นักวิจัยชี้ คำตอบใน Stack Overflow มีปัญหาความถูกต้องในเรื่อง Security ของ Java

คงปฏิเสธไม่ได้อีกต่อไปแล้วว่า Stack Overflow นั้นคือแหล่งหาคำตอบของปัญหาใดๆ ด้านการเขียนโปรแกรมของเหล่าโปรแกรมเมอร์ทั่วโลก นักวิจัยจาก Virginia Tech จึงได้ทำการวิเคราะห์ว่าคำตอบบน Stack Overflow นั้นน่าเชื่อถือจริงหรือไม่ในคำถามเกี่ยวกับ Java โดยมุ่งเน้นไปที่การถามตอบเกี่ยวกับการเขียน Java ให้มีความมั่นคงปลอดภัยเป็นหลัก และพบว่าคำตอบบน Stack Overflow ยังมีความคลาดเคลื่อนอยู่เป็นอย่างมากในประเด็นดังกล่าว

Credit: ShutterStock.com

 

การวิจัยครั้งนี้ได้ทำการวิเคราะห์โพสต์บน Stack Overflow จำนวน 497 โพสต์เกี่ยวกับ Java Security เท่านั้น และพบว่าหลายๆ โพสต์นั้นแนะนำคำตอบแบบผิดๆ เช่น การแนะนำให้ใช้ MD5 และ SHA-1, การแนะนำให้ Trust SSL/TLS Certificate ทั้งหมดโดยไม่ต้องตรวจสอบ Error ใดๆ ไปจนถึงปิด SSL Security Check ไปเลย, แนะนำให้พัฒนาระบบยืนยันตัวตนด้วย Spring โดยปิดการตรวจสอบ Cross-Site Request Forgery เป็นต้น

นอกจากนี้ทีมวิจัยยังได้ออกมาสรุปด้วยว่า Spring นั้นถือเป็นหนึ่งใน Framework ที่มีปัญหาค่อนข้างมากกับด้าน Java Security ด้วยปริมาณการพูดคุยมากถึง 55% ในประเด็นด้าน Java Security ทั้งหมด โดย API ในส่วน Security ของ Spring นั้นมีความซับซ้อนสูง, มีเอกสารประกอบที่แย่ และมี Error Report ที่เข้าใจยาก

อีกประเด็นที่ควรระวังก็คือ ทีมวิจัยได้ออกมาเตือนว่าใน Stack Overflow นั้น หากมีคนดังคนใดตอบคำถามผิด คำตอบเหล่านั้นก็มักได้รับการยอมรับที่มากกว่าคนที่ดังน้อยกว่าซึ่งมาแก้ไขคำตอบเหล่านั้นให้ถูกต้อง

โดยสรุปแล้ว ทีมวิจัยก็ได้ให้คำแนะนำแก่เหล่าผู้พัฒนา Library ต่างๆ ว่าให้ตัด API หรือฟังก์ชันที่ไม่ปลอดภัยออกไปเลย อย่าเปิดให้ผู้ใช้งานเลือกใช้งานได้ รวมถึงเหล่าผู้พัฒนาเครื่องมือก็ควรจะพัฒนาความสามารถ Automated Security Checking กันให้มากขึ้น ในขณะที่เหล่าโปรแกรมเมอร์เองก็ควรจะต้องใช้เวลาในการทดสอบฟังก์ชันต่างๆ ทางด้านความปลอดภัยให้มากขึ้นด้วย อย่าเอาแต่ปิดฟังก์ชันนั้นๆ ทิ้งเพราะเจอปัญหา และหนทางที่ดีในการแก้ไขปัญหาใดๆ คือการศึกษาจากเอกสารคู่มืออย่างเป็นทางการจากผู้ผลิตเสียก่อน ไม่ใช่เชื่อแต่คำตอบในชุมชนที่มาถามตอบกันเท่านั้น

สำหรับงานวิจัยฉบับเต็มนี้มีชื่อว่า “Secure Coding Practices in Java: Challenges and Vulnerabilities” นะครับ ใครที่สนใจลองเข้าไปอ่านกันดูได้เลยครับ ส่วนใครที่ใช้ภาษาอื่นๆ เองก็สามารถนำคำแนะนำของทีมวิจัยไปใช้ได้เช่นกันครับ

 

ที่มา: https://www.theregister.co.uk/2017/09/29/java_security_plagued_stack_overflow/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gartner ออก Magic Quadrant ทางด้าน IDS/IPS ประจำปี 2018

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Intrusion Detection and Prevention Systems (IDPS) ประจำปี 2018 ผล …

True IDC เชิญร่วมงาน Cloud Talk AWS Workshop Series EP.7 Application Service: SQS, SWF, SNS, API Gateway

True IDC ผู้ให้บริการโซลูชันระบบ Cloud และ Data Center ชั้นนำของไทย ขอเชิญผู้ที่สนใจเข้าร่วมงาน Cloud Talk AWS Workshop Series EP.7 …