You are viewing a single comment's thread from:

RE: [Easysteemit] 스팀잇 글쓰기, 읽기를 향상시킬 ‘Steemit.com Enhancer’를 소개합니다.

in #kr6 years ago

멋진 프로그램입니다. 다만 암호화폐를 잘 아는 전문가들은 플러그인에 매우 민감합니다. 저 역시 플러그인은 개발용 브라우저에서만 일부 개발툴 정도 사용하고 여러 로그인이 필요한 브라우저에서는 전혀 사용하지 않습니다.

스팀잇 관련한 툴들이 플러그인 형태로 널리 쓰이기엔 이런 조심스러움이 걸림돌이 될듯 합니다. 악의적인 플러그인의 문제는 너무나 많고 처음엔 잘 동작하다가 업데이트에 악의적 코드가 들어가는 등의 문제도 계속되어 왔습니다.

결국 스팀잇의 불편함은 새로운 웹서비스의 몫인듯 합니다. 아무쪼록 이런 시도 들이 일회성 보다는 좀더 큰 그릇에서 진지하게 담겨지기를 바랍니다.

고생하셨고 이런 시도들에는 박수를 보내며 혹시 이런 기술적 우려를 모르실까봐 적오보았습니다.

Sort:  

안녕하세요, Chrome Extension의 보안 수준은 저도 관심이 많아서 예전부터 내부적인 동작방식을 정확하게 파악하고 있고, 보안적인 문제는 없을 것으로 생각합니다.

  • 아시겠지만 Chrome extension의 경우 설치시에 사용자에게 "어떤 권한을 사용한다" 라는것은 명시적으로 확인받아야 설치가 가능합니다. 자동 업데이트를 통해서 추가적인 권한을 넣으려고 해도 추가된 권한을 사용하는 시점에 사용자에게 추가 확인을 명시적으로 받아야지만 해당 권한을 획득 가능하게 되어있어서 사용자 모르게 외부 사이트로 사용자의 사용기록 등을 전송하는 등의 abusing은 불가능합니다. (물론 사용자분들이 권한을 요청하는 팝업을 정확히 읽지않고 무조건적으로 허용하신다면 문제가 발생할 가능성은 있습니다)

  • Chrome Extension의 경우 또한 script가 실행되는 context에 따라서 실행권한이 명확하게 구분되어있어서 구글이 허용한 sandbox를 벗어난 정보에 접근하는 것이 불가능하도록 설계되어있습니다.

  • 추가적으로 steemit.com의 경우 스팀잇 개발팀이 CSP (Content Security Policy)을 명확하게 설정해 둔 것을 확인했습니다. 이로인해서 스팀잇 사이트가 허용된 도메인이 아니면 스팀잇 페이지 내에 remote server에서 추가적인 script를 inject하는 것 자체가 불가능하도록 잘 방어되어 있습니다.

혹시 이런 부분 외에도 보안쪽으로 걱정되는 부분이 있으시다면 공유 부탁드립니다.

고생하셨습니다. 개발하신 플러그인에 보안문제가 있을 리가 있나요? 당연 잘 만드시고 샌드박스 한계 내에 동작하리라 생각합니다.

제 의견은 플러그인으로 스팀잇 서비스 개선하는 것은 사용자들의 플러그인 형식 자체에 대한 거부감으로 확산에 한계가 있을수 있어 결국 독립 웹서비스로 개선되어야 하지 않을까 하는 의견이였습니다.

고맙습니다.

Coin Marketplace

STEEM 0.16
TRX 0.15
JST 0.030
BTC 59106.19
ETH 2538.36
USDT 1.00
SBD 2.37