Tags:
Node Thumbnail

บริษัทความปลอดภัย Security Explorations จากประเทศโปแลนด์ เผยช่องโหว่ของบริการแอพบนกลุ่มเมฆ Google App Engine ทั้งหมด 7 จุด หลังจากติดต่อไปยังกูเกิลแล้วไม่ยอมแก้ไข และไม่สื่อสารกลับมาว่าจะดำเนินการอย่างไร

ช่องโหว่เหล่านี้เกี่ยวข้องกับการรันแอพ Java บน App Engine โดยระบบ sandbox ของกูเกิลเองเปิดช่องให้ถูกโจมตีได้ ทาง Security Explorations ส่งข้อมูลให้กูเกิลแต่ไม่ได้รับการติดต่อกลับ เมื่อรอเป็นเวลา 3 สัปดาห์ บริษัทจึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ

หลังข่าวนี้ออกมา โฆษกของกูเกิลออกมาแถลงว่าบริษัทรับทราบปัญหานี้แล้ว และกำลังเร่งแก้ไขอยู่

ช่วงไม่นานมานี้ กูเกิลดำเนินโครงการ Project Zero เผยช่องโหว่ของซอฟต์แวร์ต่างค่ายเมื่อครบกำหนด 90 วันหากไม่แก้ไข ซึ่งก็โดนวิพากษ์วิจารณ์อย่างมาก ข่าวนี้เป็นตัวอย่างที่ดีว่าเอาเข้าจริงแล้ว กูเกิลก็เพิกเฉยกับช่องโหว่ของซอฟต์แวร์ตัวเองเหมือนกัน

ที่มา - Ars Technica

Get latest news from Blognone

Comments

By: jaideejung007
ContributorWindows PhoneWindows
on 17 May 2015 - 09:22 #813303
jaideejung007's picture

ถามเป็นความรู้นะครับ

คือ พอจะทราบเหตุผลไหมว่าทำไม GG ถึงไม่ยอมติดต่อกลับผู้แจ้งบั๊กเข้าไป

อย่างน้อยก็น่าจะบอกว่า

"โอเคจ๊ะ รับแซ่บ เดี๋ยวรีบดำเนินการแก้ไขทันทีนะ จุบุๆ"

คือเขาไม่สะดวกตอบกลับเหรอครับ ผมงงตรงนี้มาก

หรือว่ามันต้องรอขั้นตอนอะไรอีกเหรอ ถึงจะตอบกลับไป

หรือว่าต้องรอให้เป็นข่าวหรือไฟลนก้นก่อนถึงจะทำ

ท่านใดที่คลุกคลีเกี่ยวกับงานประเภทนี้ มาเล่าสู่กันฟังทีครับ อยากรู้มากๆ กราบละ

By: dangsystem
iPhoneAndroidBlackberryWindows
on 17 May 2015 - 20:50 #813407 Reply to:813303
dangsystem's picture

"อำนาจ" พนักงานบางคนไม่มีอำนาจตอบ อะไรออกไปได้ คงต้อง รออนุมัติ จาก "ผู้มีอำนาจ" ซึ่งคนเหล่านี้ก็อาจจะยุ่งอยู่ พอว่างมา พนักงานก็คงลืมกันไปและก็มุ่งหน้าทำงานอื่น และที่สำคัญ ระบบใหญ่ๆ ไม่มีใครกล้าแก้ไขอะไร ตามอำเภอใจ อนุมัติกันหลายขั้นตอน กว่าจะได้แก้<<< ความเห็นส่วนตัว

By: pd2002 on 17 May 2015 - 09:45 #813306

Google เป็นแบบนี้แหละครับ report เป็นสิบๆรอบก็เงียบ แทบทุก services

By: readonly
iPhone
on 17 May 2015 - 10:31 #813316 Reply to:813306
readonly's picture

ทุกวันนี้ maps ยังบอกว่าบ้านผมเป็นโรงงานอะไรก็ไม่รู้อยู่เลย แจ้งไปหลายรอบแล้ว เงียบตลอด แถวบ้านผมก็มีตำแหน่งวัดชื่อเดียวกันสองที่ ตั้งอยู่หัวถนน (ของจริง) กับท้ายถนน (มั่ว)

By: Sabrekun on 17 May 2015 - 10:00 #813309
Sabrekun's picture

90 vs 21 ?

แต่ถึงยังไงก็เถอะ แค่ติดต่อกลับเนี่ย มันยากขนาดนั้นเลยเหรอ = w=)?

By: DashoIISO
ContributorWindows PhoneAndroidWindows
on 17 May 2015 - 10:29 #813314
DashoIISO's picture

สงสัยคนดูแล feedback แต่ละแอพจะมีคนเดียวละมั่ง คนแจ้งบั๊กเข้าไปมีแปดแสนคน คงขี้เกียจตอบกลับละ

By: slax
Windows PhoneAndroidRed HatUbuntu
on 17 May 2015 - 11:22 #813320

report ต่อวันคงมหาศาลน่าดูมั่งเดาเอา ไม่งันคงทำอะไรสักอย่างไปเล้ว เรื่องแบบนี้มันเสียเครดิตมาก

By: cartier
iPhoneAndroid
on 17 May 2015 - 11:30 #813322
cartier's picture

ยัง​จำ​ตอน​ที่​เล่น​ MS ได้​ เอา​ซะ​หนัก​
โดน​เอา​คืน​ซะ​แล้ว​ แต่​ตอน​ MS​ สามเดือน​ นี่​สาม​อาทิตย์​เอง​

By: osmiumwo1f
ContributorWindows PhoneWindows
on 17 May 2015 - 11:47 #813330 Reply to:813322
osmiumwo1f's picture

กรณีของ MS นั้นต่างกันครับ เพราะ MS ตอบกลับว่าจะแก้ และแก้แล้ว แล้วรอรอบปล่อยแพตช์ประจำเดือน ซึ่งรอบที่ว่ามันเกินกำหนดของ Google ไป 2 วันครับ แต่กรณีในข่าวนั้น Google ไม่ตอบกลับเลยจนกระทั่งโดนเอามาเปิดเผยครับ

By: PathSNW
iPhoneAndroidSymbianWindows
on 17 May 2015 - 11:31 #813324
PathSNW's picture

อย่างน้อยมีอีเมล์ตอบกลับแบบอัตโนมัติก็ยังดีนะ

By: มายองเนสจัง
iPhone
on 17 May 2015 - 12:05 #813332
มายองเนสจัง's picture

ทำคนอื่นไว้เยอะ โดนคืนบ้างก็ดี

By: proxima
iPhoneAndroid
on 17 May 2015 - 12:16 #813333
proxima's picture

สงสัยเป็น bug จาก java google แก้ไม่ได้

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 17 May 2015 - 12:29 #813334
Ford AntiTrust's picture

Google เป็บบริษัทบ้าบอท ถ้าเขียนอีเมลไม่ตรงตาม Pattern นี่ได้คุยกับคนจริงๆ ยากมาก ตอนมีปัญหา Google App for Business กว่าจะได้การตอบกลับช่วยเหลือจากคนจริงๆ เป็นอาทิตย์ สรุปย้ายออกมาใช้อีกยี่ห้อ เวลามีปัญหา เปิด ticket ทำตาม wizard รอบนึงเพื่อ screen ปัญหาแล้วมีคน support ทันที อุ่นใจกว่าเยอะเลย ><"

By: wichate
Android
on 17 May 2015 - 14:02 #813347 Reply to:813334

google เกิดขึ้นเพราะ bot และอนาคตทุกอย่างจะขับเคลื่อนด้วย bot แนวทางการทำทุกอย่างด้วย bot นั่นถูกต้องแล้ว แต่ยังเร็วเกินไปสำหรับยุคปัจจุบัน

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 17 May 2015 - 14:45 #813353 Reply to:813347
Ford AntiTrust's picture

งั้นก็อย่าเพิ่งได้เงินจากผมไป

By: crucifier
iPhoneAndroidUbuntu
on 17 May 2015 - 15:50 #813360 Reply to:813334

เปลี่ยนไปใช้อะไรครับ ผมอยากย้ายบ้างละ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 17 May 2015 - 17:36 #813374 Reply to:813360
Ford AntiTrust's picture

ส่วนที่ใช้ Google Apps For Business ผมย้ายมา Office 365 แต่กำลังดูๆ ว่า Amazon WorkMail เป็นยังไง เพราะตอนนี้ยัง preview อยู่เพราะถูกกว่า Office 365 อยู่ 1 usd (คนใช้เป็นร้อยคนก็ประหยัดได้เยอะนะ)

ส่วน Google App Engine นี่ ใช้ AWS หรือ Azure แทนไป ส่วนใหญ่จะใช้ AWS กันเพราะข้อมูลเยอะ support ใช้ได้ Azure นี่ เปิด ticket แล้ว support ไวดี (ซื้อความไวเพิ่มได้)

อันนี้แล้วแต่คนเจอปัญหาในการใช้งาน support ครับ ตอนขายงาน ตอนใช้น่ะอาจโอเค แต่พอมีปัญหา ต้องการ support นี่เห็นความต่างชัดเลย ><"

By: langisser
In Love
on 17 May 2015 - 13:51 #813344

Google เค้าไม่อยากยอมรับว่ามี bug หรือเปล่ากะเนียน บอกอีกทีตอนแก้เสร็จแล้ว หรือไม่บอกเลยก็ได้

By: Architec
ContributorWindows PhoneAndroidWindows
on 17 May 2015 - 14:02 #813348

จำได้ว่ามีโฆษกหรือวิศวกรออกมา "แถ" ว่าคนใช้งานไม่รู้กี่ล้านจะ Support ยังไง มันก็เลยกากอย่างที่เห็น (เรื่องปกติขององค์กรขนาดใหญ่)

By: Yone on 17 May 2015 - 15:30 #813358 Reply to:813348

เคยอ่านผ่านๆ เหมือนกัน ล้มตึงเลยทีเดียว
ขายของก็ใช่จะถูก

By: nottoscale
Windows Phone
on 17 May 2015 - 14:21 #813352

ดูแล้วคงจ้างคนไว้น้อยไม่อยากเสียค่าใช้จ่าย นึกถึงห้างดิสเคาท์สโตร์ที่พยายามนำระบบอัตโนมัติมาใช้ให้ลูกค้าบริการตัวเองเพื่อลดค่าใช้จ่าย

By: cmmadnat
iPhoneUbuntuWindows
on 17 May 2015 - 17:58 #813380

App Engine บั๊กเยอะมาก

ไม่เชื่อผม ลองสร้างแอพ แล้วอัพโหลดไฟล์ชื่อภาษาไทยดูสิ อิอิ