By: overbid 
on 10 August 2010 - 12:28
Tags:
BlindElephant เป็นซอฟต์แวร์ command-line โอเพนซอร์สสำหรับดูรายละเอียดเว็บอื่น ๆ ว่าใช้ระบบจัดการเนื้อหาตัวใดและรุ่นไหน และได้มีการทดสอบเรียกใช้งานกับคอมพิวเตอร์แม่ข่ายล้านกว่าตัว ดังผลที่ปรากฏในรายงาน Web Application Fingerprinting and Vulnerability Inferencing และจากการที่เรารู้ว่าใช้ระบบจัดการเนื้อหาตัวใดและใช้รุ่นไหน แล้วถ้าผู้ดูแลระบบไม่มีการปรับปรุงตัวซอฟต์แวร์ไปใช้รุ่นที่ปลอดภัย จะทำให้สามารถสามารถเจาะระบบเข้าไปอย่างไม่ยาก
จากรายงานระบบจัดการเนื้อหายอดนิยมที่สุด 3 ตัว
เว็บที่ใช้ระบบจัดการเนื้อหาดังต่อไปนี้มีความเสี่ยงระดับฉุกเฉินเป็นเปอร์เซ็นต์คือ Drupal - 69%, Joomla! - 91%, Wordpress - 4%
แต่ผลที่ได้หมายถึงระบบจัดการเนื้อหาโอเพนซอร์สไม่ปลอดภัย จริงหรือ คำตอบคือไม่แน่ใจ เพราะการอัพเดทไปใช้เวอร์ชันที่ปลอดภัย ไม่ได้หมายความว่าปลอดภัยจริง ๆ แต่หมายความว่าเรายังหาจุดเสี่ยงในการเจาะระบบไม่เจอต่างหาก ซึ่งผู้ที่เจาะระบบจะได้เปรียบในส่วนนี้ เพราะเจาะระบบแล้วไม่ต้องบอกใคร ซึ่งระบบจัดการเนื้อหาเก็บตังค์ทั้งหลายแหล่ ส่วนใหญ่จะไม่มีจุดเสี่ยงระดับฉุกเฉินเพื่อความน่าเชื่อถือ ประมาณไม่รู้ก็ไม่เจ็บ
ปัจจัยที่ทำให้ระบบจัดการเนื้อหาโอเพนซอร์สมีความเสี่ยง คือ
- การเปิดเผยต้นฉบับทำให้ผู้ที่คิดเจาะระบบสามารถค้นหาจุดอ่อนได้สะดวกและรวดเร็ว
- ระบบจัดการเนื้อหาโอเพนซอร์สส่วนใหญ่จะแบ่งเป็นส่วนย่อย ๆ มาประกอบกัน ทำให้เพิ่มความเสี่ยงกว่าระบบที่รวมมาเป็นการเฉพาะ
แต่ระบบจัดการเนื้อหาโอเพนซอร์สก็มีจุดเด่นด้านความปลอดภัย คือ
- ความเร็วในการแก้ไขจุดเสี่ยง จากผลการวิจัยของ Veracode (บริษัทที่ปรึกษาด้านความปลอดภัยคอมพิวเตอร์) กล่าวว่า ซอฟต์แวร์โอเพนซอร์สใช้เวลาแก้ไขจุดเสี่ยง 36 วัน ซอฟต์แวร์ที่เขียนเป็นการภายในใช้เวลา 48 วัน ซอฟต์แวร์เชิงพาณิชย์ใช้เวลา 82 วัน เนื่องจากระบบจัดการเนื้อหาโอเพนซอร์สเมื่อมีจุดเสี่ยงจะมีผู้ช่วยแก้ไขจำนวนมาก เพราะมีการเปิดเผยต้นฉบับ
- เรื่องรูรั่วของระบบ ที่ผู้ออกแบบหรือผู้ดูแลจงใจทิ้งไว้ จากการวิจัยของ Veracode พบจุดเสี่ยงในลักษณะนี้มีเพียง 1% จากจุดเสี่ยงทั้งหมด เพราะเนื่องจากมีการเปิดเผยต้นฉบับ ทำให้ค้นพบได้ง่าย ในขณะที่ซอฟต์แวร์แบบอื่นจะไม่สามารถแน่ใจได้เลยว่ามีจุดเสี่ยงแบบนี้หรือเปล่า
และเพื่อลดจุดเสี่ยงในการเจาะระบบ ผู้ใช้งานระบบจัดการเนื้อหาโอเพนซอร์ส ควรจะ
- ปรับปรุงให้เป็นรุ่นที่ล่าสุดตลอด แม้จะไม่ได้หมายความว่าจะปลอดภัยแน่นอน แต่ก็ช่วยให้อุ่นใจว่าผู้ที่เจาะระบบได้ต้องเทพจริง ๆ
- การใช้มอดูลเสริม ควรจะเลือกมอดูลที่เป็นที่นิยม มากกว่ามอดูลที่มีผู้ใช้งานน้อย เพราะหมายถึงมีผู้ช่วยในการแก้ไขปัญหาเพิ่มขึ้นตามไปด้วย
- ติดตามหัวข้อเกี่ยวกับความปลอดภัยในชุมชนอย่างสม่ำเสมอ
- บริจาคเงินเข้าชุมชนบ้างก็ดีครับ แบ่งปันสักนิด จะได้มีเพื่อนเดินเคียงข้างคุณเยอะ ๆ
สวัสดี
ที่มา - CMSWiRE
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
"มอดูล" ถูกแล้วครับ
อ้างอิง: รายการคำทับศัพท์รวบรวมจากการสะกดตามราชบัณฑิตยสถาน @ www.kroobannok.com
*โอเพนซอร์ซ ถูกแล้วครับ http://th.wikipedia.org/wiki/โอเพนซอร์ซ
*"เนื่องจากระบบจัดการเนื้อหาโอเพนซอร์ซเมื่อมีจุดเสี่ยงจะมีผู้ช่วยแก้ไข จำนวนมาก เพราะมีการเปิดเผยต้นฉบับ" ไม่น่าใช้คำเชื่อมว่า "เนื่องจาก" ยังไงก็ช่วยเรียบเรียงใหม่ด้วยครับ - ผมว่าก็เข้ากับบริบทนะครับ
*ลืมใส่ที่มาจริง ๆ ด้วยครับ
เราใช้ "โอเพนซอร์ส" ครับ
แก้แล้วครับ
แก้แล้วครับ ขอบคุณครับ
หัวข่าว จริงเหรอ -> จริงหรือ
ย่อหน้าแรก (BlindElephant เป็นซอฟต์แวร์...) ต้องการสื่ออะไรเป็นหัวใจสำคัญครับ ตัดบางประโยคที่ไม่เกี่ยวกับสิ่งที่เราต้องการสื่อออกไปเพื่อให้ข่าวกระชับอ่านง่ายได้นะครับ (ไม่จำเป็นต้องแปลจากที่มาทั้งหมด)
ต่อจากข้อแล้ว คือหัวเรื่องพูดถึงเรื่องระบบจัดการเนื้อหา แต่เริ่มย่อหน้าแรกกลับพูดถึง BlindElephant ซึ่งมันค่อนข้างหาจุดเชื่อต่อยากว่าตกลงข่าวนี้ต้องการสื่อถึงอะไรกันแน่ เรากำลังอ่านข่าวผิดอยู่หรือเปล่าหว่า?
เนื้อข่าวที่ดีควรเป็นไปในทำนองเดียวกันกับหัวข่าวครับ เช่นพูดเรื่องระบบจัดการเนื้อหา เริ่มมาอาจเกริ่นเกี่ยวกับระบบจัดการเนื้อหานี้ซักหน่อยว่ามันคืออะไร ก่อนที่จะชี้ไปว่าแล้วเราจะรู้ได้อย่างไรว่าเว็บไหนใช้ระบบจัดการเนื้อหาแบบไหน หลังจากนั้นค่อยแนะนำ BlindElephant และกราฟ และเนิ้อหาที่เหลือ
หรือถ้าไม่ชอบการเขียนรูปแบบนี้ ย่อหน้าแรกจะเขียนอะไรที่ไม่เกี่ยวกับหัวข่าวเลยก็ได้ แต่ควรเป็น hook ที่ดึงความสนใจให้ผู้อ่านอยากอ่านข่าวนี้ต่อจนจบครับ
ยกกราฟมาแล้วช่วยอธิบายวิธีดูคร่าวๆ ก็ดีครับ ไม่งั้นถ้าคนอ่านดูกราฟไม่รู้เรื่องจะรู้สึกว่าเอาภาพมาประกอบทำไม
หลัง Veracode ก่อนวงเล็บเปิด เคาะด้วยครับ
ผู้ที่เจาะระบบได้ต้องเทพจริง ๆ เทพ -> เก่ง หรือคำอื่นดีกว่ามั้ยครับ? คำว่าเทพมันออกแนวภาษาพูดไปหน่อยนะ
All Web Apps Can Be Insecure, Not Just Open Source Ones.
http://www.networkworld.com/community/blog/sorry-charlie-all-web-apps-can-be-insecure-no
ชอบแฮะ โดยเฉพาะประโยคสุดท้าย ^^
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!