"ActiveX에 대한 취약점"에 대한 정리 - open web

Message from discussion "ActiveX에 대한 취약점"에 대한 정리

youknowit

More options Apr 13 2009, 12:02 am

From: youknowit <keechang....@googlemail.com>

Date: Sun, 12 Apr 2009 08:02:29 -0700 (PDT)

Local: Mon, Apr 13 2009 12:02 am

Subject: Re: "ActiveX에 대한 취약점"에 대한 정리

  Forward
  | Print
  | View thread
  | Show original
  | Report this message
  | Find messages by this author
  

소프트포럼이 사용하는 액티브액스 콘트롤은 보안접속을 SSL 프로토콜로 구현합니다.

로그인 직전 단계에서는 익명사용자 SSL 접속세션(anonymous SSL session) 이 이루어집니다. 스크린 샷 참조.
http://groups.google.com/group/open-web/web/softforum_SSL_plugin.png

로그인이 이루어지면, 클라이언트가 확인된 세션(client authenticated SSL session) 이 형성됩니다. 스크
린 샷 참조. http://open-web.googlegroups.com/web/softforum_SSL_client_authenticat...

저는 도무지 어째서 "SSL 이 더 안전하냐, ActiveX가 더 안전하냐"는 식의 논란이 이토록 소모적으로 벌어지는지를 이해
할 수 없습니다. 보안전문가 분들께서는 이미 아시고 계실 것이 아닙니까, ActiveX 플러그인 중에는 "실은 SSL 을 구현
할 목적으로 사용되는 것"들도 있다는 사실을... 이런 ActiveX 플러그인이 어째서 필요하다는 말씀이신지요?

(그리고, 소포가 사용하는 SSL 이 SSL2인지, SSL3 인지도 어느 분이 좀 말씀해 주시면 좋겠습니다. 저같이 업계 관련자
가 아닌 일반인들은 도저히 알 방법이 없네요. Documentation 이라도 좀 속 시원히 있었으면 좋으련만...)

On Apr 12, 11:38 pm, youknowit <keechang....@googlemail.com> wrote:

> 오타... (아래는 수정된 것입니다)

> > 액티브X가 "보안"을 위하여 반드시 필요하다는 견해는 저는 잘 이해가 어렵습니다. 그 속에 담기는 어떤 프로그램이 보안에 유용
> > 한 것이라는 점은 알겠는데, 그와 대등한 기능이 이미 웹브라우저에 built-in 되어 있다거나(보안접속의 경우), NPAPI
> > 형태로 그 프로그램을 구현해도 되는데(전자서명의 경우), 굳이 ActiveX 라는 '틀'을 고집하는 것이 잘 이해가 안되어 자
> > 꾸 물어보는 것입니다. 그 '틀'이 보안을 제공하는 것은 아니지 않습니까? (틀 속에 담긴 어떤 '프로그램'이 보안을 제공하고, 그 '프
> > 로그램'은 덜 위험한 '틀'에 담아서 배포, 사용할 수도 있는데...)

Forward