Tags:
Node Thumbnail

จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง

Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้

  • นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ
  • Android 4.4 เปิดให้ผู้ผลิตฮาร์ดแวร์อัพเดตไบนารีของ WebView ที่กูเกิลส่งให้ ส่วน Android 5.0 แยก WebView มาอัพเดตผ่าน Google Play Services ช่วยให้กระบวนการอัพเดตง่ายสุดๆ เพราะผู้ผลิตฮาร์ดแวร์ไม่ต้องทำอะไรเลย
  • ก่อนหน้านี้กูเกิลนำแพตช์ของ WebView มาอัพเดตให้รุ่นเก่า (backport) ด้วย แต่เนื่องจาก WebKit/WebView มีขนาดใหญ่มาก มีการอัพเดตตลอดเวลา การนำแพตช์กลับมาแก้ให้ซอฟต์แวร์เวอร์ชันเก่าเกิน 2 ปีจึงเริ่มเป็นภาระหนักของทีมงาน เป็นเหตุให้กูเกิลตัดสินใจหยุดอัพเตด WebView บน Android 4.3 ลงไปในที่สุด

    คำแนะนำของกูเกิลเพื่อความปลอดภัยที่ดีบน Android

  • ควรเปิดเว็บใดๆ ด้วยเบราว์เซอร์รุ่นล่าสุดที่อัพเดตได้จาก Play Store เช่น Chrome หรือ Firefox แทนการใช้ Android Browser ที่ฝังมาพร้อมกับตัวระบบปฏิบัติการ

  • สำหรับนักพัฒนาแอพที่ต้องการเรียกใช้ WebView บน Android รุ่นเก่าๆ ควรควบคุมการใช้งานอย่างเข้มงวด เช่น บังคับเฉพาะเนื้อหาจากเว็บที่เชื่อถือได้และส่งข้อมูลผ่าน HTTPS เท่านั้น (รายละเอียด)

ที่มา - +Adrian Ludwig via Talk Android

Get latest news from Blognone

Comments

By: art_duron
AndroidWindows
on 24 January 2015 - 23:26 #784976
art_duron's picture

"นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ"
5.0 > 4.4 > 4.3
4.3 ก็ถือว่าอยู่ในรุ่นใหญ่ 2 รุ่นไม่ใช่หรอครับ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 25 January 2015 - 00:27 #784983 Reply to:784976

+1 นั่นสิ ถ้าอัพให้ 4.3 อีกซักรุ่นก็จบละ คงไม่มีใครมาว่าละ (หรืออย่างน้อยก็ว่าน้อยลงเยอะ) ตามสถิติที่ผมโพสต์ไว้ที่ข่าวก่อนหน้า ถ้าอัพให้ 4.3 ด้วย เครื่องที่ใช้ต่ำกว่า 4.3 น่าจะเหลือแค่ 25-35% เองมั้ง ดูดีกว่า 60% เยอะ น่าจะยอมปวดหัวอีกซักปี ปีหน้าก็ไม่ปวดหัวละ (เพราะส่วนใหญ่น่าจะ 4.4 ขึ้นไปหมดแล้ว)

ป.ล. ในโพสต์ต้นฉบับ มีดราม่ากันรุ่นแรงทีเดียว


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: Bigkung
iPhoneWindows Phone
on 25 January 2015 - 09:55 #785018 Reply to:784983
Bigkung's picture

พูดให้มันดูดีครับ ถ้าเอาจากใจจริงๆก็จะพูดว่า "ก็จะไม่ทำแล้วหล่ะ เสียเวลา เสียทรัพยากรบุคคลมากไป" แต่ถ้าพูดแบบนี้มันจะเป็นภาพลบเอาหน่ะสิ

By: Eka-X
ContributoriPhoneAndroidIn Love
on 25 January 2015 - 00:09 #784980

เพราะงี้สินะเลยเที่ยวไปกดดันชาวบ้านด้วยกรอบเวลา 90 วัน ให้คนอื่นโดนๆ กันแทนบ้าง

By: sunback
Contributor
on 25 January 2015 - 22:15 #785172 Reply to:784980
sunback's picture

คนอื่นประชดไม่เท่าไหร่แต่เป็นคุณนี่เห็นได้ชัดเลยว่าความเป็นสาวกมันทำให้หน้ามืดตามัว

โครงการนี้เปิดมาจะครบปีแล้วครับ ไม่ใช่เพิ่งมี และแก้บั๊กกันไปเยอะ ทั้งหมดเป็น OS และโปรแกรมฝั่งเดสก์ท็อป

จริงๆ ชาว OS X ก็ควรขอบคุณโครงการนี้ เพราะเป็นบั๊กฝั่ง OS X ไปก็เยอะ นับว่าเป็นงานปิดทองหลังพระ

วันหนึ่งกลับเป็นข่าวมากับค่ายไมโครซอฟท์ คนหมั่นใส้ก็มาลุยกันเพียบ พอเป็นบั๊กของกูเกิลเลยง้างใส่เลย

ก็อย่างว่า Haters Gonna Hate สติปัญญาไม่ต้อง ใช้อคติเพียวๆ ง่ายดี

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 26 January 2015 - 06:45 #785214 Reply to:785172
PaPaSEK's picture

วันหนึ่งกลับเป็นข่าวมากับค่ายไมโครซอฟท์ คนหมั่นใส้ก็มาลุยกันเพียบ พอเป็นบั๊กของกูเกิลเลยง้างใส่เลย

อ่านตรงนี้ไม่เข้าใจครับ ผมอ่านยังไงก็ตีความได้ว่าไม่ว่าเป็นใครก็ด่า

By: PandaBaka
iPhoneAndroidWindows
on 25 January 2015 - 00:12 #784981
PandaBaka's picture

รุ้สึกเหมือนพี่แกจะขี้เกียจ update และลด cost มากกว่า = =")

By: Yone on 25 January 2015 - 00:52 #784984

สรุปคือเป็นภาระของทีมงาน ...ดูแลลูกค้าได้ดีมากเลยท่าน

By: EThaiZone
ContributorAndroidUbuntuWindows
on 25 January 2015 - 01:29 #784988
EThaiZone's picture

ไม่อัพก็ไม่เห็นจะเป็นอะไร เพราะ browser มันฝั่งใน firmware

พูดง่ายๆ คือถ้ายี่ห้อนั้นๆ ลอยแพรุ่นนั้นๆ แล้ว กูเกิ้ลจะแพตให้ก็แก้ไม่ได้อยู่ดี เลยเป็นเหตุให้ใน 5.0 มีการยกให้อัพเกรดได้


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 25 January 2015 - 07:54 #785002

ฟังไม่ขึ้น แต่ปกติใช้ Chrome เลยหยวนๆไป

By: sp on 25 January 2015 - 08:02 #785004

มัน ... ธรรมดา

By: เอี้ยก้วย ณ แอนฟิลด์ on 25 January 2015 - 09:19 #785010

เพราะภาระก็ส่วนนึง แต่เพราะอยากให้ upgrade ก็อีกส่วนนึง แนวทางลอยแพมาตรฐาน...

By: tekkasit
ContributorAndroidWindowsIn Love
on 25 January 2015 - 09:22 #785011
tekkasit's picture

จริงๆ ก็อยากให้กูเกิลทำลงมาให้ 4.3 นะ แล้วก็ให้รู้กันไปว่า ปัญหาอยู่ที่ กูเกิล หรือ ผู้ผลิต หรือ ผู้ให้บริการโทรศัพท์ รายไหนเป็นตัวปัญหาทำให้อัพเดตช้ากันแน่

คือทุกวันนี้ ผู้ให้บริการมือถือนิสัยเสีย ต้องการทำ customization ต้องมีโปรแกรมเฉพาะฝังมากับในรอม ซึ่งแทบจะทุกเจ้าในโลกนี้ทำทั้งสิ้น แม้ว่ากูเกิลจะส่งอัพเดตมาให้ผู้ผลิต แต่กว่าจะหลุดมาถึงเรา ยังต้องผ่านผู้ผลิตแล้วส่งต่อให้ผู้ให้บริการมือถือแต่ละเจ้าตรวจสอบก่อนส่งไปยังเครื่องผู้ใช้งาน

แต่นึกแล้วก็น่านับถือที่แอปเปิลไม่ง้อ กล้าปฎิเสธตรงนี้ เรียกว่ามีรุ่นนี้ มีฮาร์ดแวร์เดียว รอมเดียวใช้ได้ทั่วโลก

By: kadeep
AndroidUbuntuWindows
on 25 January 2015 - 09:44 #785014 Reply to:785011
kadeep's picture

ย่อหน้าสุดท้าย งง

ปฏิเสธอะไร ง้อใคร

By: tekkasit
ContributorAndroidWindowsIn Love
on 25 January 2015 - 09:53 #785017 Reply to:785014
tekkasit's picture

แอปเปิลปฏิเสธไม่ยอมให้มีการทำ customization ในรอมของ iOS (อย่างเช่น มีแอพพิเศษสำหรับขายบริการเสริมของผู้ให้บริการแต่ละเจ้า) คือ ถ้าผู้ให้บริการมือถืออยากขาย iPhone ก็ต้องขายแบบนี้ ไม่แก้ไข ไม่มีโม ไม่แต่งกล่องให้อีกด้วย ถ้ารับไม่ได้ ก็ไม่ต้องเอาไปขาย

ข้อดีคือ ถ้าคิดจะอัพเดตเมื่อไร แอปเปิลก็ทำได้เลย ไม่ต้องห่วงความเข้ากันได้กับแอพของผู้ให้บริการแต่ละเจ้า ทุกๆ เจ้าทั่วโลก

By: Bigkung
iPhoneWindows Phone
on 25 January 2015 - 09:56 #785020 Reply to:785017
Bigkung's picture

อ๋อรายนั้นเขาไม่ง้ออยู่แล้วครับ ไม่ขายให้ก็ขายเอง เดี๋ยวก็มีคนมาซื้อ ขนาดไม่มีขายในประเทศใหนคนในประเทศนั้นยังหิ้วไปขายเลย

By: Elysium
ContributorWindows PhoneSymbianWindows
on 25 January 2015 - 10:04 #785022 Reply to:785014
Elysium's picture

ยกตัวอย่าง ซื้อโทรศัพท์ค่าย A ก็จะการแถมแอพของค่ายนั้นมาด้วยเช่น aService, aPrivilege อะไรทำนองนี้

หรือเปิดใช้งานครั้งแรกก็จะมีหน้าน้อง "อิ่มอก" ออกมาต้อนรับ

แต่ของ Apple ไม่เป็นแบบนั้น เปิดเครื่องครั้งแรกคุณจะเจอแต่ แอพของ Apple เพียวๆ เลย


คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: Bigkung
iPhoneWindows Phone
on 25 January 2015 - 10:16 #785028 Reply to:785022
Bigkung's picture

มันก็ไม่ต่างจาก Laptop Windows หน่ะครับ ที่มีโปรแกรมของผู้ผลิตใส่มาเต็มไปหมด ต้องมานั่งเอาออก เพราะแค่เปิดเครื่องมาไอ้เจ้าพวกนี้ก็ดึงเครื่องให้ช้าแล้ว แต่ของ โทรศัพท์มันต้องแบ่ง 2 ส่วนครับไอ้ที่ยัดเยียดมาหน่ะมันของค่ายผู้ผลิตเจ้านั้นๆ ส่วนผู้ให้บริการข้อมูลกับสัญญานไม่มีสิทธิ์ทำ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 25 January 2015 - 12:25 #785044 Reply to:785028

แต่บนพีชีมันแค่การลงปกติที่สามารถลบได้ทันทีนะครับ มันต่างจากต้องรูทก่อนแล้วค่อยลบอยู่พอสมควร

By: PathSNW
iPhoneAndroidSymbianWindows
on 25 January 2015 - 10:45 #785031
PathSNW's picture

ต่อให้ Google อัพเดตให้ 4.3 หรือแม่แต่ 4.2, 4.1 และ 4.0 ถ้าผู้ผลิตไม่สนใจจะอัพเดตให้ ยังไงก็ไม่ได้อยู่ดี

ถ้าผู้ผลิตจะอัพเดตซอฟท์แวร์ให้ มีเหรอที่จะไม่ได้ 4.4 หรือ 5.0

By: BLiNDiNG
AndroidUbuntuWindowsIn Love
on 25 January 2015 - 12:27 #785047 Reply to:785031
BLiNDiNG's picture

อาา จะว่าไปก็จริงแฮะ เพราะรุ่นก่อนหน้านั้น webview มันฝังใน firmware สินะ

กำลังคล้อยตามเมนต์บนๆเลย

แต่ถ้าทำไว้หน่อยก็ไม่เสียหายนะ ความผิดไปตกอยู่กับ ผู้ผลิตมือถือแทน 555

By: narongworlds
AndroidRed HatUbuntuWindows
on 25 January 2015 - 22:59 #785178 Reply to:785047

ปล่อย 4.3.X มาก่อได้คนทำคัสตอมรอมมีเยอะ

By: nessuchan
iPhoneAndroidWindows
on 26 January 2015 - 06:52 #785215 Reply to:785047
nessuchan's picture

ค่ายมือถือก็อัพไป 5.0 สิครับ - -

By: waroonh
Windows
on 25 January 2015 - 11:03 #785035

ห๊า อะไรนะ แก้เยอะ แก้ยาก ไม่แก้แล้ว อยากปลอดภัย ฏ็ให้ไปซื้อตัวใหม่ใช้โน่น
... ??

By: nrml
ContributorIn Love
on 25 January 2015 - 11:10 #785036
nrml's picture

"เป็นภาระหนักของทีมงาน" - แสดงว่าเข้าใจคำว่าข้อจำกัดของทรัพยากรและเวลา ทำแล้วเสียเวลาเยอะเลยไม่ทำมันซะเลย แต่ก็ดันไปประกาศกฎ 90 วันเหมือนคนไม่เข้าใจเรื่องที่ว่า

By: kadeep
AndroidUbuntuWindows
on 25 January 2015 - 12:01 #785041 Reply to:785036
kadeep's picture

เขาก็แจ้งความปลอดภัยเองอยู่นิครับ และบอกวิธีแก้ด้วย ไม่ใช่เก็บงำไว้
ไม่เหมืนอบางบริษัท ขนาดมีคนแจ้งถึง 90 วันก็ยังเฉย

By: nrml
ContributorIn Love
on 25 January 2015 - 12:09 #785042 Reply to:785041
nrml's picture

จากข่าวที่ผ่านมามีบริษัทไหนที่แจ้ง 90 วันแล้วยังเฉยบ้างครับ

By: tgst
ContributoriPhoneWindows PhoneWindows
on 25 January 2015 - 12:26 #785045 Reply to:785043
tgst's picture

เคสนี้คงเรียกว่าเฉยไม่ได้มั้งครับ คือพี่ท่านกำลังจะแก้อยู่แล้ว แต่เกิด accident ทำให้ต้องเลื่อนเวลาออกไป ไม่ใช่ว่าเตือนแล้วยังไม่สนใจนะ

By: Elysium
ContributorWindows PhoneSymbianWindows
on 25 January 2015 - 12:27 #785046 Reply to:785043
Elysium's picture

แจ้ง 90 วันแล้วยังเฉยบ้าง

ประเด็นมันอยู่ตรงนี้ครับ

ป.ล. ช่วงนี้ PaPaSEK active น่าดูเลยนะฮะ


คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 25 January 2015 - 13:18 #785052 Reply to:785046

เพิ่งอัพเฟิร์มแวร์ครับ คงหวังแข่งกับบ็อตอีกตัวนึง แต่ยากหน่อยครับ บ็อตตัวนั้นไปไกลกว่ามากแล้ว...


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 25 January 2015 - 14:03 #785057 Reply to:785052
PaPaSEK's picture

ผมพยายามช่วยงานบอทมั่งครับ เห็นช่วงนี้หายไป

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 25 January 2015 - 14:28 #785066 Reply to:785057

อาจมีปัญหากับทางกระทรวงเศรษฐกิจดิจิทัลครับเพราะส้รางความ(ไม่)มั่นคงแก่กระทรวงที่ไล่จับผิดคนมากกว่าพัฒนาไอทีประเทศ เพ้อไปไกลละ

By: inote
iPhone
on 25 January 2015 - 12:34 #785048

ใช้โครมแทนก็หมดปัญหาแล้ว

By: osmiumwo1f
ContributorWindows PhoneWindows
on 25 January 2015 - 14:06 #785058 Reply to:785048

ปัญหาคือพวกแอพฯ ที่ใช้ webview (แอพฯ ที่เอาหน้าเว็บเพจมาเปิดในแอพฯ ตรงๆ) จะยังคงมีช่องโหว่ตัวนี้อยู่ครับ โดยเฉพาะ Android ตั้งแต่ 4.3 ลงไปที่ไม่มีโอกาสได้รับ patch ครับ

By: 100dej
AndroidWindows
on 25 January 2015 - 19:43 #785130 Reply to:785058

Google​ น่า​จะ​ลบ​ App​ พวกนี้​ออก​จาก​ Play​store ให้​หมด​นะ​ครับ​

By: hisoft
ContributorWindows PhoneWindows
on 25 January 2015 - 20:18 #785137 Reply to:785130
hisoft's picture

ถ้าจำไม่ผิด Twitter, Facebook ก็ด้วยนะครับ :p

By: 100dej
AndroidWindows
on 25 January 2015 - 21:26 #785152 Reply to:785137

O_o แล้ว​ Facebook​ ทำไม​ไม่​เขียน​แบบ​ Chrome​ ที่​ไม่มี​ปัญหา​ web​ view​ ละ​นั่น​

By: hisoft
ContributorWindows PhoneWindows
on 25 January 2015 - 21:36 #785156 Reply to:785152
hisoft's picture

แอพก็แค่เรียกใช้ webview ครับ OS มีหน้าที่จัดการที่เหลือให้ ซึ่ง Android 4.3 ลงไปมันส่งตัวที่มีปัญหากลับมาให้แอพ

By: ch.krich
iPhoneWindows PhoneAndroidBlackberry
on 26 January 2015 - 15:58 #785352 Reply to:785152
ch.krich's picture

App ยังไงก็ต้องใช้ Web view อยู่แล้วครับ เพราะการเขียนแบบ Chrome หมายถึงต้องเอา Engine การแสดงผลหน้าเว็บทั้งหมด การประมวลผล HTML, Javascript และอื่นๆ ทุกอย่างเข้ามารวมในโปรแกรมด้วย

การใช้ Web view เป็นทางออกที่ง่ายที่สุดสำหรับโปรแกรมอื่นๆ ที่จะแสดงผลหน้าเว็บครับ

By: pote2639
ContributoriPhoneWindows PhoneWindows
on 25 January 2015 - 20:28 #785139

TL;DR Google สันหลังยาวชินะ


I am Death incarnate!

By: nessuchan
iPhoneAndroidWindows
on 26 January 2015 - 06:57 #785216
nessuchan's picture

งงว่าไปด่า google กันหมด เอ่อแปลกมาก

ทำไมไม่มีใครไปด่าค่ายมือถือบ้าง ที่ไม่อัพ 5.0 ให้ จะได้หมดปัญหา

หรือหลายคนสับสนคิดว่าเป็น windows xp กันเนี่ย ฮึ?

เพราะต่อให้อัพเดท 4.3 ให้ แต่ถ้ามือถือเครื่องนั้นโดนแพแล้ว คิดหรือว่าค่ายมือถือจะอัพเดทให้?

ไม่ต้องพูดถึง custom รอมนะ อันนั้น ไป 4.4 5.0 เลยดีกว่า

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 26 January 2015 - 08:43 #785227 Reply to:785216
PaPaSEK's picture

เพราะไม่ใช่ว่าทุกเครื่องจะได้ไปต่อ และก็ไม่ใช่ว่าทุกเครื่องจะสเปคถึงไงครับ

ที่สำคัญคือกูเกิลเคยบอกว่าจะตามอัพให้ในระยะ 2 เมเจอร์เชนจ์ 4.3 ก็ควรจะถูกอัพเดท

ส่วนว่าผู้ผลิตจะอัพให้หรือเปล่านี่เป็นอีกเรื่องนะครับ ถ้ากูเกิลแปะแพชท์ให้แล้วก็ไม่มีใครด่ากูเกิลได้ ถือว่าทำหน้าที่ตัวเองถึงที่สุดแล้ว ก็ค่อยไปด่าผู้ผลิตกันต่อ

จะให้นั่งทนไม่ด่าไม่พูดอะไรก็คงยากอ่ะครับ แต่ผมไม่ด่าอะไรนะ ผมใช้ Nexus 4 ก็เลยสบายหน่อยครับ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 26 January 2015 - 11:25 #785268 Reply to:785216

แล้วทำไมคิดว่าค่ายมือถือจะไม่อัพให้ล่ะครับ? ผมคิดว่าการอัพ "ข้ามเวอร์ชัน" กับการ "อัพเดทเวอร์ชันเดิมให้ปลอดภัยขึ้น" ความยากน่าจะต่างกันโขอยู่นะครับ อย่างน้อยมันก็ยังมีลุ้นกว่าเยอะ แต่ถ้ากูเกิลไม่อัพให้เลยก็ไม่ต้องลุ้นเลย เพราะงั้นตอนนี้จะให้ไปด่าค่ายมือถือมันก็ไม่ถูกนี่ครับ (คือด่าว่าลอยแพน่ะด่าอยู่แล้ว แต่เรื่องนี้มันคนละเรื่องกัน)


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: 255BB
Android
on 26 January 2015 - 08:14 #785222

google ก็บอกชัดเจนนะว่าจะสนับสนุนแอนดรอยด์เวอชันหนึ่งๆ 18 เดือน(เวอร์ชันใหม่ก็ออกทุกๆ 6 เดือน) ถ้าเกินก็อาจไม่มีแล้ว ทำไมไม่โวย OEM บ้างว่าทำไมไม่ออกอัพเดท 4.4 , 5 ให้ลูกค้า

By: johnny.sayasane
ContributorWindows PhoneSymbianWindows
on 26 January 2015 - 16:54 #785361 Reply to:785222
johnny.sayasane's picture

มันไม่มีแบ่ง Security and Critical Updates กับ Features Update เหมือนแบบวิน เหรอครับ


ສະບາຍດີ :)