TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ถือว่าเป็นข่าวดีสำหรับนักพัฒนา Google App Engine ซึ่ง Google ได้เปิดตัวระบบตรวจสอบความปลอดภัยของแอพพลิเคชัน ที่เน้นการตรวจจับ Cross-Site Scripting (XSS) และช่องโหว่ประเภท Mixed Content อื่นๆ รวมทั้งสามารถตรวจสอบเว็บแอพพลิเคชันที่นิยมพัฒนาโดย JavaScript ได้เป็นอย่างดี
“การตรวจสอบช่องโหว่บนแอพพลิเคชันที่พัฒนาโดย HTML5 และ JavaScript ที่มาพร้อมกับ User Interface อันซับซ้อน อลังการงานสร้างเป็นอะไรที่ท้าทายมากกว่าการตรวจสอบบนหน้า HTML ธรรมดาอย่างเห็นได้ชัด” — Rob Mann ผู้จัดการด้านวิศวกรรมความปลอดภัยของ Google ให้ความเห็น
Google ระบุว่า Cloud Security Scanner ช่วยขจัดจุดอ่อนในการตรวจสอบช่องโหว่ของ Scanner ปกติที่มักมีปัญหาในเรื่องของการ Parsing HTML และจำลองการทำงานของ Browser รวมทั้ง Google Scanner มีระบบตรวจสอบอันทรงพลัง คือ ใช้ Botnet จาก Virtual Chrome Workers หลายร้อยเครื่องในการค้นหาช่องโหว่ของเว็บไซต์ แต่ไม่ถึงกับเป็นการรุมโจมตีจนเว็บไซต์นั้นใช้งานไม่ได้
สำหรับการตรวจสอบช่องโหว่ XSS ทาง Google Scanner ได้ใช้ Chrome DevTools ซึ่งรู้จักการทำงานของ JavaScript เป็นอย่างดีช่วยในการตรวจสอบ ทำให้เกิด False Positive ต่ำ หรืออาจจะไม่มีเลย อย่างไรก็ตาม วิธีนี้ไม่สามารถตรวจสอบบั๊คหรือช่องโหว่ที่เฉพาะเจาะจงสำหรับแอพพลิเคชันนั้นๆได้ ดังนั้นแล้ว การรีวิวความปลอดภัยของแอพพลิเคชันยังเป็นเรื่องสำคัญในการที่จะมั่นใจได้ว่า แอพพลิเคชันของตนเองปลอดภัย
Google Cloud Security Scanner ปัจจุบันอยู่ในช่วงการทดสอบ (เวอร์ชันเบต้า) ซึ่งสามารถใช้งานได้ผ่านทาง Developers Console ของ Google (Compute > App Engine > Security Scans)
