Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

นักวิจัยชี้ คำตอบใน Stack Overflow มีปัญหาความถูกต้องในเรื่อง Security ของ Java

คงปฏิเสธไม่ได้อีกต่อไปแล้วว่า Stack Overflow นั้นคือแหล่งหาคำตอบของปัญหาใดๆ ด้านการเขียนโปรแกรมของเหล่าโปรแกรมเมอร์ทั่วโลก นักวิจัยจาก Virginia Tech จึงได้ทำการวิเคราะห์ว่าคำตอบบน Stack Overflow นั้นน่าเชื่อถือจริงหรือไม่ในคำถามเกี่ยวกับ Java โดยมุ่งเน้นไปที่การถามตอบเกี่ยวกับการเขียน Java ให้มีความมั่นคงปลอดภัยเป็นหลัก และพบว่าคำตอบบน Stack Overflow ยังมีความคลาดเคลื่อนอยู่เป็นอย่างมากในประเด็นดังกล่าว

Credit: ShutterStock.com

 

การวิจัยครั้งนี้ได้ทำการวิเคราะห์โพสต์บน Stack Overflow จำนวน 497 โพสต์เกี่ยวกับ Java Security เท่านั้น และพบว่าหลายๆ โพสต์นั้นแนะนำคำตอบแบบผิดๆ เช่น การแนะนำให้ใช้ MD5 และ SHA-1, การแนะนำให้ Trust SSL/TLS Certificate ทั้งหมดโดยไม่ต้องตรวจสอบ Error ใดๆ ไปจนถึงปิด SSL Security Check ไปเลย, แนะนำให้พัฒนาระบบยืนยันตัวตนด้วย Spring โดยปิดการตรวจสอบ Cross-Site Request Forgery เป็นต้น

นอกจากนี้ทีมวิจัยยังได้ออกมาสรุปด้วยว่า Spring นั้นถือเป็นหนึ่งใน Framework ที่มีปัญหาค่อนข้างมากกับด้าน Java Security ด้วยปริมาณการพูดคุยมากถึง 55% ในประเด็นด้าน Java Security ทั้งหมด โดย API ในส่วน Security ของ Spring นั้นมีความซับซ้อนสูง, มีเอกสารประกอบที่แย่ และมี Error Report ที่เข้าใจยาก

อีกประเด็นที่ควรระวังก็คือ ทีมวิจัยได้ออกมาเตือนว่าใน Stack Overflow นั้น หากมีคนดังคนใดตอบคำถามผิด คำตอบเหล่านั้นก็มักได้รับการยอมรับที่มากกว่าคนที่ดังน้อยกว่าซึ่งมาแก้ไขคำตอบเหล่านั้นให้ถูกต้อง

โดยสรุปแล้ว ทีมวิจัยก็ได้ให้คำแนะนำแก่เหล่าผู้พัฒนา Library ต่างๆ ว่าให้ตัด API หรือฟังก์ชันที่ไม่ปลอดภัยออกไปเลย อย่าเปิดให้ผู้ใช้งานเลือกใช้งานได้ รวมถึงเหล่าผู้พัฒนาเครื่องมือก็ควรจะพัฒนาความสามารถ Automated Security Checking กันให้มากขึ้น ในขณะที่เหล่าโปรแกรมเมอร์เองก็ควรจะต้องใช้เวลาในการทดสอบฟังก์ชันต่างๆ ทางด้านความปลอดภัยให้มากขึ้นด้วย อย่าเอาแต่ปิดฟังก์ชันนั้นๆ ทิ้งเพราะเจอปัญหา และหนทางที่ดีในการแก้ไขปัญหาใดๆ คือการศึกษาจากเอกสารคู่มืออย่างเป็นทางการจากผู้ผลิตเสียก่อน ไม่ใช่เชื่อแต่คำตอบในชุมชนที่มาถามตอบกันเท่านั้น

สำหรับงานวิจัยฉบับเต็มนี้มีชื่อว่า “Secure Coding Practices in Java: Challenges and Vulnerabilities” นะครับ ใครที่สนใจลองเข้าไปอ่านกันดูได้เลยครับ ส่วนใครที่ใช้ภาษาอื่นๆ เองก็สามารถนำคำแนะนำของทีมวิจัยไปใช้ได้เช่นกันครับ

 

ที่มา: https://www.theregister.co.uk/2017/09/29/java_security_plagued_stack_overflow/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

4 Session ห้ามพลาดกับ VMware Blockchain ในงาน VMworld 2020 พร้อมลุ้นรับ iPad และของรางวัลอีกมากมาย วันที่ 30 ก.ย. – 1 ต.ค. 2020

ในงาน VMworld 2020 ที่กำลังจะจัดขึ้นในวันที่ 30 ก.ย. - 1 ต.ค. 2020 นี้ ทาง VMware มี Session แยกเฉพาะสำหรับเทคโนโลยี Enterprise Blockchain เพื่อให้ผู้ที่สนใจได้เข้าไปเรียนรู้และทำแล็บกันฟรีๆ พร้อมลุ้นรับ iPad และของรางวัลอีกมากมายได้ง่ายๆ จากชุมชน VMUG Thailand โดยมีรายละเอียดการลงทะเบียนเข้าร่วมงานและทำแล็บดังนี้

[Guest Post] ไมโครซอฟท์ ประกาศพร้อมเป็นกำลังสำคัญในการขับเคลื่อนและปฏิรูปการศึกษายกกำลังสอง ร่วมกับกระทรวงศึกษาธิการ ผ่านแพลตฟอร์มการเรียนการสอนออนไลน์ใหม่ภายใต้ชื่อ DEEP

ไมโครซอฟท์ ประกาศพร้อมเป็นกำลังสำคัญในการขับเคลื่อนและปฏิรูปการศึกษายกกำลังสอง ร่วมกับกระทรวงศึกษาธิการ ผ่านแพลตฟอร์มการเรียนการสอนออนไลน์ใหม่ ภายใต้ชื่อ DEEP มุ่งขยายโอกาสและเพิ่มประสิทธิภาพการเรียนรู้ผ่านเทคโนโลยี เพื่อนักเรียนและบุคลากรทางการศึกษาทั่วประเทศกว่า 10 ล้านคน