Tags:
Node Thumbnail

Linus Torvalds ออกมาตอบโต้ผู้เชี่ยวชาญด้านความปลอดภัยหลายคน ที่บอกว่าเขาและทีมพัฒนาเคอร์เนลลินุกซ์ "ไม่ใส่ใจเรื่องความปลอดภัยเท่าที่ควร" โดยไม่สนใจแก้ปัญหาหรือบั๊กด้านความปลอดภัยที่มีคนแจ้งเข้ามามากนัก

Torvalds ตอบว่าหลักการพื้นฐานคือไม่มีระบบใดปลอดภัย 100% และความปลอดภัยเป็นเพียงแค่แง่มุมหนึ่งในการพัฒนา ที่ต้องแบ่งให้น้ำหนักกับมิติอื่นๆ อย่างประสิทธิภาพ ความยืดหยุ่น ความง่ายในการใช้งานด้วย เขายังวิจารณ์คนที่บอกว่า "ความปลอดภัยสำคัญที่สุด" ว่าบ้าไปแล้ว (completely crazy) โลกไม่ได้มีแค่ขาวกับดำสักหน่อย

No Description

เขายังอธิบายว่าช่องโหว่ในเคอร์เนล เป็นเพียงตัวแปรหนึ่งในระบบเท่านั้น ยังมีตัวแปรอื่นๆ อีกมาก เช่น ระบบไฟร์วอลล์ หรือระบบป้องกันภัยคุกคามอีกมากก่อนจะมาถึงระดับของเคอร์เนล ถ้าเขาต้องมาใส่ใจประเด็นเรื่องนี้คงไม่มีเวลาไปทำอย่างอื่นกันพอดี ตัวเขามองว่าบั๊กทั่วไปกับบั๊กความปลอดภัยมีความสำคัญเท่ากัน

Washington Post อ้างความเห็นจากทีมความปลอดภัยของ Akamai ว่าในอดีต ลินุกซ์ถูกมองว่าปลอดภัยกว่าวินโดวส์ แต่ช่วงหลัง เมื่อลินุกซ์ได้รับความนิยมมากขึ้น บรรดาแฮกเกอร์จึงสนใจหาช่องโหว่ฝั่งลินุกซ์เพิ่มขึ้นมาก ส่งผลให้บริษัทที่ขายผลิตภัณฑ์เกี่ยวกับลินุกซ์ต้องหามาตรการป้องกันความปลอดภัยมากขึ้น

(ใครสนใจเรื่องปรัชญาและการออกแบบด้านความปลอดภัย แนะนำให้อ่านบทความต้นทางฉบับเต็ม)

ที่มา - Washington Post, ภาพจาก +Linus Torvalds

Get latest news from Blognone

Comments

By: LazarusSP1
ContributoriPhone
on 10 November 2015 - 22:07 #860142
LazarusSP1's picture

เท่าที่เคยสัมผัสมาพวกสาย Security นี่ ไม่มี UX/UI อยู่ในหัวเลยนะครับ

By: chettaphong
iPhoneWindows PhoneAndroidRed Hat
on 10 November 2015 - 22:14 #860145

ส่วนตัวก็เห็นด้วยกับเฮียเค้าอยู่เหมือนกันนะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 10 November 2015 - 22:20 #860151
lew's picture

ส่วนตัวไม่เห็นด้วยกับบทความต้นทางนัก

  • นักข่าวเลือกสัมภาษณ์ผู้เชี่ยวชาญจากบริษัทที่พัฒนาแอนดรอยด์รุ่นที่อ้างว่าปลอดภัยเป็นพิเศษ (Copperhead OS) ผู้เชี่ยวชาญคนนี้บอกว่าไลนัสไม่สนใจความปลอดภัยโดยไม่ได้ยกตัวอย่าง (หรืออย่างน้อยนักข่าวก็ไม่ได้ยกมาใส่บทความ) ว่ามีครั้งไหน ที่มีช่องโหว่แล้วโครงการลินุกซ์ไม่ได้แก้
  • บทความเสียเวลาไปกับนิสัยด่ากราดของไลนัส ซึ่งไม่เกี่ยวกับความปลอดภัย มีนักพัฒนาเขียนโค้ดไม่สวย (ในความเห็นของไลนัส) หรือทำให้แอปใน userspace พัง (กรณีที่ยกมาในตัวอย่าง) ก็โดนด่าแรงๆ กันหมด คนอย่างไลนัสเคยถามในสัมมนาว่าใครชอบใช้ svn คนยกมือโดนด่าก็มีมาแล้ว
  • ไปยกว่าลินุกซ์เป็นงานอดิเรกมาก่อน พยายามแสดงว่าไลนัสไม่ใช่มืออาชีพ (ส่วน Accidental hero) ซึ่งไม่แฟร์ แฮกเกอร์มือดีจำนวนมากเริ่มมาจากเส้นทางนี้ทั้งนั้น
  • เนื้อหาส่วนของไลนัสยกมาจากสัมภาษณ์ก่อนหน้า ว่าไลนัสไม่ได้มองบั๊กว่าแตกต่างกัน ไม่ปิดบัง ต้องแก้ แต่จะไม่เสียเวลามานั่งจัดว่าบั๊กไหนเป็นบั๊กความปลอดภัย ซึ่งอันนี้แปลกหน่อยเพราะโครงการส่วนหนึ่งถ้ารู้ว่าสามารถถูกโจมตีได้ จะจัดแยกไว้ มีการเก็บความลับ ฯลฯ
  • อีกส่วนที่สัมภาษณ์ คือ Grsecurity และ PaX ที่อ้างว่าเพิ่มความปลอดภัยมาก แต่ไลนัสไม่รับเพราะทำแอปพัง แล้วโดนไลนัสด่าไล่หลัง แพตช์ลินุกซ์ที่ไลนัสไม่รับมีมหาศาล Xen พัฒนามาตั้งแต่ปี 2003 แก้ไปจนปี 2011 กว่าจะได้ merge

lewcpe.com, @public_lewcpe

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 10 November 2015 - 22:25 #860152

อยากได้อะไรก็เอา เคอเนลไป คอมไพล ใช้เอง

By: Aphorist
AndroidUbuntuWindows
on 11 November 2015 - 10:27 #860271 Reply to:860152
Aphorist's picture

คุ้น ๆ นะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 10 November 2015 - 23:02 #860162
lew's picture

ประเด็นหนึ่งที่คนเขียนบทความต้นทางไม่ได้ชี้แจงให้ชัดคือ Linux ไม่สามารถไปบังคับให้ใครอัพเดตได้ เมื่อมีช่องโหว่ บทความระบุว่าอาจจะหลายสัปดาห์ถึงหลายเดือนกว่าผู้ใช้จะได้รับ ซึ่งจริงในกรณีแอนดรอยด์ โดยรวม ซึ่งทำประเด็นการส่งแพตช์ได้ชั้นเลว (ยกเว้น Nexus หรือ CyanogenMod) ว่าช่องโหว่ไม่ว่าจะเป็นในเคอร์เนลหรือในไลบรารี ล้วนต้องรอกระบวนการอัพเดตหลายเดือน แม้ตัวโครงการเคอร์เนล (หรือไลบรารี) จะอัพเดตไปนานแล้ว

ในโลกลินุกซ์ดั้งเดิมเช่น Ubuntu หรือ CentOS ผมยังไม่เคยเห็นกรณีมีช่องโหว่ในเคอร์เนลโดยไม่ได้แก้ไขนานขนาดนั้น


lewcpe.com, @public_lewcpe

By: grenadin
iPhoneWindows PhoneAndroidWindows
on 10 November 2015 - 23:44 #860173 Reply to:860162
grenadin's picture

+1 ไปบังคับใครไม่ได้

By: Dino
iPhoneSymbian
on 11 November 2015 - 00:20 #860177
Dino's picture

ผมว่าผมอยู่วงการนี้มาก็ไม่ถือว่านานเหมือนกับเซียนๆ ซักเท่าไหรนะ (แค่ 20 ปีเอง) แต่ก็คิดว่าอยู่มานานพอจะรู้ว่าการออกแบบระบบ หรือ Application อะไรซักอย่าง มันคือการ trade-off กันในเรื่องต่างๆ ทำยังไงให้มันสมดุลย์มากกว่าที่จะมานั่งเถียงกันหัวชนฝาระหว่าง Security or User Friendly or Performance or Budget or Time to market or etc.

บทความลักษณะในข่าวนี้ ผมว่าไม่ใช่บทความเชิงสร้างสรรค์ซักเท่าไหรนะ มีแต่จะบ่อนทำลายวงการไปเปล่าๆ

ปล. ความเห็นส่วนตัว ตา Linus นี่ก็เหลือหลายจริงๆ คนทั้งรัก และเกลียด ผมว่า เขาเทียบชั้น Ironman ในวงการ IT จริงๆ

By: AlninlA
ContributorAndroidUbuntu
on 11 November 2015 - 08:36 #860232 Reply to:860177
AlninlA's picture

น่าจะ hot headed มากกว่า Tony Stark นะครับ

By: aeksael
ContributoriPhoneWindows PhoneAndroid
on 11 November 2015 - 00:48 #860183
aeksael's picture

เป็นไปได้หรือเปล่าครับที่การที่ต้องมาคอยอุดช่องโหว่(ไม่รวมบั๊ก)จะปั่นทอนประสิทธิภาพ

ในความคิดผมคือถ้าไม่มี แครกเกอร์ ไวรัส มัลแวร์ (โลกในอุดมคติ) การพัฒนาอาจไปได้มากกว่านี้โดยไม่ต้องพะวงเรื่องความปลอดภัย


The Last Wizard Of Century.

By: raaon on 11 November 2015 - 10:48 #860282

การกระจายงานแก้ไขปัญหานี้ได้ ทีมสร้างสรรค์ ไม่จำเป็นต้องคอยแก้ไขปัญหาเสมอไปครับ สถาปนิกออกแบบบ้าน ไม่จำเป็นต้องคอยแก้ไขก็อกน้ำรั่วในหมู่บ้านจัดสรร ที่เคยสร้างมาแล้วเป็นสิบๆ โครงการเสมอไปครับ

By: waroonh
Windows
on 11 November 2015 - 11:47 #860298

อ่านแล้วรู้สึกเหมือนสมัยก่อนที่ Windows จอฟ้าบ่อยๆ
แล้วทุกคนด่า Bill Gates เลยครับ
ต่างกันตรงที่ Linus เค้าแรงจริง ออกสื่อ เห็นกันทั้งโลกก็ยังแรง
อันนี้ต้องยอมเค้าจริงๆ ความสามารถส่วนตัวล้วนๆ

By: crucifier
iPhoneAndroidUbuntu
on 11 November 2015 - 13:32 #860337 Reply to:860298

เป็นคนหน้าตาใจดีมากนะ แต่ไม่กล้าร่วมงานด้วย เค้ากัว >.<