웹브라우저용 플래쉬 플러그인의 완성도가 후즐근한 것은 새로운 얘기도 아니지만, Adobe가 인수한 이후로 나아질 기미가 보인적도 전혀 없다. 얼마전의 시스템 침입대회에서 플래쉬 플러그인의 구멍을 통해 윈도우즈 비스타 시스템을 장악한 것은 이미 다들 들어서 알고 있을 터이다. (더 많이 알고 싶다면 이 사람의 글부터 시작해서 링크들을 따라가면 꽤 많이 알게된다.)

Adobe에서 드디어 보안 구멍을 땜질한 플러그인을 배포하기 시작했다. 링크된 페이지는 보안문제 보고페이지이다. 중간쯤에 있는 링크를 따라가야 다운로드 페이지로 간다. 왜 다운로드 페이지를 직접 연결하지 않냐고? 그게 바로 얘기거리이다.

다운로드 페이지는 웹 브라우저의 식별문자열을 가지고 자기들이 알아낸 것이 아니면, 다른 것을 다운로드 하지 못하게 만들어 놓았다. 모질라로 가서 받으려고 하면 모질라 플러그인만 받을 수 있다. 다른 브라우저/다른 운영체제의 조합을 선택할 수 있게 하는 듯한 링크를 누르면 몇번만에 제자리로 돌아온다. 요컨대, 플래쉬 플러그인을 다운로드 하려는 사람들은 바보라서 자기 브라우저와 자기가 쓰는 운영체제도 모른다는 자세다.

더욱 "훌륭"한 것은 플래쉬 플러그인의 보안 구멍때문에 그것을 바꾸려고 하는데, 인터넷 익스플로러용 플러그인을 받기 위해 인터넷 익스플로러로 접속하면, 플래쉬 플러그인이 활성화 되어있어야만 다운로드 받을 수 있다. 보안 구멍이 열어놓아야만 보안 구멍을 메울 수 있다는 아주 역설적인 상황.

---

이 회사 앞으로 10년은 갈까? 포토샵때문에 그럴 수도 있겠다.

이올린에 북마크하기(0) 이올린에 추천하기(0)

판매하는 공유기 제품에 백도어를 심어놓은 부도덕한 회사의 변명이 기가 막히다. 정치한다고 까불대는 인간들이 말을 험티덤티같이 쓰니까 그것을 흉내내는구나.

이러한 부도덕한 인간을을 위한 몇가지 단어 정의:

• 버그—보통의 경우에는 의도한 결과를 얻도록 실행되나, 특정한 조건이 맞으면 의도하지 않은 결과를 야기하는 코드.
• 논리오류—항상 의도한 결과를 얻지 못하고 틀린 결과를 야기하는 코드
• 백도어—의도한 결과를 얻기 위해 작성된 코드이고 그 의도를 대부분 달성하나, 그 의도가 비도덕적, 반사회적 또는 그 외의 사유로 일부러 숨겨져 있는 코드.

요컨대, 백도어는 버그가 아니다. 백도어는 논리 오류도 아니다. 버그나 논리오류는 전혀 의도하지 않았지만, 모든 경우를 따져 보지 못한 인간의 능력의 한계로 인해 벌어지는 일이다. 반면, 백도어는 의도한 일이다. 이것을 마치 의도하지 않은 실수인 것처럼 우긴다면, 세상의 모든 범죄가 다 의도하지 않은 실수이다.

곁다리: 유명한 C 컴파일러 백도어 얘기를 읽어보라. 원래는 켄 탐슨의 얘기였던 것으로 기억하는데, 내용이 많이 모자이크 처리되었다.

이올린에 북마크하기(0) 이올린에 추천하기(0)

오랜만에 가보는 게시판에서: 특정 회사의 공유기를 누군가가 들여다 보니 심각한 수준의 백도어가 있었다고 한다. 이에 대한 관련업체의 반응이 기가 막히다. 자기들이 숨겨놓은 백도어를 다른 사람이 발견한 것이, 다른 사람에 의한 보안 위협이 되는 것처럼 군다.

백도어를 만들어 놓은 그 자체가 보안에 위협이 되는 것이다. 다른 말로 다시하면, 그 의도가 무엇이었던 간에, 자기들이 마음대로 조작할 수 있는 백도어를 판매하는 상품에 심어놓은 것은 상도의에 심각하게 어긋나는 일이다.

그런데, 이것을 알아낸 사람이 그 상품의 보안을 위협하는 것인가? 대문을 활짝 열어놓고서는 그리로 드나드는 사람을 모두 도둑 취급할 셈인가?

이게 "정보강국"의 현실이다. 에이, 창피스러워.

이올린에 북마크하기(0) 이올린에 추천하기(0)

나도 프로그램을 짜지만, 프로그래밍의 저변이 얼마나 넓은지를 보여주는 글을 발견했다. 이름하여 보안을 위해 금지된 함수들.

아는 사람은 이미 다 뻔히 알고 있는 strcpy()등 뻔한 얘기만 반복하고 있지만, 그럼에도 불구하고, 이렇게 일일이 얘기해주지 않으면 꼭 바보짓을 하는 사람들이 있다. 프로그램을 짜는게 아무나 하는 일이라는 것의 반증이 아니겠는가?

다른 각도에서 보면... 링크된 글은 심각한 NIH증후군에 빠진 마이크로소프트의 발악이다. 이런 문자열에 관한 문제점과 그 개선방안은 이미 90년대 중반에 OpenBSD에서 시작해서 BSD계통의 운영체제에는 이미 다 되어 있고, 심지어 linux같은데에서도 복사해간 준표준이 있건만, 마이크로소프트답게, 바퀴를 새로 발명했어야만 했다. 함수 뒤에 _s를 붙인 너절한 방법. C99에 strl*()함수를 넣자는 얘기가 있었는데, 그게 실현되지 않았더니 그렇게 되는구나. (스펜서를 또 인용할까?)

게다가, snprintf()를 제대로 쓸 줄 모르는 사람이라면, 프로그램 짜는 것보다는 다른 일을 하는게 자신과 다른 사람 모두에게 도움이 되는 사람일진대, snprintf()를 금지 함수 목록에 올려놓는 그 정신상태가 궁금하다. (아니면, MSC에 딸려오는 함수가 잘못 구현되어 있나?)

그 많은 돈을 가지고, 매년 전산전공졸업자 중에 잘한다는 사람만 뽑아가는 마이크로소프트인데도 저정도 수준밖에 안된다면, 도대체 전산관련 직종의 전반적인 수준은 어느정도일지 상상하는 것조차 두렵다.

====

첨언: strlen_s()는 정말 명작이다. 회전이 안되는 머리로 프로그램짜는 것을 보는 것만해도 황당한 일인데, 그 회전이 멈춘 머리까지 돌려보려고 이런 함수까지 "제공"하는 마이크로소프트는, 개발자 친화적인 기업인가, 아니면 개발자를 어린애처럼 취급하는 거만한 기업인가? 나는, 마이크로소프트도 머리 회전이 멈추었다에 걸겠다.

이올린에 북마크하기(0) 이올린에 추천하기(0)