iOS และ OS X มีช่องโหว่ SSL ตั้งแต่ตุลา 2013, นักวิจัยเตือนผู้ใช้ OS X ย้ายไปใช้ OS อื่นก่อนชั่วคราว
จากปัญหา Apple ใส่โค้ด goto fail; เกินมา 1 บรรทัด ทำให้ไม่สามารถตรวจสอบใบรับรอง SSL ที่ผิดพลาดได้ ซึ่งปัญหาที่ว่าเกิดขึ้นทั้งใน iOS และ OS X นักวิจัยได้ตรวจสอบข้อมูลซอร์สโค้ดย้อนหลังแล้วพบว่าโค้ดเจ้าปัญหานี้ถูกใส่เข้ามาในระบบตั้งแต่ช่วงก่อนหน้าเดือนตุลาคม ปี 2013 ทำให้ iOS 6.1, iOS 7 และ OS X 10.9 ได้รับผลกระทบจากช่องโหว่ที่ว่านี้ (@thegrugq, @Pod2G)
นักวิจัยด้านความมั่นคงปลอดภัยหลายรายได้ออกมาแจ้งเตือนผู้ที่ยังใช้งาน iOS รุ่นต่ำกว่า 6.1.6 และ 7.0.6 ให้รีบอัพเดตทันที ส่วนผู้ที่ใช้ OS X ให้หยุดใช้งานก่อนชั่วคราว จนกว่าจะมีแพตช์อย่างเป็นทางการออกมา (@Pod2G, @declanm) เพราะความเสียหายจากช่องโหว่นี้ ไม่ใช่แค่ผู้ไม่หวังดีจะสามารถดักอ่านข้อมูลด้วยวิธี Man-in-the-Middle ได้เท่านั้น แต่ยังสามารถส่งโค้ดอันตรายอะไรก็ได้มารันในเครื่องของผู้ใช้ (Remote Code Execution) โดยอาจใช้วิธีการโจมตีโปรแกรมประเภท Auto update ที่เชื่อมต่อผ่าน SSL แต่ไม่ได้มีการตรวจสอบความถูกต้องของไฟล์อัพเดต (@CrowdStrike)
เนื่องจากว่าซอร์สโค้ดส่วนที่ใช้ตรวจสอบใบรับรอง SSL มีการเปิดเผยต่อสาธารณะ ทำให้นักวิจัยด้านความมั่นคงปลอดภัยชื่อ Stefan Esser (@i0n1c) ได้พัฒนาแพตช์ขึ้นมาเพื่อใช้แก้ไขช่องโหว่นี้ใน OS X 10.9.x อย่างไรก็ตามตัวแพตช์นี้ทำขึ้นมาเพื่อใช้แค่ทดสอบว่าสามารถอุดช่องโหว่ที่โค้ดตรงส่วนนี้ได้หรือไม่แค่นั้น แต่ไม่ใช่แพตช์อย่างเป็นทางการจาก Apple และไม่แนะนำให้เอาไปติดตั้งใช้งานในระบบจริง ใครสนใจสามารถดูข้อมูลเพิ่มเติมได้ที่เว็บไซต์ SektionEins
ใครที่ต้องการตรวจสอบว่าระบบที่ใช้งานอยู่ถูกแก้ปัญหาช่องโหว่ SSL หรือยัง สามารถตรวจสอบได้ที่เว็บไซต์ goto fail; และสำหรับใครที่ยังจำเป็นต้องใช้งาน OS X อยู่ ในระหว่างที่ยังรอแพตช์จาก Apple อาจเปลี่ยนไปใช้ Chrome แทน Safari ไปก่อนได้ เพราะ Chrome ใช้ไลบรารี NSS ในการตรวจสอบ SSL/TLS ไม่ได้ใช้ฟังก์ชันของระบบปฏิบัติการ (@0xabad1dea) แต่อย่างไรก็ตาม เพื่อความปลอดภัย ในระหว่างนี้หากต้องเชื่อมต่อกับ Wi-Fi สาธารณะ ยังไม่ควรเปิดใช้งานโปรแกรมอื่นๆ ที่ต้องใช้การเชื่อมต่อแบบ SSL (เช่น โปรแกรมจดบันทึกรหัสผ่าน หรือโปรแกรมธุรกรรมออนไลน์) และควรหลีกเลี่ยงการใช้งานฟังก์ชัน Auto update ของโปรแกรมต่างๆ ไปก่อนจนกว่า Apple จะยอมแก้ปัญหาให้
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
แพทช์ => แพตช์
อ๊ะ ขอบคุณครับ นึกว่าแก้หมดแล้วเชียว ;3;
คนส่วนมากก็ Bootcamp วินโดวส์อยู่แล้วนี่?
ทำไมคิดแบบนั้นล่ะครับ?
งั้นผมเป็นส่วนน้อย
ต้องถามว่า เขาใช้ตลอดเวลาหรือเปล่าครับ
ผมก็เป็นคนส่วนน้อยละสิ :)
ผมเป็นส่วนน้อยนิดครับ
เปิด Parallels ครับ ฮ่าๆ
เสียบ flashdrive ที ยัดเข้า OS X ปลอดภัยดี
คนส่วนมากผมถ้าใช้เครื่อง mac ก็ใช้แต่ os x ถ้าไม่ใช่เครื่อง mac ก็ linux....รายล้อมด้วย geek กับ otaku ^^
ถ้ารอบ ๆ เก็ยเกมเมอร๋ ก็อาจจะคนละเรื่อง
ตั้งแต่ซื้อ macbook มา ยังไม่เคยใช้ bootcamp เลยครับ ผมก็ส่วนน้อยอีกคน
รู้สึกคนส่วนมากของคุณ จะไม่ได้อยู่ในสังคมนี้นะครับ
มวลมหาประชาชนส่วนน้อย
ขอเป็นชนกลุ่มน้อยด้วยคน
:-)
ผมก็ส่วนน้อย ครับ 555
ใช้ Bootcamp วินโดวส์ ช่วงแรกที่โอนย้ายไฟล์ ประมาณเดือนนึงตอนซื้อ MAC ใหม่ๆ หลังจากนั้นลบทิ้งเลย และตลอด 6 ปีที่ใช้ OSX ก็ไม่เคยใช้ Bootcamp วินโดวส์ บน OSX อีกเลย
ผมว่าคนส่วนมากคนที่ซื้อ mac เพราะต้องการใช้ mac ส่วน Bootcamp มันส่วนน้อย
หลักๆ เลย hardware ทำงานได้ไม่ 100% อย่างน้อยๆ ก็ keyboard ล่ะ ใช้แล้วหงุดหงิดมาก =*=)
เพิ่งรู้นะเนี่ยว่าผมเป็นส่วนน้อย
ลงชื่อร่วมเป็นคนส่วนน้อยครับ
May the Force Close be with you. || @nuttyi
ถึงผมซื้อแมค (ถ้าซื้อจริงก็นะเอาแค่ Mac mini พอ) ผมก็ไม่ลง Bootcamp ครับ ขอเป็นคนส่วนน้อยครับ
Coder | Designer | Thinker | Blogger
Bootcamp คืออัลลัย
ผมก็ส่วนน้อยสินะ
ไม่เคยแตะ bootcamp
โอ๊ะ เราเป็นคนส่วนน้อยด้วย
มีแมคก็ใช้แมคสิ :)
เป็นคนส่วนน้อยด้วย กลับไปใช้ windowsแล้วหงุดหงิดทุกที
เอาตรงๆ แบบไม่โลกสวยนะครับ ที่ที่ผมอยู่เนี่ย สิ่งที่คอมเมนต์นี้ว่าก็เป็นจริงนะครับ
คือซื้อแมคบุ้คมาใช้วินโดวส์กันเป็นเรื่องปกตินี่แหละครับ จนผมชินตาไปแล้ว
ผมเคยถามว่าทำไมคนใช้เครื่องแมค ไม่ไปใช้ OS X คำตอบอยู่ที่ Office เป็นปัจจัยสำคัญเลยครับ เนื่องด้วยคนอย่างผมจำเป็นต้องใช้ Word กับ PowerPoint กันเป็นเรื่องปกติอยู่แล้ว และฟอร์แมทของเอกสารสำคัญมากด้วย ซึ่ง iWork รวมถึง Office for Mac ไม่ตอบโจทย์จริงๆ
ส่วนที่ทำไมต้องซื้อเครื่องแมคทั้งๆ ที่นำมาใช้กับวินโดวส์เป็นหลัก ก็เพราะเป็นเรื่องแบรนด์ คุณภาพ ภาพลักษณ์ และใช้ iPhone อยู่ด้วยไงครับ
ดังนั้นเรื่องคนซื้อเครื่องแมคมาใช้วินโดวส์ เป็นเรื่องปกติมากๆ ที่ผมเจอ
แต่คนที่นี่ซึ่งเป็นระดับ geek ทั้งนั้น ก็ไม่แปลกที่จะซื้อ Mac เพื่อมาใช้ OS X จริงๆ ครับ เพราะในมุมมองของ geek มองว่าเมื่อซื้อ Mac มา ก็ต้องคู่กับการใช้ OS X อยู่แล้ว
คือกลุ่มแบบนั้นก็มีเยอะอยู่ครับ ผมก็เห็น แต่ผมว่าไม่ถึงขนาดว่าเป็นส่วนมากนะ
จากประสบการณ์ที่ผ่านมานี่ยังไม่ค่อยเจอใครที่ใช้ bootcamp สักเท่าไหร่นะครับ มันคงอยู่ที่ว่าเราไปอยู่ในกลุ่มสังคมแบบไหน อย่างที่คุณ illusion ว่ามานั่นแหละครับ
คนส่วนน้อยอีกคนครับ แรกๆ ก็ลงไว้นะครับ bootcamp แต่มันเปลือง storage มาก ยิ่ง macbook air ด้วยแล้ว... มันอยู่ในเครื่องผมแค่ตอนแรกๆ หลังจากซื้อมาใหม่ๆ เท่านั้นแหละครับ ตอนนี้ลบไปหมดแล้ว
word, excel ยังมีใช้บ้าง แต่ก็จะใช้บน windows7 ของ workstation ที่ออฟฟิตแทน และถ้าหากอยู่ข้างนอกก็ remote desktop เข้าไปเพื่อใช้ word, excel ได้ครับ (แอบ nat ip จริงไว้)
ผมก็เป็นคนส่วนน้อยนะครับ
ไม่ได้ลง bootcamp เลยด้วยซ้ำครับ
ผมใช้แต่แมค ถ้าจะเข้าวินโดวก็เปิด VM เอา
แมคเหมาะสำหรับทำงานมากกว่าวินโดวอยุ่แล้ว
ไม่เหมาะแค่เรื่องเล่นเกม
ว่าแต่เมื่อไหร่ไอ้สไตล์การเขียน code แบบ if / for กับ statement เดียวแล้วยอมไม่มีวงเล็บปีกกามันจะหมดไปซักที ไม่ได้เขียน python นะยอมเปลืองหน่อยก็ได้ :/
งั้นใช้ condition?true:false แทนก็ได้ :P
ปล.ส่วนตัวผมชอบใช้นะแบบไม่มีวงเล็บปีกกา ประหยัดเวลาพิมพ์ได้อีกนิดนึงก็ยังดี
สับสนอะไรหรือเปล่าครับ
cond ? on_true : on_false ;นี่สำหรับ expression เท่านั้นนะครับ statement ไม่ได้ แถมยังบังคับว่าต้องมีทั้งกิ่งon_trueและon_falseทั้งคู่ ไม่เหมือนกับifที่ไม่จำเป็นต้องมีelseก็ได้ปล.ขอให้เจอ bug บ่อยๆ :P
สำหรับผมมันคือวิธีเขียนแบบต้องห้ามครับ ประหยัดเวลานิดเดียว แต่บั๊กมาทีหากันหัวแตก แถมขอบเขตไม่ชัดเจนด้วย งานมีความเป็นไปได้ที่คนอื่นเค้าต้องมาสานต่อเราอีก ลดปัญหาก็ตัดวิธีแบบนี้ไปเลย
เห็นด้วยครับ ผมเขียนภาษา COBOL อยู่ ขอกราบให้เขียนปีกกาเถอะครับ
เห็นด้วยคนครับ
ถ้าเป็นโปรเจ็ค หรือโปรแกรมที่ต้องทำงานร่วมกับคนอื่น ถึงทั้งไฟล์มีโค๊ดอยู่ 10 บรรทัดผมก็เขียนฮะ
ไอ้ของอย่างนี้มันแล้วแต่ความชอบของคนครับ บางคนเขาเขียนแบบนี้แล้วไม่มีปัญหาก็มี
มันจะมีปัญหาตอนให้คนอื่นมาอ่านนั่นแหละครับ
onedd.net
แล้วคนที่เขียนไว้ก็จะจามด้วยแรงอาฆาต Σ:o
ถ้าเราไปดูโค้ดคนอื่น แล้วเราไม่ชอบ style บางอย่างของคนเขียนโค้ด ซึ่งคนบางกลุ่มก็เป็นเหมือนเราและมีเหตุผลที่ควรแก้เหมือนกัน (เหตุผลมีได้ร้อยแปด) เราควรบอกให้เขาแก้ไหมครับ
ผมเคยอ่านในหนังสือ จำไม่ได้แล้วครับว่าอันไหน คนเขียนบอกว่า style การเขียนโค้ดของโปรแกรมเมอร์เป็นเหมือนคล้าย ๆ ประเด็นความเชื่อทางศาสนา เราอย่าไปบังคับโปรแกรมเมอร์ให้เปลี่ยนตามที่เราต้องการ
ควรบอกให้แก้ครับ ส่วนคุณจะแก้หรือไม่แก้อันนี้ก็ขึ้นอยู่กับการตัดสินใจของคุณ ถ้าเหตุผลที่ผมข้อให้แก้มันไม่ดีพอก็ไม่ต้องแก้ มองในแง่ดีนะถ้าคุณให้เหตุผลผมกลับมาว่าทำไมถึงไม่แก้ แล้วผมยอมรับได้ ผมก็จะเข้าใจว่าสไตล์การเขียนแบบนี้มันก็มีข้อดีของมัน ในอนาคตผมก็ไม่ติดใจอีกถ้าเจอใครเขียนแบบนี้ และถ้าเหตุผลคุณดีมากๆ ผมอาจจะเห็นด้วยกับสไตล์การเขียนแบบนั้น แล้วก็กลับไปเปลี่ยนโค้ดของผมให้เป็นสไตล์แบบคุณก็ได้
คนเรานับถือศาสนาได้ ก็เปลี่ยนศาสนาหรือเลิกนับถือศาสนาได้ครับ ผมไม่ได้บังคับให้ใครๆ เปลี่ยนศาสนานะ แค่เสนอแนะแนวทางแก้ไขกับเรื่องที่ผมเห็นว่ามันมีความเสี่ยงที่จะผิดพลาดในอนาคตได้ครับ
นี่คือ 1 ในเหตุผลว่าทำไม Geek ถึงหาแฟนไม่ค่อยได้กัน :P
เหรอครับ
ใครอยากเขียนยังไงก็เขียนไปครับ
ออกจากบริษัทไปแล้วก็คนที่มาดูแลโค้ดแทนบ่นว่าอ่านยากก็คงไม่ได้ยินอยู่ดี
ปล. ผมเคยโง่เพิ่มบรรทัดคำสั่งลงไปใน if clause ที่เคยมีบรรทัดเดียวแล้วไม่ได้ใส่ปีกกาแล้วไม่ทันสังเกต รันออกมางานผิด หาอยู่ห้านาทีก็รู้ว่าโง่เอง แก้ใหม่ก็แป๊บเดียวแหละ แต่ถ้าเลือกได้ใช้ปีกกาครอบไว้ก็ไม่เสียเพิ่มห้านาทีแล้วแท้ๆ
onedd.net
มันมี practice หลายอย่างที่ไม่ควรทำโดยทั่วไปครับ อย่างพวก one-liner ทั้งหลาย ไม่ว่าภาษาใดๆ coding style บริษัทไหนๆ ก็ไม่แนะนำให้ทำกัน หรืออย่าง goto ก็ไม่แนะนำกันโดยทั่วไป
ตรงข้ามกับความเชื่อของคุณ (และคนเขียนหนังสือที่คุณอ้าง) หน่วยงานสมัยนี้ต้องมี coding style กลางเพื่อให้โค้ดอ่านเข้าใจได้ตรงกันได้รวดเร็ว เพิ่มประสิทธิภาพการทำงานโดยรวม สิบคนสิบลายมือ ร้อยคนร้อยลายมือ แก้โค้ดคนอื่นทีอ่านไม่เข้าใจใช้เวลาปรับใหม่นี่บริษัทขนาดใหญ่แย่กันพอดีครับ
ตัวอย่าง Google C++ Style Guide, GNU Coding Standard, Mozilla Coding Style
โปรเจคพวกนี้รับโค้ดจากโปรแกรมเมอร์จำนวนมาก หลายโปรเจคโปรแกรมเมอร์ส่วนใหญ่ไม่ได้เป็นพนักงานประจำ โปรแกรมเมอร์เหล่านี้ต้องปรับเปลี่ยนทั้งนั้นครับ
lewcpe.com, @wasonliw
เครื่องใคร Jailbreak สามารถปิดช่องโหว่นี้ได้ด้วย SSLPatch ครับ ไม่ต้องอัพ iOS ก็ได้
Source : http://rpetri.ch/repo/
ปล. คนทำ SSLPatch คือ Ryan Petrich ผู้พัฒนา Activator ไว้ใจได้ครับ
แทบไม่เคยเปิด safari เลยย 555