최신 파이어폭스 브라우저가 NPAPI 기능을 폐기했다.
모질라는 8일 파이어폭스52 정식판 배포를 시작했다. 사용자들은 이 브라우저로 마이크로소프트(MS) 실버라이트와 오라클 자바, 한국 공공 및 금융권의 플러그인 기반 서비스를 쓸 수 없다.
다만 어도비 플래시는 계속 쓸 수 있다. 아직 플래시에 의존하는 웹사이트가 많아서 예외로 인정됐다.
새 브라우저는 지난 2015년 10월 예고한대로 플래시를 제외한 NPAPI 플러그인 기술을 전부 퇴출한 형태로 만들어졌다. NPAPI 퇴출 명분은 파이어폭스 브라우저의 성능과 안정성 개선이었다. NPAPI 기반 플러그인이 브라우저 성능저하, 충돌, 보안문제를 낳는 요인으로 지목돼 왔다는 이유에서다. 그간 플러그인을 선택적으로 차단할 수 있게 해왔는데, 이젠 아예 NPAPI를 걷어내는 단계다.
[☞관련기사: 파이어폭스, 내년 말 NPAPI 퇴출...플래시는 예외]
NPAPI 기반 플러그인 기술은 시한부 선고를 받은 상태였다. 모질라뿐아니라 구글도 2013년부터 NPAPI 퇴출을 예고했다. 이어 2015년 9월 이후 크롬 브라우저에서 관련 기능을 완전히 걷어내겠다고 미리 밝혔다. 그 무렵 이에 대비하지 못했던 금융권에서 난색을 표했다. 한국 정부가 나서 퇴출 시기를 늦춰달라고 요청했다가 구글로부터 거절당하는 촌극을 빚기도 했다.
[☞관련기사: 구글 크롬, 내년 9월 플러그인 전면 차단]
[☞관련기사: 정부, NPAPI 지원 연장 요청...구글 "어렵다"]
[☞관련기사: 엣지·크롬에 대한 은행 IT담당자들의 고민]
최신 파이어폭스는 크롬과 마찬가지로 NPAPI 기능을 완전 폐기함으로써 이전보다 향상된 성능, 안정성, 보안을 제공할 수 있을 것으로 기대된다. NPAPI 기능 제거와 더불어 주목할만한 변화는 웹어셈블리(WebAssembly) 구현, 웹사이트 관리자가 사용자 정보를 보호하는 수단을 강화하도록 유도하는 '엄격한 보안 쿠키(Strict Secure Cookies)' 규격 지원, 2가지다.
웹어셈블리는 플러그인 없이도 클라이언트 환경에서 고성능 웹 애플리케이션을 만들 수 있는 스크립트 구동 환경이다. 자바스크립트에 의존하고 있는 웹기반의 복잡한 애플리케이션, 게임, 소프트웨어 라이브러리 구현과 작동 효율을 더 높여줄 것으로 기대된다. 파이어폭스, MS엣지, 크롬, 웹킷을 만드는 대표자들이 지난달말 초기 API 설계에 합의해 실용화에 한걸음 다가선 상태다.
[☞웹어셈블리 표준화그룹 메일링리스트: WebAssembly consensus and end of Browser Preview]
엄격한 보안 쿠키 규격은 브라우저가 일반 HTTP 사이트에서 보안 속성을 포함한 쿠키 전달을 막는다. 브라우저가 이를 지원하지 않더라도 쿠키에 보안 속성을 적용하면 해당 쿠키가 HTTPS 암호화통신으로 전송되게 만들라는 표시가 된다. 그럼에도 일반 HTTP로도 보안 쿠키를 전달하는 방법이 있다. 엄격한 규격을 적용하면 이런 예외 없이 HTTPS 서버로만 보안 쿠키를 다룰 수 있게 된다.
관련기사
- 크롬-파이어폭스, HTTPS 아니면 경고 표시2017.03.09
- 오라클, 자바 브라우저 플러그인 폐기 예고2017.03.09
- "액티브X 걷어내도 특정기술에 종속되면 의미없어"2017.03.09
- 파이어폭스, 내년 말 NPAPI 퇴출...플래시는 예외2017.03.09
이 변화는 지난 1월 중순 배포된 파이어폭스51 정식판에 처음 적용된 'HTTP 사이트 접속시 경고창 띄우기'의 연장선에 있다. 이후 사용자는 HTTP 방식으로 접속한 웹사이트 주소창의 왼쪽에 빨간 빗금친 자물쇠 아이콘을 보게 됐다. 계정 입력난에 커서를 둘 때도 "입력된 로그인 정보가 유출될 수 있다"는 주의도 받게 됐다. 암호화되지 않은 정보를 중간자공격으로 탈취당할 수 있으니 조심하라는 메시지였다.
[☞관련기사: 크롬-파이어폭스, HTTPS 아니면 경고 표시]