지난 한 달 동안 데스크톱에서 모바일에 이르기까지 다양한 운영 체제에서 글꼴 구문 분석 취약성으로 인한 원격 실행 익스플로잇과 관련된 12개의 보안 공지를 읽었습니다. 이 모든 경우에 문제에 대한 자세한 언급이 있었지만 공급업체 업데이트 외에 가능한 솔루션에 대한 언급은 거의 없었습니다.
글꼴로 도움을 줄 수 있는 도구가 있기 때문에 다소 흥미롭습니다. Noscript라고 하는 이 확장 프로그램은 Firefox 및 최근에는 Chrome에서 사용할 수 있는 최고의 브라우저 확장 기능으로 웹 페이지에서 글꼴 로드를 제어할 수 있습니다. 글꼴로 인한 골칫거리를 절약하거나 최소한 크게 최소화할 수 있는 간단하고 우아한 도구입니다. 하지만 마땅히 받아야 할 주목을 받고 있습니까? 물론 아닙니다. 드라마와 공포가 훨씬 더 흥미롭습니다. 무엇이 주는지 봅시다.
60초 안에 스크립트 없음
과거에 Dedoimedo를 잘 읽었다면 내가 Noscript를 좋아하고 사용한다는 것을 알고 있습니다. 저에게 꼭 필요한 브라우저 확장 프로그램입니다. 스크립팅(대부분)을 비활성화하면 브라우징이 훨씬 더 재미있어집니다. 더 빠르고 깨끗합니다. 보안 요소는 부차적이지만 그럼에도 불구하고 존재합니다. Noscript로 검색하면 순수한 정보(텍스트와 이미지)만 로드됩니다. 스크립트가 필요한 모든 것, nyet. 좋습니다.
이것은 끔찍한 BTW인 현대 인터넷 경험을 온전하고 조용한 것으로 변환합니다. Javascript가 필요한 작업을 수행해야 하는 경우 일시적으로 특정 도메인에 대한 권한을 전환하고 필요한 작업을 수행한 다음 조용하고 정상적인 브라우징으로 돌아갈 수 있습니다.
또한 신뢰할 수 있는 목록과 신뢰할 수 없는 목록을 영구적으로 구성할 수 있습니다. 즉, 스크립트 및 기타 개체가 기본적으로 활성화되는 사이트와 일시적으로 모두 허용하더라도 활성화되지 않는 사이트입니다. 간단하고 실용적입니다. 물론 번거로울 수 있고 괴짜만이 이것을 제대로 사용할 수 있지만 어쨌든 보안에 대한 이 모든 이야기는 괴짜입니다.
이제 스크립팅은 Noscript 기능의 한 측면일 뿐입니다. 추가 기능은 개체, 미디어 파일, 프레임, WebGL 및 글꼴을 포함한 다른 웹 페이지 요소를 차단/허용할 수도 있습니다! 글꼴을 잊지 말자. 원격 글꼴이 있는 경우 차단할 수 있습니다. 기본적으로 Noscript는 페이지의 스크립트, 글꼴, WebGL 및 웹 핑 요소를 차단합니다. 신뢰할 수 있는 사이트의 경우 모든 것이 허용됩니다. 신뢰할 수 없는 경우 모든 것이 차단됩니다.
노스크립트 및 글꼴
이제 글꼴을 차단하고 이 사이트와 해당 사이트에 대한 스크립팅 권한을 지속적으로 조정해야 하므로 웹 경험을 줄이고 싶지 않다면 다음과 같이 할 수 있습니다.
- DEFAULT 영역에 대한 스크립트를 활성화합니다.
- DEFAULT 및 TRUSTED 영역의 글꼴을 차단합니다.
그리고 그게 다야. 일상적인 인터넷 작업은 이전과 같이 작동할 것입니다. 사이트가 (거의 완전히) 로드되고 모든 스크립트, 주석, 기타 등등이 있고 처리되지 않는 유일한 것은 원격 글꼴입니다. 따라서 문제가 있으면 문제가 없습니다. 사실, 특히 스크립트로 인해 불편을 겪고 싶지 않다면 기본 구성이 아니어야 할 이유가 없습니다.
이제 이것은 글꼴 경험을 깨뜨릴 것입니다. 고급 원격 글꼴을 사용하는 사이트는 렌더링되지 않으므로 대체 글꼴(로컬에서 사용할 수 있는 대체 글꼴)이 표시되거나 다양한 사이트가 CSS에 대체 글꼴 옵션 없이 매우 잘못 구성된 경우 비어 있고 보기 흉한 사각형이 표시될 수 있습니다. 대단합니다!
물론 사람들은 자동으로 이 현상을 나쁜, 나쁜, 못된 글꼴과 동일시할 것입니다. 그러나 나는 모든 원격 글꼴이 나쁘다고 생각합니다. 그것은 불필요한 것입니다. 우스꽝스러운 유행 외에는 자신의 페이지에 원격 글꼴을 사용해야 하는 이유가 없습니다. 어두운 테마처럼 유행하기 때문에? 멋진 글꼴을 원하면 구매하여 서버에 올려 청중에게 제공하십시오. 아 맞다 돈이 든다! 그러나 Arial이나 sans-serif는 너무 복고풍입니다! 충분하지 않습니다.
아, 궁금하다면 웹 글꼴 차단은 새로운 것이 아닙니다. Noscript는 적어도 2010년부터 이 문제를 처리했으며 그 이후에도 원격 글꼴 문제와 FreeType 취약점이 여기저기서 발생했습니다. 초점이 약간 이동한 것 외에는 실제로 변경된 사항이 없습니다. 그게 다야.
추가로, 장난스럽거나 안전하지 않다고 생각되는 다양한 사이트를 영구적으로 차단할 수도 있습니다. 따라서 다양한 도메인에 대해 모두 허용하더라도 신뢰할 수 없는 사이트는 여전히 차단된 상태로 유지되므로 실수로 구멍을 뚫는 것에 대해 걱정할 필요가 없습니다. 부주의나 게으른 마우스 클릭으로 인한 설정입니다.
관련 없는 추가 사항:Windows 10 및 Exploit Protection
Noscript가 아닌 Windows 사용자를 위한 특별한 기능이지만 지금이 이 점의 가치를 연마하기에 좋은 순간이라고 생각합니다. 모든 사람이 Windows에 대한 비관적인 말을 할 때 매우 짜증이 납니다. 하지만 Windows 운영 체제에서 사용할 수 있는 최고의 보안 메커니즘인 전설적인 EMET 도구 상자를 기반으로 하는 우아하고 상당히 투명한 Exploit Protection 프레임워크에 대해서는 항상 언급하지 않습니다. 쓸데없이 보안을 쫓는 대신 문제의 싹을 틔울 수 있습니다.
첫째, 운영 체제에서 신뢰할 수 없는 글꼴을 전체적으로 비활성화하거나, 이것이 너무 많다고 생각되면 Exploit Protection 기능을 사용하여 애플리케이션별로 정책을 조정할 수 있습니다. 아주 간단합니다. 그러나 이것은 블록버스터 수준의 서스펜스가 없기 때문에 충분한 관심을 끌 수 있는 것이 아닙니다.
시적 정의:Firefox
최근에 더 널리 퍼진 것으로 보이는 한 가지는 Chrome의 제로데이 버그입니다. 이제 그 자체로 이것은 특별하거나 새로운 것이 아닙니다. 수많은 프로그램이 이러한 기능을 가지고 있었고 앞으로 수년에 걸쳐 이러한 기능을 갖게 될 것입니다. 그들이 오면 공급업체가 다음으로 패치합니다. 인터넷에 있는 경우 문제가 발생할 수 있습니다. 삶의 단순한 사실.
흥미로운 점은 Chrome 슬래시 Chromium의 유비쿼터스성입니다. Chromium은 특히 모바일에서 지배적인 브라우저가 되었기 때문입니다. 오늘날의 젊은이들은 이 기능이 참신하고 독특하다고 생각할 수 있지만 Internet Explorer가 가장 인기 있고 대상이 가장 많은 브라우저였던 2005-2010년경에 Internet Explorer와 함께 기쁨과 드라마를 반복한 것일 뿐입니다.
그리고 숨은 용이 웅크리고 있는 일렉트론도 있습니다. 오늘날 수많은 애플리케이션은 바로 그 자체입니다. 사용자 정의 UI가 포함된 캡슐화된 브라우저이며 내부는 Chromium 엔진으로 구동됩니다. 이것은 단순하고 우아한 디자인을 만듭니다. 그러나 이는 또한 Chromium에 취약점이 있는 경우 이러한 취약점이 순수 브라우징과 연결되지 않는 다른 모든 앱에도 존재할 가능성이 높다는 것을 의미합니다. 이러한 버그가 나타날 경우 영향을 받습니까? 어떻게? 언제? 브라우저와 유사하지 않은 인터페이스에서 브라우저와 유사한 익스플로잇을 트리거할 수 있는 것이 무엇인지 알아낼 수 있습니까? 힌트:이것은 예를 들어 CVE-2018-1000136 취약점과 같이 이전에 발생했습니다.
그리고 더 이상 화려하거나 예전만큼 인기가 없지만 자체 렌더링 엔진을 사용하고 시장 점유율이 더 작다는 사실 때문에 pwnage 게임에서 첫 번째 선택이 될 가능성이 적습니다. 우리는 15년 전으로 거슬러 올라갑니다. 롤자.
결론
최근의 보안 게시판은 대부분 Windows가 아닌 운영 체제, 특히 모바일에 관한 것이었습니다. Exploit Protection을 배제하지만 Firefox와 Chrome은 대부분의 운영 체제에서 대부분 사용할 수 있으며 Noscript 확장을 사용하여 보안 및 사용성 입장을 강화할 수 있습니다. 스마트폰의 광고 차단기가 헛소리 효과를 99% 줄이고 배터리 수명을 늘리는 것처럼 Noscript는 소음을 최소화하고 보안을 강화하는 데 도움이 될 수 있습니다.
여기에서 초점이 글꼴의 보안 측면에 있다는 것을 알고 있지만 그뿐만이 아닙니다. 아니요. 이러한 글꼴 취약점은 BAD USAGE 모델의 자연스러운 확장입니다. 무엇이든 버그와 문제가 있을 수 있습니다. 글꼴은 특별하거나 독특하지 않습니다. 진짜 문제는 잘못된 방식으로 글꼴을 사용하는 사람들입니다. 조잡한 CSS와 게으른 웹 디자인을 제외하고는 어린이에게 Claymore를 주는 것과 같습니다. 원격 글꼴은 녹슨 낡은 자동차의 테두리를 블링블링합니다.
원격 타사 물건 로딩이 점점 더 문제가 되고 있습니다. 점점 더 많은 사이트가 코드 스니펫을 맹목적으로 재사용하고 있으며 모든 것이 "흐려지고" 있습니다. 로컬 자산과 원격 자산, 클라우드 스토리지 및 네트워크 사용, 인터넷 경험을 복잡하게 만드는 기타 모든 요소 사이에 모호함이 있습니다. 본질적으로 예, 여기저기서 약간의 속도와 세련미를 얻을 수 있지만 궁극적으로 건전한 코딩 관행과 보안을 포함한 다른 모든 것을 잃게 됩니다. 그리고 다시, 웹은 2014년경에 죽었고 이 최신 화신은 바로 Idiocracy 2.0입니다.
어쨌든, 하루 동안 충분한 외침. Noscript를 사용하여 인터넷을 덜 멍청하게 만드십시오. 보안에 관한 것이 아닙니다. 그것은 단지 추가 보너스입니다. 헛소리를 차단하는 것입니다. 더 많은 헛소리를 차단할수록 웹 디자이너가 자신의 관행을 재고해야 할 가능성이 높아집니다. 원격 글꼴은 현대 인터넷의 많은 문제 중 하나일 뿐이며 이에 협조할 이유가 없습니다. 그 과정에서 장치를 해킹할 위험을 줄일 수도 있습니다. 그리고 끝났습니다.
건배.