ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน

บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก

บทความโดย จันทจิรา เอี่ยมมยุรา คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

ในช่วงสัปดาห์ที่ผ่านมามีผู้เขียนบทความลงในหนังสือพิมพ์บางฉบับวิพากษ์วิจารณ์การพิจารณาอนุมัติใบอนุญาตประกอบกิจการดาวเทียมให้แก่บริษัท ไทยคม จำกัด (มหาชน) ของคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ไปในทางที่ว่า กสทช. อนุมัติใบอนุญาตให้แก่บริษัทไทยคมฯ โดยไม่ได้มีการประมูลคลื่นความถี่ ทั้งมิได้ประมูลวงโคจรให้ถูกต้องตามพระราชบัญญัติองค์กรจัดสรรคลื่นความถี่และกำกับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์ และกิจการโทรคมนาคม พ.ศ. 2553 แต่ประการใด

ในช่วงนี้มีกระแสพูดคุยเกี่ยวกับ Exynos 5 Octa กันมาก ตัว Exynos 5 Octa นั้นเป็น SoC (system on a chip) ในรูปแบบ big.LITTLE ที่มีคอร์ของ Cortex-A15 และ Cortex-A7 อยู่ภายในอย่างละสี่คอร์ เรื่องหนึ่งที่ถกเถียงกัน (หรืออาจจะเข้าใจไปในทางเดียวกันโดยมิได้นัดหมาย) ก็คือคอร์ทั้งแปดของหน่วยประมวลผลแบบ big.LITTLE นั้นสามารถใช้งานได้ทีละสี่คอร์หรือว่าได้ทั้งแปดคอร์กันแน่?

ถ้าใครใจร้อนขอสรุปตรงนี้ว่าในทางฮาร์ดแวร์นั้นทั้งแปดคอร์สามารถทำงานได้พร้อมกันทั้งหมด แต่...

ปัญหาในขณะนี้คือระบบปฏิบัติการยังอาจจะไม่สามารถดึงประสิทธิภาพทั้งด้านความเร็วในการประมวลผลและการประหยัดพลังงานออกมาพร้อมๆ กันได้อย่างเต็มที่

ความเปลี่ยนแปลงหลังจากการเปลี่ยนผ่านไปยังโลกแห่ง IPv6 หากสำเร็จลงได้ จะนำฟีเจอร์สำคัญของระบบไอพีที่มีมาแต่ต้น คือ เครื่องทุกเครื่องสามารถเชื่อมต่อถึงกันได้ ไม่ว่าจะเป็นเครือข่ายแบบใดๆ เพราะมีชั้นของไอพีครอบไว้ให้ทำงานเหมือนกันทั้งหมด

ด้วยแอดเดรสที่มีมากถึง 2^128 หมายเลขไอพีจะไม่ใช่สิ่งที่ต้องแจกจ่ายอย่างจำกัดอีกต่อไป ตัวอย่างของการจำกัดการใช้งานไอพีทุกวันนี้ เช่น บริการบรอดแบนด์ตามบ้าน ที่จะจ่ายหมายเลขไอพีมาให้เพียงทีละหมายเลขเท่านั้น ทั้งที่ภายในบ้านมักมีอุปกรณ์เป็นจำนวนมากเชื่อมต่ออยู่พร้อมกัน

คำเตือน: บทความในชุดการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดประสงค์หลักเพื่อการศึกษา และการระมัดระวังของนักพัฒนา การทดสอบต้องทำในสภาพแวดล้อมปิดเท่านั้น (ตั้งเซิร์ฟเวอร์เฉพาะเอง ทดสอบเสร็จแล้วปิดบริการ) ห้ามทดสอบในเว็บจริงที่ให้บริการอยู่ หากผมทราบว่าสมาชิก Blognone มีการทดลอง โทษคือแบนถาวรอย่างเดียวไม่ว่าจะเกิดความเสียหายหรือไม่

ต่อจาก CSRF ปัญหาความปลอดภัยในเว็บที่พบได้มาก แต่ปัญหาอีกอย่างหนึ่งที่พบได้และมักมีอันตรายมากกว่าคือปัญหาความปลอดภัย Cross Site Scripting (XSS หรือบางครั้งเรียกว่า CSS) ที่เป็นช่องให้แฮกเกอร์สามารถนำสคริปต์อยากที่แฮกเกอร์ต้องการไปวางบนหน้าเว็บเป้าหมายได้

ความปลอดภัยคอมพิวเตอร์ในสมัยใหม่เปลี่ยนจากการโจมตีช่องโหว่ของบริการต่างๆ หรือบั๊กของซอฟต์แวร์โดยตรงมาเป็นการโจมตีจากกระบวนการตรวจสอบความปลอดภัยที่ตามไม่ทันกับรูปแบบการใช้งานที่หลากหลายขึ้นเรื่อยๆ เช่น การใช้งานเว็บยุคใหม่ที่มีความซับซ้อน มีการวางไฟล์จากเซิร์ฟเวอร์จำนวนมากเข้ามาแสดงผลบนหน้าเว็บเดียวกัน, มีการรันสคริปต์บนหน้าเว็บ, และมีการใช้งานเพื่อการทำงานสำคัญกว่าการเข้าอ่านเนื้อหาบนเว็บไปอีกมากมาย

นอกจากเรื่องส่วนติดต่อผู้ใช้ของ Windows 8 ที่เปลี่ยนแปลงไปจากวินโดวส์รุ่นก่อนๆ เป็นอย่างมาก จุดเปลี่ยนสำคัญอีกอย่างหนึ่งคือช่องทางจัดจำหน่ายของไมโครซอฟท์เอง ที่เริ่มเปลี่ยนจากการขายซอฟต์แวร์เป็นแผ่น หันมาใช้ระบบดาวน์โหลดไฟล์ดิจิทัลกันมากขึ้น รวมไปถึงการลดราคาไลเซนส์แบบอัพเกรดลงมากเพื่อจูงใจให้ผู้ใช้ปรับรุ่นตาม

ผมเชื่อว่าผู้อ่าน Blognone คงติดตั้งระบบปฏิบัติการวินโดวส์รุ่นก่อนๆ กันได้อย่างไม่มีปัญหา ส่วนการติดตั้ง Windows 8 เหมือนจะง่ายแต่เอาจริงแล้วมีรายละเอียดเล็กๆ ซ่อนอยู่พอสมควร หลังจากลองติดตั้ง Windows 8 แบบอัพเกรดด้วยตัวเอง ผมเลยคิดว่าควรเขียนบทความไว้สำหรับอ้างอิงสักหน่อยครับ

Blognone เสนอข่าว "ช่องโหว่" ความปลอดภัยซอฟต์แวร์เป็นจำนวนมาก แม้ช่องโหว่หลายอย่างมาจากการวิเคราะห์ทางคณิตศาสตร์ของกระบวนการเข้ารหัสที่ซับซ้อนแต่ในความเป็นจริงแล้ว ช่องโหว่ส่วนมากมาจากปัญหาเหมือนๆ กันคือการไม่ระวังการใช้บัฟเฟอร์ ทำให้ข้อมูลที่วางลงไปยังบัฟเฟอร์มีขนาดเกินที่เผื่อไว้ ทำให้แฮกเกอร์เข้ามาวางโค้ดเอาไว้ และควบคุมให้มีการรันโค้ดนั้นๆ ได้

กระบวนการแฮกจากช่องโหว่บัฟเฟอร์เป็นกระบวนพื้นฐานอันหนึ่งที่ควรรู้เพื่อจะศึกษาและป้องกันช่องโหว่ในซอฟต์แวร์

Stack Buffer Overflow

{syntaxhighlighter brush:cpp}#include <string.h>

void foo (char *bar)
{
char c[12];
strcpy(c, bar); // ไม่ตรวจขนาด input
}

ในคืนนี้หลังจากแอปเปิลเปิดตัวสินค้าชิ้นใหม่อย่าง iPad 4 และ iPad Mini ก็มีเสียงวิพากษ์วิจารณ์เกี่ยวกับผลิตภัณฑ์ในหลายๆ แง่ ดังนั้นผมเลยขอนำมาเขียนเป็นบทความวิเคราะห์ให้อ่านกันครับ

ขอชี้แจงให้ทราบว่าบทความนี้เขียนจากมุมมอง ข้อคิดเห็น และความคิดส่วนตัวเท่านั้นครับ

iPad mini –  เพราะจอ 10" มันใหญ่เกินไป

ท่ามกลางกระแสความนิยมของแท็บเล็ตขนาดจอ 7" ที่ได้รับความนิยมด้วยเหตุผลของความสะดวกในการพกพา ผมคาดว่าแอปเปิลน่าจะเล็งเห็นความสำคัญของตลาดลูกค้าที่ต้องการแท็บเล็ตขนาดพอดีมือที่สามารถทำงานทั่วไป แต่ในขณะเดียวกันสตีฟ จ็อบส์ก็เชื่อมาโดยตลอดว่าแท็บเล็ตขนาด 7" มีขนาดเล็กไป และมนุษย์จำเป็นต้องมีนิ้วมือที่เล็กลงเพื่อที่จะสามารถสั่งงานบนหน้าจอขนาดนั้นได้

แนะนำให้อ่านและทำความเข้าใจก่อนอ่านข่าว 3G ทุกข่าวช่วงนี้ครับ

จากข่าวมาตรฐานการให้บริการข้อมูล 2G/3G ของกสทช. ผมพบว่าแม้แต่ผู้อ่านของ Blognone เองที่น่าจะเป็นกลุ่มคนที่มีความรู้เทคโนโลยีมากกว่าเฉลี่ยของสังคมไทยโดยรวมก็ยังถูกการตลาดของค่ายผู้ให้บริการต่างๆ สร้างความหวังและความฝันว่าเมื่อเรามีเครือข่าย 3G ให้บริการกันแล้ว เราจะได้ใช้งานเครือข่ายที่ความเร็วสูงในระดับที่แทบจะไม่ต้องการวายฟายหรือบรอดแบนด์ตามบ้านกันอีกเลย

สวัสดีครับ วันนี้มาตามคำสัญญาที่จะนำบทวิเคราะห์แบบเจาะลึกในเรื่องรหัสลับของ Microsoft ที่อยู่ในช่วงที่ Modern-style UI ครองก๊กของ Microsoft ซึ่งบทวิเคราะห์นี้มาจากสายตาของผมทั้งหมด บางท่านอาจจะเชื่อหรือไม่ก็ได้ แต่ส่วนมากมักจะไม่มีข่าวตอนเปิดตัว และก็พึ่งมีข่าวตอนที่ Microsoft ประกาศแล้ว เพื่อไม่ให้เสียเวลาก็เข้าสู่บทวิเคราะห์กันเลยดีกว่า

Windows Phone 7.5

เริ่มต้นผมก็ขอย้อนไปไกลสักเล็กน้อยในช่วงที่ Microsoft เตรียมปล่อย Windows Phone อัพเดต Mango (Windows Phone 7.5) ซึ่งทาง Microsoft ได้ปล่อยวิดีโอมายั่วน้ำลายผู้ใช้ Windows Phone ณ ช่วงนั้นดังวิดีโอต่อไปนี้

โลกการเงินทุกวันนี้ถูกควบคุมด้วยธนาคารชาติต่างๆ และสถาบันการเงินระหว่างประเทศ ธนาคารชาติต่างๆ มีอำนาจในการกำหนดค่าเงินของตัวเองด้วยกระบวนการต่างๆ เช่น การกำหนดระดับดอกเบี้ย, เงินสำรองของธนาคาร, หรือการพิมพ์เงินออกมาสู่ตลาด นอกจากการกำหนดค่าเงินแล้ว หน่วยงานเหล่านี้ยังมีอำนาจในการตามรอยการเงินของผู้ใช้ผ่านทางการควบคุมธนาคาร รัฐบาลประเทศต่างๆ มีอำนาจในการหยุดธุรกรรมทางการเงินของบุคคลได้ หรือการกระทำอย่างสุดโต่งเช่นในปี 1987 ที่รัฐบาลพม่าประกาศยกเลิกธนบัตร 25, 35, และ 75 จ๊าด โดยไม่มีการเตือนล่วงหน้าทำให้เงินหายไปจากระบบถึง 75%

ช่วงนี้เราเห็นไมโครซอฟท์ปล่อยหมัดออกมาชุดใหญ่ ทั้ง แท็บเล็ต Surface, Windows Phone 8 รวมไปถึงข่าวหลุดของ Xbox 720 อีกด้วย

ถ้าเรามองย้อนกลับไปตอนนี้ เราจะเห็น "จิ๊กซอ" ของไมโครซอฟท์ที่กำลังเริ่มก่อตัวอย่างชัดเจนมากขึ้นเรื่อยๆ และน่ากลัวมากทีเดียว

ความเดิมตอนที่แล้ว รู้จักกับ HTML5 - ภาคหนึ่ง HTML5 คืออะไร?

ตอนแรกเราดู "ภาพรวม" ของ HTML5 ไปแล้ว คราวนี้จะมาดูเจาะเป็นบางประเด็นให้ละเอียดขึ้นนะครับ สำหรับตอนที่สองจะเป็นเรื่องของ Web Video หรือ HTML5 Video ซึ่งเป็นที่สนใจต่อสาธารณะไม่น้อย โดยเฉพาะในเรื่อง "สงคราม codec" ที่ยังไม่จบไม่สิ้น และกลายเป็นความซวยของนักพัฒนาเว็บไปแทน

ช่วงหลังๆ นี่ Blognone มีข่าวโทรคมนาคมจำนวนมากทั้งในไทยและต่างประเทศ แต่ผมพบว่าความเห็นจำนวนมากนั้นจะซ้ำไปมาจากความเข้าใจผิดในความรู้พื้นฐาน ผมจึงตัดสินใจว่าถึงเวลาที่จะเขียนบทความเพื่อสร้างความเข้าใจให้ตรงกันเสียที

บทความนี้เน้นระบบ โทรคมนาคมไร้สาย เช่นโทรศัพท์มือถือ หรือการสื่อสารดาวเทียม ฯลฯ นะครับ ผมจะไม่ลงไปอุตสาหกรรมอื่นๆ ที่เราอาจจะเจอคาบเกี่ยวกันบ่อยๆ เช่นโทรทัศน์วิทยุ (ที่ใช้คลื่นความถี่เหมือนกัน), หรือโทรคมอื่นๆ (เช่นโทรศัพท์บ้าน, ADSL, หรือบริการสายไฟเบอร์)

คนที่ติดตามข่าวของ Windows 8 คงเห็นแผนภาพ diagram แสดงโครงสร้างการพัฒนาแอพของ Windows 8 ที่แสดงใน keynote เปิดตัว

เหมือนจะกลายเป็นธรรมเนียมปฏิบัติไปแล้ว เมื่อมีข่าวเกี่ยวกับความขัดแย้งระหว่างซอฟแวร์ที่ฝั่ง โอเพนซอร์ส (ต่อไปจะเรียก OSS) กับฝั่ง Proprietary Software (ต่อไปจะเรียก PS) ก็จะมีการถกเถียง แลกเปลี่ยนประเด็นและความคิดเห็นกันอย่างกว้างขวาง ซึ่งส่วนมากก็มักจะเป็นประเด็นเดิม ๆ หัวข้อเดิม ๆ ที่ผมอ่านมาตั้งแต่เริ่มสนใจพัฒนาซอฟแวร์ใหม่ ๆ (ราว ๆ ปี 2002 เห็นจะได้)

จากการลงข่าว WikiLeaks: ไมโครซอฟท์และ BSA กังวลต่อแนวทางโอเพนซอร์สของไทย ใน blognone และก็เหมือนทุก ๆ ครั้งที่ผ่านมา ก็จะมีการแลกเปลี่ยนความคิดเห็นกันอย่างกว้างขวาง ซึ่งพอจะสรุปเป็นความคิดเห็นมีอยู่ 2 ประเด็นหลัก ๆ ดังนี้

หมายเหตุ mk มาถึงตอนนี้เราคงเห็นกันชัดว่า cloud computing คืออนาคตของการประมวลผลขนาดใหญ่ แต่สิ่งที่บ้านเรายังขาดแคลนมากคือประสบการณ์ ความรู้ความเชี่ยวชาญในการสร้างแอพพลิเคชันบนกลุ่มเมฆ (ยังไม่ต้องพูดถึงการสร้าง cloud infrastructure แบบ AWS หรือ Azure ที่ต้องใช้ทรัพยากรเยอะกว่านั้นมาก)

ขอเปลี่ยนบรรยากาศ มา Review Server Platform บ้างนะครับ แก้เลี่ยนการรีวิวกองทัพหุ่นยนต์

ทีมงานของผมได้มีโอกาสร่วมติดตั้งระบบคลัสเตอร์สมรรถนะสูง PHOENIX ของ ภาควิชาเคมี คณะวิทยาศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ซึ่งเป็นระบบคลัสเตอร์แรกในประเทศไทย ที่สร้างด้วยแพลตฟอร์ม IBM iDataPlex แบบเต็มรูปแบบ วันนี้เลยจะลองนำเสนอรายละเอียดของเจ้า แพลตฟอร์มตัวนี้ว่าของจริงเป็นอย่างไรครับ ทั้งนี้ต้องขอขอบคุณ บริษัท eLife System จำกัด โดย 2BeSHOP.com และบริษัท IBM ประเทศไทย ในส่วนของฮาร์ดแวร์ต่างๆ รวมไปถึงรูปภาพเกือบทั้งหมดในบทความนี้ และทางภาควิชาเคมี ที่อนุญาตให้เขียนรีวิวฉบับนี้ครับ

ตอนงาน Google I/O ผมเขียนเรื่อง ทิศทางที่เริ่มแจ่มชัดของ Android และ Chrome OS ไปแล้ว คราวนี้งานแถลงข่าว Windows Phone Mango ก็อยากเขียนบทความลักษณะเดียวกันสักหน่อย

เพื่อความเข้าใจที่ดีขึ้น อาจจะต้องย้อนไปอ่าน Windows Phone 7: ก้าวที่ไม่หวือหวา แต่เป็นก้าวที่สำคัญของไมโครซอฟท์ ซึ่งเขียนเมื่อเดือนตุลาคมปีที่แล้ว เมื่อครั้งที่ Windows Phone 7 เปิดตัวอย่างเป็นทางการ

ผมมีประเด็นที่อยากนำเสนอ 4 ข้อ

1) พัฒนาการของ Windows Phone

HTML5 ประกอบด้วยเทคโนโลยีหลายส่วน เช่น แท็กแบบใหม่ๆ, audio/video, canvas, geolocation ฯลฯ ส่วนประกอบหนึ่งที่สำคัญไม่น้อยแต่คนไม่ค่อยพูดถึงเท่าไรคือความสามารถของ "เว็บเพจ" (หรืออาจเรียกมันว่าเป็น "เว็บแอพพลิเคชัน" ก็ได้) ในการเก็บข้อมูลแบบออฟไลน์ ซึ่งก็แยกย่อยได้อีกหลายชนิดมาก (HTML4 เก็บได้เฉพาะคุกกี้เล็กๆ นิดเดียว)

เว็บไซต์ InfoWorld สรุปมาสั้นๆ ดี ผมเลยมาสรุปอีกทีให้สั้นกว่าเดิม เพื่อคนที่สนใจ HTML5 จะไปตามต่อได้ถูกครับ

Web Storage

เทคโนโลยีแรกคือ Web Storage ซึ่งเป็นการเก็บข้อมูลแบบง่ายๆ ในรูป key-value (ภาษาโปรแกรมบางภาษาเรียก dictionary) ซึ่งแยกย่อยได้อีก 2 อย่าง คือ

เมื่อสัปดาห์ที่ผ่านมา สตีฟ จ็อบส์ ประกาศการลาป่วยรอบที่สาม หลังจากพบว่าเป็นมะเร็งในรอบแรก และต้องเปลี่ยนตับในรอบที่สอง

รอบนี้แอปเปิลแทบไม่ได้ให้ข้อมูลอะไรเกี่ยวกับอาการป่วยของจ็อบส์เลย บอกเพียงแค่ "ลาป่วย" โดยไม่ระบุระยะเวลา น้อยกว่าคราวก่อนที่บอกว่าลาป่วย 6 เดือนด้วยซ้ำ

ทุกคนย่อมอยากรู้ว่าจ็อบส์ป่วยเป็นอะไร อาการหนักเบาแค่ไหน มีโอกาสหายหรือไม่ ฯลฯ แต่นั่นคงไม่ใช่เรื่องที่สำคัญเท่ากับคำถามที่ว่า "แอปเปิลจะเป็นอย่างไรถ้าไม่มีสตีฟ จ็อบส์"

มาถึงวันนี้คงไม่มีใครปฏิเสธแล้วว่า การเกิดขึ้นของ "อุปกรณ์ชนิดใหม่ๆ ที่ต่อเชื่อมกับอินเทอร์เน็ตได้" (connected devices) ไม่ว่าจะเป็นมือถือ แท็บเล็ต เครื่องอ่านอีบุ๊ก ทีวี เกมคอนโซล หรือแม้กระทั่งรถยนต์ ที่เชื่อมประสานร้อยเรียงกับเซิร์ฟเวอร์บนกลุ่มเมฆ กำลังทำให้นิยามของคำว่า "คอมพิวเตอร์" เปลี่ยนไปอีกครั้งหนึ่ง หลังจากที่เคยเปลี่ยนมาแล้วหลายครั้ง

เนื่องในโอกาสขึ้นปีใหม่ ผมเลยอยากเขียนถึง "ประวัติศาสตร์บทใหม่" ของโลกไอทีที่กำลังจะเริ่มขึ้นอีกครั้ง (จริงๆ อาจจะเริ่มไปแล้วด้วยซ้ำ)

งานเขียนชิ้นนี้จะไม่ลงรายละเอียดในระดับผลิตภัณฑ์ แต่จะมองภาพรวมว่ากำลังมีแนวโน้มใดก่อตัวขึ้นบ้าง และเรามีปัญหาอะไรรอคอยอยู่เบื้องหน้า

พื้นที่ให้บริการ 3G ในบ้านเราแม้จะยังจำกัดค่อนข้างมาก แต่ก็ยังมีประโยชน์กับคนพื้นที่ให้บริการค่อนข้างมาก เช่นคอนโดหรือหอพักที่ไม่อาจติดตั้งสายโทรศัพท์ด้วยตัวเองได้ โดยทั่วไปแล้วทางเลือกที่ง่ายที่สุดก็คือการซื้อ USB dongle มาใช้งานกับคอมพิวเตอร์ในบ้าน แต่ก็จะจำกัดอยูกับการใช้งานกับคอมพิวเตอร์เครื่องเดียวเท่านั้น

หลังจากเราได้รู้จักกับ Intel AppUp Center [1] [2] และรู้จักวิธีการใช้ SDK [1] [2] กันเรียบร้อยแล้ว ทีนี้เราจะกรอข้ามช่วงการพัฒนาแอพลิเคชันของเราไปถึงช่วงที่เราจะส่งแอพลิเคชันกันเลย

แอพลิเคชันต้องห้าม

ก่อนที่เราจะฝันหวานถึงวันที่แอพลิเคชันของเราได้ขึ้นไปอยู่บน Intel AppUp Center ต้องรู้ก่อนว่า ไม่ใช่ทุกแอพลิเคชันที่จะส่งเข้าไปที่ Intel AppUp Center ได้ โดยข้อกำหนดหลัก ๆ ในปัจจุบันมีดังนี้