นักวิจัยชี้ คำตอบใน Stack Overflow มีปัญหาความถูกต้องในเรื่อง Security ของ Java

คงปฏิเสธไม่ได้อีกต่อไปแล้วว่า Stack Overflow นั้นคือแหล่งหาคำตอบของปัญหาใดๆ ด้านการเขียนโปรแกรมของเหล่าโปรแกรมเมอร์ทั่วโลก นักวิจัยจาก Virginia Tech จึงได้ทำการวิเคราะห์ว่าคำตอบบน Stack Overflow นั้นน่าเชื่อถือจริงหรือไม่ในคำถามเกี่ยวกับ Java โดยมุ่งเน้นไปที่การถามตอบเกี่ยวกับการเขียน Java ให้มีความมั่นคงปลอดภัยเป็นหลัก และพบว่าคำตอบบน Stack Overflow ยังมีความคลาดเคลื่อนอยู่เป็นอย่างมากในประเด็นดังกล่าว

Credit: ShutterStock.com

 

การวิจัยครั้งนี้ได้ทำการวิเคราะห์โพสต์บน Stack Overflow จำนวน 497 โพสต์เกี่ยวกับ Java Security เท่านั้น และพบว่าหลายๆ โพสต์นั้นแนะนำคำตอบแบบผิดๆ เช่น การแนะนำให้ใช้ MD5 และ SHA-1, การแนะนำให้ Trust SSL/TLS Certificate ทั้งหมดโดยไม่ต้องตรวจสอบ Error ใดๆ ไปจนถึงปิด SSL Security Check ไปเลย, แนะนำให้พัฒนาระบบยืนยันตัวตนด้วย Spring โดยปิดการตรวจสอบ Cross-Site Request Forgery เป็นต้น

นอกจากนี้ทีมวิจัยยังได้ออกมาสรุปด้วยว่า Spring นั้นถือเป็นหนึ่งใน Framework ที่มีปัญหาค่อนข้างมากกับด้าน Java Security ด้วยปริมาณการพูดคุยมากถึง 55% ในประเด็นด้าน Java Security ทั้งหมด โดย API ในส่วน Security ของ Spring นั้นมีความซับซ้อนสูง, มีเอกสารประกอบที่แย่ และมี Error Report ที่เข้าใจยาก

อีกประเด็นที่ควรระวังก็คือ ทีมวิจัยได้ออกมาเตือนว่าใน Stack Overflow นั้น หากมีคนดังคนใดตอบคำถามผิด คำตอบเหล่านั้นก็มักได้รับการยอมรับที่มากกว่าคนที่ดังน้อยกว่าซึ่งมาแก้ไขคำตอบเหล่านั้นให้ถูกต้อง

โดยสรุปแล้ว ทีมวิจัยก็ได้ให้คำแนะนำแก่เหล่าผู้พัฒนา Library ต่างๆ ว่าให้ตัด API หรือฟังก์ชันที่ไม่ปลอดภัยออกไปเลย อย่าเปิดให้ผู้ใช้งานเลือกใช้งานได้ รวมถึงเหล่าผู้พัฒนาเครื่องมือก็ควรจะพัฒนาความสามารถ Automated Security Checking กันให้มากขึ้น ในขณะที่เหล่าโปรแกรมเมอร์เองก็ควรจะต้องใช้เวลาในการทดสอบฟังก์ชันต่างๆ ทางด้านความปลอดภัยให้มากขึ้นด้วย อย่าเอาแต่ปิดฟังก์ชันนั้นๆ ทิ้งเพราะเจอปัญหา และหนทางที่ดีในการแก้ไขปัญหาใดๆ คือการศึกษาจากเอกสารคู่มืออย่างเป็นทางการจากผู้ผลิตเสียก่อน ไม่ใช่เชื่อแต่คำตอบในชุมชนที่มาถามตอบกันเท่านั้น

สำหรับงานวิจัยฉบับเต็มนี้มีชื่อว่า “Secure Coding Practices in Java: Challenges and Vulnerabilities” นะครับ ใครที่สนใจลองเข้าไปอ่านกันดูได้เลยครับ ส่วนใครที่ใช้ภาษาอื่นๆ เองก็สามารถนำคำแนะนำของทีมวิจัยไปใช้ได้เช่นกันครับ

 

ที่มา: https://www.theregister.co.uk/2017/09/29/java_security_plagued_stack_overflow/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Epicor แจกฟรี Whitepaper แนะแนวทางการทำ Digital Transformation สำหรับธุรกิจโรงงานโดยเฉพาะ

สำหรับเหล่าธุรกิจโรงงานและภาคการผลิตที่กำลังมองหาแนวทางการทำ Digital Transformation ด้วยการต่อยอดจากระบบ ERP เพื่อนำเทคโนโลยีใหม่ๆ และข้อมูลเข้ามาใช้เสริมประสิทธิภาพและสร้างนวัตกรรมใหม่ๆ ในการผลิต ทาง Epicor ผู้เชี่ยวชาญด้านระบบ ERP และ MES สำหรับโรงงาน …

Linux เริ่มแก้ไขปัญหา Y2038 ปัญหาคล้ายคลึงกับ Y2K ใน Linux Kernel 4.15 เพิ่มเติม

หากใครทันกับสมัยปัญหา Y2K ที่บรรดาซอฟต์แวร์ต่างๆ นั้นถูกพัฒนาด้วยการระบุจำนวนปีจากการใช้เลขท้าย 2 หลักของค.ศ. เพื่อรองรับการระบุเวลาในช่วง 1900 – 2000 นั้น ปัญหานี้อาจเกิดขึ้นอีกครั้งในปี 2038 จากการระบุเวลาด้วย Signed …