ระบบจัดการเนื้อหาโอเพนซอร์สไม่ปลอดภัย ... จริงเหรอ

By: overbid

on 10/08/10 11:28 Tags:

BlindElephant เป็นซอฟต์แวร์ command-line โอเพนซอร์สสำหรับดูรายละเอียดเว็บอื่น ๆ ว่าใช้ระบบจัดการเนื้อหาตัวใดและรุ่นไหน และได้มีการทดสอบเรียกใช้งานกับคอมพิวเตอร์แม่ข่ายล้านกว่าตัว ดังผลที่ปรากฏในรายงาน Web Application Fingerprinting and Vulnerability Inferencing และจากการที่เรารู้ว่าใช้ระบบจัดการเนื้อหาตัวใดและใช้รุ่นไหน แล้วถ้าผู้ดูแลระบบไม่มีการปรับปรุงตัวซอฟต์แวร์ไปใช้รุ่นที่ปลอดภัย จะทำให้สามารถสามารถเจาะระบบเข้าไปอย่างไม่ยาก

จากรายงานระบบจัดการเนื้อหายอดนิยมที่สุด 3 ตัว เว็บที่ใช้ระบบจัดการเนื้อหาดังต่อไปนี้มีความเสี่ยงระดับฉุกเฉินเป็นเปอร์เซ็นต์คือ Drupal - 69%, Joomla! - 91%, Wordpress - 4% แต่ผลที่ได้หมายถึงระบบจัดการเนื้อหาโอเพนซอร์สไม่ปลอดภัย จริงหรือ คำตอบคือไม่แน่ใจ เพราะการอัพเดทไปใช้เวอร์ชันที่ปลอดภัย ไม่ได้หมายความว่าปลอดภัยจริง ๆ แต่หมายความว่าเรายังหาจุดเสี่ยงในการเจาะระบบไม่เจอต่างหาก ซึ่งผู้ที่เจาะระบบจะได้เปรียบในส่วนนี้ เพราะเจาะระบบแล้วไม่ต้องบอกใคร ซึ่งระบบจัดการเนื้อหาเก็บตังค์ทั้งหลายแหล่ ส่วนใหญ่จะไม่มีจุดเสี่ยงระดับฉุกเฉินเพื่อความน่าเชื่อถือ ประมาณไม่รู้ก็ไม่เจ็บ ปัจจัยที่ทำให้ระบบจัดการเนื้อหาโอเพนซอร์สมีความเสี่ยง คือ

การเปิดเผยต้นฉบับทำให้ผู้ที่คิดเจาะระบบสามารถค้นหาจุดอ่อนได้สะดวกและรวดเร็ว
ระบบจัดการเนื้อหาโอเพนซอร์สส่วนใหญ่จะแบ่งเป็นส่วนย่อย ๆ มาประกอบกัน ทำให้เพิ่มความเสี่ยงกว่าระบบที่รวมมาเป็นการเฉพาะ

แต่ระบบจัดการเนื้อหาโอเพนซอร์สก็มีจุดเด่นด้านความปลอดภัย คือ

ความเร็วในการแก้ไขจุดเสี่ยง จากผลการวิจัยของ Veracode (บริษัทที่ปรึกษาด้านความปลอดภัยคอมพิวเตอร์) กล่าวว่า ซอฟต์แวร์โอเพนซอร์สใช้เวลาแก้ไขจุดเสี่ยง 36 วัน ซอฟต์แวร์ที่เขียนเป็นการภายในใช้เวลา 48 วัน ซอฟต์แวร์เชิงพาณิชย์ใช้เวลา 82 วัน เนื่องจากระบบจัดการเนื้อหาโอเพนซอร์สเมื่อมีจุดเสี่ยงจะมีผู้ช่วยแก้ไขจำนวนมาก เพราะมีการเปิดเผยต้นฉบับ
เรื่องรูรั่วของระบบ ที่ผู้ออกแบบหรือผู้ดูแลจงใจทิ้งไว้ จากการวิจัยของ Veracode พบจุดเสี่ยงในลักษณะนี้มีเพียง 1% จากจุดเสี่ยงทั้งหมด เพราะเนื่องจากมีการเปิดเผยต้นฉบับ ทำให้ค้นพบได้ง่าย ในขณะที่ซอฟต์แวร์แบบอื่นจะไม่สามารถแน่ใจได้เลยว่ามีจุดเสี่ยงแบบนี้หรือเปล่า

และเพื่อลดจุดเสี่ยงในการเจาะระบบ ผู้ใช้งานระบบจัดการเนื้อหาโอเพนซอร์ส ควรจะ

ปรับปรุงให้เป็นรุ่นที่ล่าสุดตลอด แม้จะไม่ได้หมายความว่าจะปลอดภัยแน่นอน แต่ก็ช่วยให้อุ่นใจว่าผู้ที่เจาะระบบได้ต้องเทพจริง ๆ
การใช้มอดูลเสริม ควรจะเลือกมอดูลที่เป็นที่นิยม มากกว่ามอดูลที่มีผู้ใช้งานน้อย เพราะหมายถึงมีผู้ช่วยในการแก้ไขปัญหาเพิ่มขึ้นตามไปด้วย
ติดตามหัวข้อเกี่ยวกับความปลอดภัยในชุมชนอย่างสม่ำเสมอ
บริจาคเงินเข้าชุมชนบ้างก็ดีครับ แบ่งปันสักนิด จะได้มีเพื่อนเดินเคียงข้างคุณเยอะ ๆ

สวัสดี ที่มา - CMSWiRE

3460 reads

Comments

By: nuntawat

on 10/08/10 5:12 #200296 toggle

โอเพนซอร์ซ แก้เป็น โอเพนซอร์ส, มอดูล แก้เป็น โมดูล, ซอฟต์แวร์แกรม ตัดคำว่า แกรม ทิ้ง
หลังย่อหน้า "เว็บที่ใช้ระบบจัดการเนื้อหาดังต่อไปนี้มีความเสี่ยงระดับฉุกเฉิน..." และย่อหน้า "แต่ผลที่ได้หมายถึงระบบจัดการเนื้อหาโอเพนซอร์ซไม่ปลอดภัย..." ช่วย ENTER ด้วยครับ ย่อหน้าถัดไปจะได้ไม่ติดกับย่อหน้าดังกล่าว
"เนื่องจากระบบจัดการเนื้อหาโอเพนซอร์ซเมื่อมีจุดเสี่ยงจะมีผู้ช่วยแก้ไขจำนวนมาก เพราะมีการเปิดเผยต้นฉบับ" ไม่น่าใช้คำเชื่อมว่า "เนื่องจาก" ยังไงก็ช่วยเรียบเรียงใหม่ด้วยครับ
ไม่แน่ใจว่าบทความชิ้นนี้เขียนขึ้นเองทั้งหมดหรือเปล่า รู้แต่มีข้อมูลบางส่วนอ้างอิงจากเว็บลิงก์ที่ได้ระบุในข่าว ถ้าหากบทความชิ้นนี้ไม่ได้เขียนขึ้นเอง ช่วยบอกที่มาไว้ท้ายบทความด้วยครับ ขอบคุณครับ

ลาก่อนครับ "คุณ"

By: donga

on 10/08/10 8:37 #200328 Reply to:200296 toggle

"มอดูล" ถูกแล้วครับ

อ้างอิง: รายการคำทับศัพท์รวบรวมจากการสะกดตามราชบัณฑิตยสถาน @ www.kroobannok.com

By: overbid

on 10/08/10 11:02 #200378 Reply to:200296 toggle

*โอเพนซอร์ซ ถูกแล้วครับ http://th.wikipedia.org/wiki/โอเพนซอร์ซ *"เนื่องจากระบบจัดการเนื้อหาโอเพนซอร์ซเมื่อมีจุดเสี่ยงจะมีผู้ช่วยแก้ไข จำนวนมาก เพราะมีการเปิดเผยต้นฉบับ" ไม่น่าใช้คำเชื่อมว่า "เนื่องจาก" ยังไงก็ช่วยเรียบเรียงใหม่ด้วยครับ - ผมว่าก็เข้ากับบริบทนะครับ *ลืมใส่ที่มาจริง ๆ ด้วยครับ

By: mk

on 10/08/10 13:12 #200430 Reply to:200378 toggle

เราใช้ "โอเพนซอร์ส" ครับ

By: overbid

on 10/08/10 14:15 #200441 Reply to:200430 toggle

แก้แล้วครับ

By: mk

on 10/08/10 7:17 #200307 toggle

"BlindElephant เป็นเว็บโอเพนซอร์ซ" เท่าที่ผมเข้าใจจากเว็บต้นทาง BlindElephant เป็น "ซอฟต์แวร์ command-line แบบโอเพนซอร์ส ที่เอาไว้เช็คว่าเว็บแอพพลิเคชันตัวไหนใช้เวอร์ชันอะไร" นะครับ
"ดังผลที่ปรากฏดังนี้ Web Application Fingerprinting and Vulnerability Inferencing" ประโยคนี้อ่านแล้วยังงงๆ ไปนิด เข้าใจว่าหมายถึง "ดังผลที่ปรากฎในรายงาน Web App..."
ตรงท้ายๆ มีคำนึงเขียน "ซอฟแวร์" ต ตกไป

By: overbid

on 10/08/10 11:06 #200382 Reply to:200307 toggle

แก้แล้วครับ ขอบคุณครับ

By: neizod

on 10/08/10 23:14 #200541 toggle

หัวข่าว จริงเหรอ -> จริงหรือ
ย่อหน้าแรก (BlindElephant เป็นซอฟต์แวร์...) ต้องการสื่ออะไรเป็นหัวใจสำคัญครับ ตัดบางประโยคที่ไม่เกี่ยวกับสิ่งที่เราต้องการสื่อออกไปเพื่อให้ข่าวกระชับอ่านง่ายได้นะครับ (ไม่จำเป็นต้องแปลจากที่มาทั้งหมด)
ต่อจากข้อแล้ว คือหัวเรื่องพูดถึงเรื่องระบบจัดการเนื้อหา แต่เริ่มย่อหน้าแรกกลับพูดถึง BlindElephant ซึ่งมันค่อนข้างหาจุดเชื่อต่อยากว่าตกลงข่าวนี้ต้องการสื่อถึงอะไรกันแน่ เรากำลังอ่านข่าวผิดอยู่หรือเปล่าหว่า? เนื้อข่าวที่ดีควรเป็นไปในทำนองเดียวกันกับหัวข่าวครับ เช่นพูดเรื่องระบบจัดการเนื้อหา เริ่มมาอาจเกริ่นเกี่ยวกับระบบจัดการเนื้อหานี้ซักหน่อยว่ามันคืออะไร ก่อนที่จะชี้ไปว่าแล้วเราจะรู้ได้อย่างไรว่าเว็บไหนใช้ระบบจัดการเนื้อหาแบบไหน หลังจากนั้นค่อยแนะนำ BlindElephant และกราฟ และเนิ้อหาที่เหลือ หรือถ้าไม่ชอบการเขียนรูปแบบนี้ ย่อหน้าแรกจะเขียนอะไรที่ไม่เกี่ยวกับหัวข่าวเลยก็ได้ แต่ควรเป็น hook ที่ดึงความสนใจให้ผู้อ่านอยากอ่านข่าวนี้ต่อจนจบครับ
ยกกราฟมาแล้วช่วยอธิบายวิธีดูคร่าวๆ ก็ดีครับ ไม่งั้นถ้าคนอ่านดูกราฟไม่รู้เรื่องจะรู้สึกว่าเอาภาพมาประกอบทำไม
หลัง Veracode ก่อนวงเล็บเปิด เคาะด้วยครับ
ผู้ที่เจาะระบบได้ต้องเทพจริง ๆ เทพ -> เก่ง หรือคำอื่นดีกว่ามั้ยครับ? คำว่าเทพมันออกแนวภาษาพูดไปหน่อยนะ

By: ninekrit

on 11/08/10 10:34 #200633 toggle

All Web Apps Can Be Insecure, Not Just Open Source Ones. http://www.networkworld.com/community/blog/sorry-charlie-all-web-apps-can-be-insecure-no

By: -Rookies-

on 12/08/10 11:34 #200851 toggle

ชอบแฮะ โดยเฉพาะประโยคสุดท้าย ^^

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!