Tags:
Topics: 
Node Thumbnail

ทีมงาน VideoLAN หรือ VLC ใช้บัญชีทวิตเตอร์หลักของชุมชน โต้เถียงกับเว็บ The Hacker News หลังถูกวิจารณ์ว่าเสียมารยาท เมื่อ Rémi Denis-Courmont หนึ่งในทีมพัฒนาตอบกลับอย่างห้วนๆ ต่อการรายงานบั๊กขอให้ย้ายระบบอัพเดตไปยัง HTTPS ว่า "ไม่มีโมเดลการโจมตี ก็ไม่ใช่ช่องโหว่ความปลอดภัย"

VLC นั้นมีกระบวนการเช็กความถูกต้องของกุญแจ GPG สำหรับไฟล์อัพเดตอยู่ในตัวแล้วทำให้ทนทานต่อการส่งไฟล์อัพเดตปลอม และ ทวิตเตอร์ของโครงการก็ระบุว่าที่ผ่านมาก็มีการพูดคุยกันอยู่ว่าจะย้ายระบบ ในช่วงหลายเดือนที่ผ่านมา แต่ก็มีประเด็นอื่นๆ เช่น การอัพเดตเฉพาะส่วนที่ต่างกันหรือการเลิกซัพพอร์ตวินโดวส์บางส่วน ทำให้การย้ายไปใช้งาน HTTPS อยู่ในลำดับหลัง

บัญชี The Hacker News โต้แย้งว่าแค่การเพิ่มความปลอดภัยที่ "ทำได้ง่าย" และมีความสำคัญ

Scott Holme นักวิจัยจาก Report URI ถามความเห็นว่าวงการความปลอดภัยโดยรวมก็ไม่ได้แย่ใช่ไหม แต่บัญชีทวิตเตอร์ของ VLC ก็ตอบว่าโดยรวมแล้วแย่มาก และที่ผ่านมาทีมงานได้รับแต่ความเห็นด้านลบจากชุมชนนี้ โดยไม่มีใครที่อยากพูดคุยจริง

ระบบอัพเดตจำนวนมากไม่ต้องการ HTTPS เช่น APT ของ Debian ที่อัพเดตผ่าน HTTP ได้เช่นกัน เพราะระบบ APT เองมีการเช็กกุญแจลายเซ็นของไฟล์อัพเดตอยู่แล้ว แม้ที่ผ่านมาโครงการอื่นๆ จะเริ่มปล่อยอัพเดตผ่าน HTTPS เพื่อเพิ่มความปลอดภัยอีกชั้นกันแล้วก็ตาม

ที่มา - @TheHackersNews

alt="VLC 3 Billions"

Get latest news from Blognone

Comments

By: delta on 22 January 2019 - 06:18 #1092983
delta's picture

ความจริงแล้ว ทุกสิ่งมีดีและไม่ดี ดังนั้น ความปลอดภัยก็เช่นกัน เพียงแต่การอยู่รอดมีหลายทางเลือก ด้วยเหตุนี้ จงเลือกทางที่เหมาะสมกับตนที่สุด

By: panurat2000
ContributorSymbianUbuntuIn Love
on 22 January 2019 - 11:15 #1093034
panurat2000's picture

เช็ค => เช็ก

อัพดเดต => อัพเดต

By: narudom
Contributor
on 22 January 2019 - 12:32 #1093064
narudom's picture

อยู่ข้าง VLC นะคราวนี้ ที่ผ่านมาผมเจอว่าส่วนใหญ่ผูัเชี่ยวชาญ Security เป็นแบบพวก Checklist มากกว่าจะมาทำ Threat Modelling การใช้ Checklist อาจจะมากไปหรือน้อยไปก็ได้สำหรับแต่ละระบบ พวก Audit ชอบ ไม่ต้องคิดมาก แต่ผมว่าเราต้องประเมินความเสี่ยงจากการทำ Threat Modelling กับระบบของเราจะดีกว่า


RX78-2

By: thedesp
WriterAndroidWindows
on 22 January 2019 - 14:12 #1093088
thedesp's picture

บางทีคน sec ก็หลงไปกับ moral superiority ได้ง่ายจริงนะ
เพราะเป็นเรื่องค่อนข้างเฉพาะทางที่คนนอกวงการไม่ค่อยเข้าใจ

By: korrawit
ContributorAndroid
on 22 January 2019 - 23:29 #1093182

เมื่อ Jean-Baptiste Kempf หนึ่งในทีมพัฒนาตอบกลับอย่างห้วนๆ ต่อการรายงานบั๊กขอให้ย้ายระบบอัพเดตไปยัง HTTPS ว่า "ไม่มีโมเดลการโจมตี ก็ไม่ใช่ช่องโหว่ความปลอดภัย"

จากลิ้งค์ bug report คนที่ตอบแบบนี้คือ Rémi Denis-Courmont ในคอมเมนต์ที่ 4 นะครับ ไม่ใช่ Kempf

By: lew
FounderJusci's WriterMEconomicsAndroid
on 24 January 2019 - 10:55 #1093399 Reply to:1093182
lew's picture

โอ พลาด แก้ไขตามนั้นครับ


lewcpe.com, @public_lewcpe