โชคดีที่ Java Open Source แค่ JDK

By Gmz on Tag:

หลังจากอ่านข่าวว่า cracker ชอบโจมตีหน้าเว็บ ผมคิดเอาเองนะว่า ถ้าใช้ jsp สร้างจะโดนไหม เพราะเคยเห็นแต่ php โดนประจำ คุณ apple ผู้สร้าง AppServ เคยแสดงโปรแกรมที่ไม่ต้องมี root password แต่สามารถเข้าไปเปลี่ยนแปลงแก้ไขหรือลบข้อมูลในหน้าเว็บที่ใช้ php เสมือนว่าเราเป็นเจ้าของได้เลย หากเครื่องนั้นแค่ติด php module ไอ้เจ้าโปรแกรมตัวนี้ก็สามารถเล่นงานเว็บนั้นได้แล้ว (น่ากลัวจริง ๆ ) ผมเลยถามไปว่า หากไม่ติด php module ในเครื่องเลยล่ะ เขาก็ตอบผมว่า มันก็จะโจมตีไม่ได้ พอมามองที่ jsp ที่ใช้ j2ee, j2se เป็นแกนหลักแล้ว หากมันเปิดเผย vm ด้วยเนี่ย สงสัยมันคงจะไม่ปลอดภัยอีกต่อไป แค่เปิดเผย API เนี่ย ปกติมันก็ดูได้หมดอยู่แล้ว ไม่ใช่เรื่องน่าตื่นเต้นอะไรเลย

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

deans4j Sun, 26/11/2006 - 01:40

เปิดไปแล้วครับ HotSpot ก็คือชื่อ JVM เปิดไปพร้อมกับ JavaME, javac, JavaHelp นั่นแหละ ถ้าจำไม่ผิดก็ 6 ล้านกว่าบรรทัดเอง

ลองแกะดูได้ไม่มีใครว่าครับ ผมก็อยากรู้ถ้าโอเพ่นซอร์สอย่างนี้จะเจอยิงยังไง คิดว่าเป็นเรื่องที่ยากแต่ก็คงเป็นไปได้ในทางทฤษฏี เพราะถ้าจะแฮกกัน เท่าที่ผมพอจะนึกเล่นๆ ออก ก็คงอาจจะลองยิง byte code เข้าไป แล้วมันต้องผ่านขั้นตอนการ validate ของ VM ตอนโหลด class ถ้าสามารถหาวิธี bypass ขั้นตอนนี้ได้ก็คงจะน่ากลัว

นี่แค่ในมุมมองของผมที่เป็น developer นะ ต้องลองถาม hacker ดูอาจจะได้อีกมุมมอง

แต่ไม่ต้องรีบตกใจเวอร์ๆ นะ เรื่อง security จาวาปลอดภัยกว่า php เยอะ คงไม่ได้ทำกันง่ายๆ

bow_der_kleine Sun, 26/11/2006 - 06:41

อย่างที่คุณ Gmz บอกเขาเรียกว่า security by hidden ครับ คือ คิดว่าซ่อนไว้ไม่ให้คนอื่นรู้ว่ามันทำงานยังไง เพื่อความปลอดภัย มันเป็นระบบความปลอดภัยที่ไม่ได้มาตรฐาน และไม่เป็นที่ยอมรับครับ เพราะการจะรู้ว่าระบบมันทำงานยังไงไม่จำเป็นต้องดูซอร์สโค้ดครับ มันมีวิธีการมากมาย

หากไปพูดเรื่องนี้กับคนที่เขาเป็นแฮกเกอร์จริง ๆ ฟัง เขาก็จะร่ายยาวเลยครับ เพราะว่าประเด็นนี้เป็นประเด็นที่เขาถกกันมาตั้งแต่ก่อตั้ง GNU แล้วครับ

ระบบใดระบบหนึ่ง หากมันจะปลอดภัย หรือ ไม่ปลอดภัย ไม่ได้ขึ้นอยู่กับว่า มันจะเปิดเผย Source Code หรือไม่ หรือว่า มันจะเป็น OpenSource หรือไม่ หรือว่า คนอื่นจะรู้หรือไม่ว่ามันทำงานยังไง แต่มันอยู่ที่การออกแบบระบบครับ

ระบบที่ดี และปลอดภัยจริง ๆ คือระบบที่ทุกคนรู้ครับว่ามันทำงานยังไง และรู้อย่างละเอียดด้วย แต่ไม่สามารถเจาะเข้าไปในระบบได้ ซึ่งมันเป็นสาเหตุหนึ่งครับ ที่ทำให้เกิดโครงการ OpenSource ต่าง ๆ ขึ้นมา เพราะเหล่าแฮกเกอร์ทั้งหลาย อยากสร้างระบบที่ผมว่ามาไงครับ

สรุปคือ มันเป็นความเข้าใจผิดอย่างหนึ่งครับ หากจะบอกว่าการ OpenSource ทำให้ระบบปลอดภัยน้อยลง

Gmz Mon, 27/11/2006 - 02:33

bow_der_kleine: งั้นแล้วทำไม php apache2 ที่เปิดเผยโค้ดทั้งหมด ตั้งแต่ต้นก็เป็น GPL ทำไมถึงยังไม่สามารถสร้างระบบที่ปลอดภัยได้ซักทีล่ะครับ ผมคิดว่าในโลกนี้ไม่มีระบบที่ปลอดภัยจริง ๆ หรอก เพราะไม่อย่างนั้นจะมีการ upgrade เวอร์ชั่นไปทำไม บางทีก็ทำเพื่อเพิ่มประสิทธิภาพ แต่ส่วนใหญ่เห็นทำเพื่ออุดช่องโหว่ ถ้าหากทำตามวิธีการป้องกันโฮสอย่างที่ คุณ apple สอนมา ก็คงป้องกันได้ระดับหนึ่ง แต่ผมก็ไม่เก่งเท่าคุณ apple ที่ศึกษาการแฮกตลอดเวลา ดังนั้น ผมจึงอยากเลือกเทคโนโลยีที่ไม่ต้องไปกังวลกับ security ให้มากนัก มองไปมองมาก็เห็นจะเหลือแต่ j2ee ส่วน mono มันสู้ในระดับ enterprise ไม่ได้ php ก็มีข้อดีตรงที่ทำงานเร็ว ไม่หน่วงเครื่องเท่าจาวา แต่ข้อเสียคือด้านความปลอดภัยที่ไม่แน่วันดีคืนดีจะโดนแฮกเอา เหมือนที่ narisa เคยโดนมาก่อน ถ้าไม่ได้ backup ข้อมูลไว้ คงแย่แน่ ๆ

lew Mon, 27/11/2006 - 02:53

Gmz - ผมอ่านแล้วไม่รู้เรื่องแฮะว่าคุณพยายามจะบอกอะไร? ------ LewCPE

bow_der_kleine Mon, 27/11/2006 - 03:36

ใช่ครับ ในโลกนี้ไม่มีโปรแกรม หรือ ระบบไหนที่ปลอดภัยร้อยเปอร์เซ็นต์หรอกครับ ดังนั้นไม่ต้องกังวลไปครับ ใช้อะไรก็โดนแครกได้หมด อยู่ที่ว่าจะง่าย หรือยาก และเราจะป้องกันมันยังไงแค่นั้นเองครับ

จริง ๆ ปัญหาไม่น่าจะอยู่ที่ apache ครับ แต่น่าจะอยู่ที่ php มากกว่า เพราะเดิมที php ไม่ได้ถูกสร้างขึ้นมาเพื่อเป็นภาษาเขียนโปรแกรม หรือสร้างเวบไซท์ขนาดใหญ่อย่างที่เราเห็นทุกวันนี้ครับ แต่มันถูกสร้างขึ้นมาเพื่อเป็น tools ในการสร้าง Homepage ดังนั้นจึงไม่น่าแปลกใจครับ หาก PHP จะมีปัญหาเรื่องความปลอดภัย

ส่วน apache เป็น webserver มาตรฐาน ที่เข้าขั้นปลอดภัย หากจะใช้ java ผมคิดว่ายังไงก็หนีไม่พ้น apache อยู่ดีครับ

ส่วน mono ผมคิดว่ามันเป็นเทคโนโลยีที่พร้อมมากแล้วครับ ส่วนที่ MS.Net มี แต่ mono ยังไม่มี ส่วนมากจะเป็นเทคโนโลยีจาก MS.Net 3.0 ครับ

เทคโนโลยีอื่น ๆ ที่น่าสนใจเห็นจะมี Python (ตัวนี้น่าจับตามาก มันเก่งพอ ๆ กับ Java เลยครับ แต่เขียนง่ายกว่าเยอะ) กับ Ruby (มันกระเดียดไปทาง PHP คือเน้นเฉพาะการสร้าง website เพราะนอกจาก Rail แล้ว ผมยังไม่ค่อยเห็นคนพูดถึง Ruby เท่าไร)

สำหรับผมแล้ว ทุกเทคโนโลยี มันก็มีข้อดีข้อเสียในตัวเองหมดครับ ไม่ยกเว้นเรื่องความปลอดภัย การจะเลือกใช้เทคโนโลยี ผมคิดว่าต้องดูที่บริบทเป็นหลัก ว่าความพร้อมของเทคโนโลยีที่เราใช้ ในส่วนที่เราต้องการมีมากแค่ไหนครับ ส่วนเรื่องความปลอดภัย หากมี expert ด้านนี้โดยเฉพาะเป็นที่ปรึกษาจะดีมาก เพราะมันเป็นเรื่องที่ต้องศึกษากันเยอะมากครับ

sugree Mon, 27/11/2006 - 06:53

php ไม่ผิด ผิดที่คนเอาไปเขียน โดยเฉพาะพวกซอฟต์แวร์ยอดนิยมเช่นเวบบอร์ด หน้าตาดีความปลอดภัยต่ำ

ipats Mon, 27/11/2006 - 08:44

sugree: ผมว่าจะไปโทษ CMS เลยทีเดียวก็คงไม่ได้ (ถึงแม้ว่าผมเองจะไม่ชอบใช้ CMS ก็เถอะ) เพราะผมว่า ปัญหาส่วนใหญ่เกิดจากคนใช้มันไม่เป็นมากกว่า จะติดตั้งก็ทำตามเว็บ howto ไปเรื่อยๆ แล้วเว็บพวกนี้มันเหมือนๆ กันหมด เจอรูในเว็บนึงทีก็เอาไปใช้ได้หมด แล้วพอเค้าออก security patch มา หลายคนก็ไม่อัพเดท เพราะทำไม่เป็นบ้าง ไม่ก็ใช้ของเถื่อนบ้าง

---------- iPAtS

sugree Mon, 27/11/2006 - 10:12

ipats - เห็นด้วยว่าคนใช้ต้องใช้ให้เป็น แต่มันก็น่าเศร้านะโปรแกรมดีๆ แต่เขียนตั้งแต่สมัย php3 เลยพาลให้เกิดความเสี่ยงสูงมาก จะแก้ก็แทบจะไม่ต่างอะไรกับเขียนใหม่ คนเขียนก็เศร้า คนใช้ก็เซ็ง

pittaya Mon, 27/11/2006 - 12:01

ผมเชื่อว่าโปรแกรมที่ผ่านสายตาคนตรวจสอบเยอะๆ น่าจะมีความปลอดภัยมากกว่าโปรแกรมที่ผ่านการ review แค่ในวงจำกัดนะ

ถ้าหากเปิดโค้ดแล้ว แครกเกอร์ฝ่ายอธรรมมีโอกาสหาช่องโหว่เล่นงานได้ ความเป็นไปได้ที่แฮกเกอร์ฝ่ายธรรมะ จะเจอรูโหว่นั้นและจัดการแก้ไข ก็น่าจะเป็นไปได้พอๆ กันนะ (ยกเว้นฝ่ายอธรรมมีเยอะกว่าฝ่ายธรรมะมากๆ)

hugo8xx Mon, 27/11/2006 - 18:19

เท่าที่ฟังมา เห็นบอกว่า php ไม่ปลอดภัยเท่า java นี้มันแง่ไหนครับ และถ้าไม่ปลอดภัยจริง ทำไม blognone ใช้ php ละครับ

http://www.blognone.com/index.php?q=node/3430

Ford AntiTrust Mon, 27/11/2006 - 18:51

สิ่งที่ php มีแต่ java (web form) ไม่มีในไทยในตอนนี้คือการหาพื้นที่สำหรับคงอยู่ครับ (ในความคิดผมนะ)

ตอนนี้ host ต่าง ๆ มีน้อยที่จะสนับสนุน แถมถ้าสนับสนุน ก็ราคาแพงกว่าเกือบเท่าตัวเลยทีเีดียวครับ รวมไปถึงการหา web app มาใช้งานส่วนใหญ่มักจะเสียเงินในการซื้อมาในประสิทธิภาพเท่าๆ กัน แม้ security จะด้อยกว่า แต่ราคาก็ทำให้ประเด็นดังกล่าวตกไปได้ แล้วการไล่อุดทีหลังก็ง่ายกว่า ส่วนใหญ่มั่น backup สม่ำเสมอก็ ok แล้ว

ipats Mon, 27/11/2006 - 20:11

Ford AntiTrust: ผมว่าอีกประเด็นก็น่าจะเป็นเพราะ PHP เป็นภาษาสคริปท์ที่เขียนง่ายกว่า ทำให้ในไทยมี dev ของ PHP เยอะกว่า แล้วสุดท้ายก็เลยกลายเป็น de facto ไป.. มั๊ง

---------- iPAtS

AnnoMundi Mon, 27/11/2006 - 20:44

ความจริงส่วนใหญ่เว็ปที่ใช้ PHP โดนแฮกกันนี่เพราะใช้ script สำเร็จรูป อย่าง CMS หรือเว็ปบอร์ด แล้วมีการค้นพบ security bug และเจ้าของเว็ปไม่อัพเดท Patch กัน ซึ่งเพราะมีเว็ปจำนวนมากที่ใช้ script สำเร็จรูปเดียวกัน และไม่อัพเดท patch จึงไม่น่าแปลกที่จำนวนเว็ปที่โดนลองของมีมาก

การโดนแฮกที่ว่านี่ต้องแยกออกจากบักของ apache และ PHP ครับ เพราะเป็นข้อบกพร่องของ script และคนดูแลเว็ปเอง

ต่อให้คุณเขียน jsp ถ้าเขียนไม่ดี แล้วบังเอิญเว็ปคุณเป็นที่หมายตาของ hacker ก็โดนได้เหมือนกัน

bow_der_kleine Mon, 27/11/2006 - 21:04

Ford AntiTrust, ipats : ใช่เลยครับ PHP หา Server ราคาถูกง่าย เขียนง่าย ทำงานรวดเร็ว ไม่ปลอดภัยก็ Backup บ่อย ๆ ผมเองก็ Backup เกือบทุกวันเหมือนกัน แบบว่าวิตกจริต

BioLawCom.De

sugree Mon, 27/11/2006 - 21:59

เขียน php ให้ปลอดภัยยากกว่าเขียน java ให้ปลอดภัยในระดับเดียวกัน เพราะ

1. php ให้ความสะดวกสบายจนทำให้โปรแกรมเมอร์เผลอได้ง่ายกว่า ผลของการเผลอใน php มักร้ายแรงกว่า java เพราะสามารถส่งโค้ดมารันได้เนื่องจากเป็นสคริปต์ 2. มีหนังสือ php ในท้องตลาดมากมาย แต่ไม่มีซักเล่มที่สอนว่าเขียนยังไงถึงจะปลอดภัย

ส่วนประเด็น CMS ผมก็ยังคงเชื่อว่าผู้พัฒนาควรใส่ใจเรื่องความปลอดภัยเป็นเรื่องสำคัญ เมื่อพบข้อผิดพลาดต้องประกาศให้ผู้ใช้ทราบให้เร็วที่สุด ผู้ใช้มีหน้าที่อัพเดตทันที

โดยส่วนตัว (ส่วนตัวมากๆ) ผมไม่ชอบ php เอาซะเลยเพราะแทบจะไม่มีความดีให้เล็งเห็น จนกระทั้งมาเจอ Drupal ถึงเริ่มเข้าใจว่า php ก็ยังสามารถนำมาเขียนโปรแกรมที่ดีได้ ข้อแม้เดียวก็คือการออกแบบที่เรียบง่าย สะอาด ปลอดภัย และยืดหยุ่น Drupal มีครบหมดทุกอย่าง เป็นสาเหตุเดียวที่ผมยังเก็บ php ไว้

ในกรณีของเวบส่วนตัว หรือเวบที่เช่าพื้นที่ร่วมกับเวบอื่น ผมไม่คิดว่าจะมีใครเลือกทำ blog ส่วนตัวด้วย java เพราะมันเป็นงานคนละระดับ java เหมือนช้างน่ะครับ เอามาขี่จับตั๊กแตนก็กระไรอยู่ php เป็นแค่รองเท้าใส่แล้ววิ่งจับตั๊กแตนสบาย เอาไว้จะทำยุทธหัตถีแล้วค่อยขี่ช้างดีกว่า ปัญหาใหญ่สุดคือราคา... ในเมื่อตัวเลือกของการเช่าเวบคือ php ผลสุดท้ายเลยหนีไม่พ้น cms/webboard ที่มีอยู่ทั่วไป แค่จะหาเครื่องที่มี python/ruby ยังยากเลยครับ

ทั้งหมดนี้เป็นความเห็นส่วนตัว โปรดใช้วิจารณญาณก่อนเชื่อ

wiennat Mon, 27/11/2006 - 22:40

อันนี้ตอบคุณ Gmz นะครับ อาจจะช้าไปบ้าง

ยิ่งผ่านตาคนมากก็ยิ่งทำให้ปลอดภัยมากขึ้นครับ เพราะเมื่อจำนวนตามากก็สามารถข้อผิดพลาดไดมากกว่า และแก้ไขข้อผิดพลาดได้ดีกว่าคนกลุ่มน้อยอยู่แล้ว

สำหรับที่ คุณ bow_der_kleine กล่าวว่า่ "ระบบที่ดี และปลอดภัยจริง ๆ คือระบบที่ทุกคนรู้ครับว่ามันทำงานยังไง และรู้อย่างละเอียดด้วย แต่ไม่สามารถเจาะเข้าไปในระบบได้" ยกตัวอย่างง่ายๆก็พวก Encrpytion Algorithm ต่างๆนั่นแหละครับ ทุกคนก็รู้ว่ามันทำงานยังไง แต่ก็หาวิธี crack มันยากอยู่ดี

sugree : php ผมว่าตัวมันเองตัวเดียวเหมาะจะทำแค่ web app หรือแค่ web front end มากกว่า

deans4j Wed, 29/11/2006 - 22:32

เรื่อง share hosting สำหรับ java มันหายากในไทยก็ยังงี้แหละครับ ถ้ามีก็ราคาแพง จะออกไปเป็นแนว VPS หรือทำเป็น dedicated Server ไปเลยมากกว่า เมืองนอกก็จะเป็นอย่างนี้ แล้วมันก็สมเหตุสมผลที่เป็นอย่างนี้

โดยธรรมชาติของจาวาที่โหลดคลาสเก็บไว้เพื่อรองรับการให้บริการจำนวนมากๆ ก็ทำให้เป็นข้อเสียสำหรับ share hosting ที่ต้องสงวน memory ไว้ไปแชร์กับคนอื่นหลายๆ คน ทั้งเรื่องเวลา start tomcat ขึ้นมา memory ก็พุ่งปรี๊ดแล้ว พวก share hosting เค้ามองว่าไม่คุ้มจะทำ ถ้าต้องรวมเอาบริการนี้อยู่ในชุดเดียวกับ php ส่วนพวกที่ตั้งใจจะทำ share hosting สำหรับจาวาก็พอมีนะ ผมเข้าใจว่าเค้าเอาเครื่องใหญ่ๆ ยกให้เลย

สรุปแล้วสำหรับงานเล็กๆ php ไปแหละ ถ้าเขียนเป็นแล้วไม่ซีเรียสมาก ถ้า concern เยอะๆ scale ใหญ่ๆ ระดับงาน enterprise ค่อยมาพิจารณาจาวา ซึ่งองค์กรใหญ่ๆ ที่คิดจะใช้ เค้าไม่สนใจ share hosting อยู่แล้ว เค้ามีงบมากพอที่จะทำ VPS หรือ dedicated Server แล้วเค้าควบคุมได้ทุกอย่าง