓨터가 감염되어 admin 권한을 획득하는 순간 부터는 가능성의 문제가 아니라 시간문제입니다. 엄청난 돈이 들어있는 수많은 스팀잇 계정을 갈취할 수 있는 여지가 생긴다면 공격 대상이 되는것은 순간입니다.
물론 플러그인 저자가 secure programming을 완벽히 숙지하고 적용하여 개발하였다면, 문제가 생길 확률이 아주 극히 낮아질 수 있습니다. 그러나 사람이 하는일이 그렇듯이 실수는 있을 수 있고, 실수가 있는지 없는지 검증하는것도 매우 어렵습니다. 수많은 상용 툴들도 어느 수준이상으로 검증 해 주지 못합니다.
플러그인을 쓰실분들은, 스팀잇 로그인 안한 브라우저, 예를들면 본인이 크롬으로 스팀잇을 하신다면 파이어폭스를 설치해서 그곳에만 플러그인을 깔고, 로그인은 포스팅키로만 하시길 추천합니다. 송금등 액티브키나 프라이빗키 필요한것은 플러그인이 설치되지 않은 브라우저 (브라우저 종류 자체가 다른게 안전합니다)에서 하시구요. 그게 제가 생각할 수있는 가장 안정한 사용방법 같습니다. 그리고 계정 복구 대책을 잘 세워두셔야겠죠..
만에하나의 사태가 염려되어 글 적습니다.
즐거운 한가위 되세요! ^^
Cheer Up!
항상 감사드립니다. ㅎㅎㅎ @asbear님 덕분에 모두 안전하게 스팀잇을 즐길 수 있을 것 같네요
제 스크립트는 정말 안전합니다 ㅎㅎㅎ 순수 자바스크립티로 html 특성만 동적으로 바꾸는것이거든요. 그리고 제가 임의로 바꿔서 설치하는것도 불가능하고.. 감사합니다 ^^
제가 무한 신뢰하는 두분 @asbear 님 , @isaaclab 님 덕분에~ 편리한 스팀잇 라이프를~ ^^
감사합니다~
혹시 메타마스크는 말씀하시는 관점에서 안전하다고 볼 수 있을까요-?
구글 크롬 플러그인 형태라 갑자기 조금 걱정이 되어서요-
메타마스크 또한 100% 안전하다고 할수 없습니다. 워낙 큰프로젝트이고 능력자들이 시간을 쏟았고 검증절차를 거쳤으니 매우 매우 안전하다고 할수 있습니다. 하지만 여전히 해킹의 위험은 있고, 말웨어를 조심하셔야합니다.
누가 레딧에 비슷한 질문을 했는데, 개발자의 의견한번 읽어보세요.
https://www.reddit.com/r/ethereum/comments/6j7445/how_secure_is_metamask/
요부분이 핵심이죠.
"I encourage users to not use MetaMask to store more than they are willing to risk to a hacker, for longer than they need to, and that's the same for any internet connected signer!"
소프트웨어 왈렛을 가장 안전하게 쓰려면, 아무 플러그인도 설치되지않은 크롬에서 MyEtherWaller쓰는게 최고겠지만.. 메타마스크 자체도 보안이 훌륭하다고 알고있으니 크게 걱정하실 필요는 없을 듯 합니다. 알수없는 플러그인 설치 조심하세요~!!
좋은 의견 및 링크 감사합니다!
주신 링크에서 글들을 읽어보니 결국은 off-line 지갑으로 가야할 것 같긴 한데, 아직 자산이 많은 것도 아니고, 메타마스크가 그래도 조금은 쉬워 보여서 메타마스크를 최근에 설치해서 사용하고 있었거든요.
평소에는 브라우저도 파이어폭스를 주로 쓰는 편이고, 구글 크롬 플러그인은 따로 설치한 게 없어서 일단은 조금 유지를 더 해야겠다 싶네요. ^^
넵... 괜찮을거라고 생각합니다. 저도 메타마스크 쓰고있습니다. ^^
잘보고 갑니다. 예전에 문제없이 동작하다가 사용자가 늘어나니 탭으로 광고를 띄워주던 플러그인이 생각나네요.
감사합니다. 조심해서 나쁠건 없을것 같습니다. 스팀잇에 많은 금액이 있는 분들이 많기때문에.. 저는 괜찮은데 ㅎㅎ
아닛 제 아이디가 njh라닛 ㅋㅋㅋ 보안은 중요하지요. 이제 회사에선 인터넷망을 따로 쓴지 꽤 됐으니까요.
보안을 위해서 nhj 가 아닌 njh 로.. 인크립션 한것을.... 눈치채셨군요... 대단하십낟...!!!! ㅎㅎㅎ
같은 것인지는 모르겠지만 저도 스팀잇 시작할 때부터 크롬 확장 프로그램으로 플러그인을 하나 달아두고 있었는데, @asbear님 글 보니 경각심을 가져야겠다는 생각이 드네요. 일단 삭제 및 비밀번호 리셋부터 하고, 플러그인을 쓰려면 말씀하신대로 브라우저를 별도로 사용하거나 하는 방법을 생각해봐야겠습니다.
저도 플러그인 쓰고있습니다.. 사실 스팀잇하고 직접 연관된 플러그인아아니라면 문제제기 할정도는 아닐텐데, 스팀잇 플러그인은 이야기가 다르기때문에 경계 하는게 좋다는 말씀을 드립니다. ..^^
보안은 아무리 강조해도 지나치지 않지요.
당하기 전에 조심해야 합니다.
편리한 만큼 위험도..
맞는 말씀입니다... 스팀잇은 단순 블로그가 아니라 지갑이기때문에.. 조심 또 조심 해야죠
굉장히 중요한 정보네요. 잠깐의 방심이 돌이킬 수 없는 결과를 초래하는게 보안 쪽이죠. 저도 nxt 지갑 털린걸 생각하면...ㅜㅜ
힘내세요 ㅜ.ㅜ 저도 스쿨드님 그 글 읽고 깜짝놀랐어요. 가상화폐는 특히 보안에 신경 많이 써야할것같습니다.