การเข้ารหัสแบบ MD5 ถือว่าไม่ปลอดภัยแล้วในยุคปัจจุบัน ล่าสุด Oracle แจ้งนโยบายใหม่ให้กับแพลตฟอร์ม Java ที่จะมองแพ็กเกจ JAR ที่เซ็นรับรอง (sign) ด้วยการเข้ารหัสแบบ MD5 ว่าไม่ปลอดภัย

แพลตฟอร์ม Java ใช้การเข้ารหัสแบบ MD5 เป็นดีฟอลต์สำหรับแพ็กเกจ JAR มาตั้งแต่ Java SE 6 ในปี 2006 แต่ตอนนี้ถึงเวลาต้องเปลี่ยนแล้ว (ค่าดีฟอลต์ปัจจุบันคือ SHA-2 ที่มาแทน SHA-1 ที่ไม่ปลอดภัยแล้วเช่นกัน)

Oracle แจ้งเตือนในหน้าดาวน์โหลด Java ว่าตั้งแต่ 18 เมษายน 2017 เป็นต้นไป ตัว Java Runtime Environment (JRE) ที่ได้รับแพตช์ April 2017 Critical Patch Update จะมองไฟล์แพ็กเกจ JAR ที่เซ็นรับรองด้วย MD5 ว่ามีสถานะเทียบเท่ากับแพ็กเกจที่ไม่ได้เซ็นรับรองใดๆ (unsigned) ผลคือ JRE จะไม่ยอมรันไฟล์ JAR เหล่านี้โดยดีฟอลต์ เว้นแต่ผู้ใช้เป็นคนกดอนุญาตด้วยตัวเองเป็นกรณีไป

Oracle ประกาศเรื่องนี้ไว้ตั้งแต่เดือนตุลาคมปีที่แล้ว และเอาขึ้นหน้าเว็บดาวน์โหลด Java อีกครั้งเพื่อให้ผู้ที่เกี่ยวข้องรับทราบกันมากขึ้น ใครที่ยังมีไฟล์ JAR ของเก่าที่ยังต้องใช้งานกันต่อ ก็คงต้อง sign กันใหม่

ที่มา - Oracle, Infoworld