By: lew 
on 20 October 2017 - 23:56
Tags:
Topics:
เมื่อวานนี้ไมโครซอฟท์เขียนรายงานเรื่องช่องโหว่ระดับสูงของเบราว์เซอร์โครม และวิจารณ์ที่ทีมพัฒนาตัดสินใจปล่อยแพตช์แก้ช่องโหว่ทันทีแม้ตัวอัพเดตยังไปไม่ถึงผู้ใช้ วันนี้ Ben Hawkes หัวหน้า Project Zero ก็ทวีตแสดงความเห็นเรื่องนี้ โดยระบุว่าทีมงาน Project Zero เคยคุยกับทีมพัฒนาของกูเกิลเองทั้งโครมและแอนดรอยด์ รวมถึงแอปเปิล ในประเด็นระยะเวลาระหว่างการปล่อยโค้ดกับการปล่อยอัพเดตไบนารี
ทีมงาน Project Zero ชี้ว่าแฮกเกอร์มีแนวโน้มจะมองโค้ดเพื่อหาช่องโหว่ให้ได้ก่อนคนอื่นยิ่งกว่านักพัฒนาปกติ (ทำให้ช่องโหว่รั่วออกไปได้เร็วกว่าที่คิด) อย่างไรก็ตามทีมพัฒนายอมรับได้กับความเสี่ยงที่เกิดขึ้น ตัว Hawkes ระบุว่าผู้ผลิตแต่ละรายก็มีเหตุผลสำหรับแนวทางของตนเอง การที่นักวิจัย (ในกรณีนี้คือ Microsoft OSR) แสดงความเห็นก็เป็นเรื่องที่ถูกต้องแล้ว เพื่อให้ผู้ผลิตนำความเห็นเหล่านี้ไปชั่งน้ำหนัก
เขาชื่นชมรายงานของไมโครซอฟท์และยืนยันว่าการวิจารณ์เช่นนี้ไม่ใช่การโจมตีทางการตลาดแต่อย่างใด แต่เป็นการพัฒนาความปลอดภัยโดยรวม
ที่มา - @benhawkes
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
นึกว่า fatal frame
แมนๆ ดี
MS ไปชี้ช่องจุดอ่อนช่องโหว่เขาทำไม ปล่อยให้โหว่อย่างนั้นจะดีกว่า
เป็นการตอบที่แมนมาก ยอมรับแบบแมนๆ ว่าที่เค้าเสนอนั้นดีกว่า แต่จะทำตามหรือไม่ก็ให้ไปแล้วแต่คนทำโปรเจคเอง
จริงๆ OSR กับ Zero นี่เป็นนักวิจัยความปลอดภัยก็จะมองคล้ายกันครับ แต่ไปบอกนักพัฒนาที่ต้องหาทางปล่อยแพตช์ให้โครงการปลายน้ำโดยไม่ออกสาธารณะมันจะอีกเรื่อง
lewcpe.com, @wasonliw
อ่าว ตอบแบบนี้ก็หล่อสิเกิ้ล
หล่อมาก
คือถ้ามองอย่างเป็นกลาง ผมว่ามันก็ปกติมากที่นักวิจัยกลุ่มนึงจะวิจารณ์การทำงานที่เราไม่เห็นด้วย และแนะนำในสิ่งที่เราคิดว่ามันดีกว่า
ซึ่งในกรณีนี้ทีม Microsoft เค้าคิดว่าสิ่งที่เค้าทำมันดีกว่าก็เลยแนะนำว่าลองทำแบบเราสิ เราว่ามันดีกว่านะ (ซึ่งบอกด้วยซ้ำว่าทำอย่างไร)
การโจมตีจริง ๆ คือ การบอกแค่ว่า ของนายมันไม่ดีนะ (แต่ไม่บอกว่าไม่ดีอย่างไร) แต่ของเราดีกว่าเยอะ (แล้วก็ไม่บอกว่าดีอย่างไร ทำอย่างไรให้ดี)
ฝ่ายที่รับคำวิจารณ์ ก็ทำถูกต้อง คือรับฟังนะ การที่เสนอแนะมาเป็นหลักฐานอีกอันนึงที่จะนำไปพิจารณาชั่งน้ำหนักตอนที่ประชุมเพื่อตัดสินใจ
การตัดสินใจโดยมีข้อมูลใหม่ ๆ เข้ามามันทำให้ตัดสินใจง่ายและไม่ผิดพลาดดี
ดูจากคอมเมนต์กูเกิลกับไมโครซอฟท์ แล้ว.... เป็นไมโครซอฟท์อะไรก็ผิดเศร้าไป...
ฮาาาา ราวกับหน้ามือเป็นหลังมือเลยทีเดียว ?
เหมือน MS นี่เป็นจำเลยโดยอัตโนมัติเลยนะ