บริษัทความปลอดภัย Security Explorations จากประเทศโปแลนด์ เผยช่องโหว่ของบริการแอพบนกลุ่มเมฆ Google App Engine ทั้งหมด 7 จุด หลังจากติดต่อไปยังกูเกิลแล้วไม่ยอมแก้ไข และไม่สื่อสารกลับมาว่าจะดำเนินการอย่างไร
ช่องโหว่เหล่านี้เกี่ยวข้องกับการรันแอพ Java บน App Engine โดยระบบ sandbox ของกูเกิลเองเปิดช่องให้ถูกโจมตีได้ ทาง Security Explorations ส่งข้อมูลให้กูเกิลแต่ไม่ได้รับการติดต่อกลับ เมื่อรอเป็นเวลา 3 สัปดาห์ บริษัทจึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ
หลังข่าวนี้ออกมา โฆษกของกูเกิลออกมาแถลงว่าบริษัทรับทราบปัญหานี้แล้ว และกำลังเร่งแก้ไขอยู่
ช่วงไม่นานมานี้ กูเกิลดำเนินโครงการ Project Zero เผยช่องโหว่ของซอฟต์แวร์ต่างค่ายเมื่อครบกำหนด 90 วันหากไม่แก้ไข ซึ่งก็โดนวิพากษ์วิจารณ์อย่างมาก ข่าวนี้เป็นตัวอย่างที่ดีว่าเอาเข้าจริงแล้ว กูเกิลก็เพิกเฉยกับช่องโหว่ของซอฟต์แวร์ตัวเองเหมือนกัน
ที่มา - Ars Technica
Comments
ถามเป็นความรู้นะครับ
คือ พอจะทราบเหตุผลไหมว่าทำไม GG ถึงไม่ยอมติดต่อกลับผู้แจ้งบั๊กเข้าไป
อย่างน้อยก็น่าจะบอกว่า
"โอเคจ๊ะ รับแซ่บ เดี๋ยวรีบดำเนินการแก้ไขทันทีนะ จุบุๆ"
คือเขาไม่สะดวกตอบกลับเหรอครับ ผมงงตรงนี้มาก
หรือว่ามันต้องรอขั้นตอนอะไรอีกเหรอ ถึงจะตอบกลับไป
หรือว่าต้องรอให้เป็นข่าวหรือไฟลนก้นก่อนถึงจะทำ
ท่านใดที่คลุกคลีเกี่ยวกับงานประเภทนี้ มาเล่าสู่กันฟังทีครับ อยากรู้มากๆ กราบละ
"อำนาจ" พนักงานบางคนไม่มีอำนาจตอบ อะไรออกไปได้ คงต้อง รออนุมัติ จาก "ผู้มีอำนาจ" ซึ่งคนเหล่านี้ก็อาจจะยุ่งอยู่ พอว่างมา พนักงานก็คงลืมกันไปและก็มุ่งหน้าทำงานอื่น และที่สำคัญ ระบบใหญ่ๆ ไม่มีใครกล้าแก้ไขอะไร ตามอำเภอใจ อนุมัติกันหลายขั้นตอน กว่าจะได้แก้<<< ความเห็นส่วนตัว
Google เป็นแบบนี้แหละครับ report เป็นสิบๆรอบก็เงียบ แทบทุก services
ทุกวันนี้ maps ยังบอกว่าบ้านผมเป็นโรงงานอะไรก็ไม่รู้อยู่เลย แจ้งไปหลายรอบแล้ว เงียบตลอด แถวบ้านผมก็มีตำแหน่งวัดชื่อเดียวกันสองที่ ตั้งอยู่หัวถนน (ของจริง) กับท้ายถนน (มั่ว)
90 vs 21 ?
แต่ถึงยังไงก็เถอะ แค่ติดต่อกลับเนี่ย มันยากขนาดนั้นเลยเหรอ = w=)?
สงสัยคนดูแล feedback แต่ละแอพจะมีคนเดียวละมั่ง คนแจ้งบั๊กเข้าไปมีแปดแสนคน คงขี้เกียจตอบกลับละ
report ต่อวันคงมหาศาลน่าดูมั่งเดาเอา ไม่งันคงทำอะไรสักอย่างไปเล้ว เรื่องแบบนี้มันเสียเครดิตมาก
ยังจำตอนที่เล่น MS ได้ เอาซะหนักโดนเอาคืนซะแล้ว แต่ตอน MS สามเดือน นี่สามอาทิตย์เอง
กรณีของ MS นั้นต่างกันครับ เพราะ MS ตอบกลับว่าจะแก้ และแก้แล้ว แล้วรอรอบปล่อยแพตช์ประจำเดือน ซึ่งรอบที่ว่ามันเกินกำหนดของ Google ไป 2 วันครับ แต่กรณีในข่าวนั้น Google ไม่ตอบกลับเลยจนกระทั่งโดนเอามาเปิดเผยครับ
อย่างน้อยมีอีเมล์ตอบกลับแบบอัตโนมัติก็ยังดีนะ
ทำคนอื่นไว้เยอะ โดนคืนบ้างก็ดี
สงสัยเป็น bug จาก java google แก้ไม่ได้
Google เป็บบริษัทบ้าบอท ถ้าเขียนอีเมลไม่ตรงตาม Pattern นี่ได้คุยกับคนจริงๆ ยากมาก ตอนมีปัญหา Google App for Business กว่าจะได้การตอบกลับช่วยเหลือจากคนจริงๆ เป็นอาทิตย์ สรุปย้ายออกมาใช้อีกยี่ห้อ เวลามีปัญหา เปิด ticket ทำตาม wizard รอบนึงเพื่อ screen ปัญหาแล้วมีคน support ทันที อุ่นใจกว่าเยอะเลย ><"
google เกิดขึ้นเพราะ bot และอนาคตทุกอย่างจะขับเคลื่อนด้วย bot แนวทางการทำทุกอย่างด้วย bot นั่นถูกต้องแล้ว แต่ยังเร็วเกินไปสำหรับยุคปัจจุบัน
งั้นก็อย่าเพิ่งได้เงินจากผมไป
เปลี่ยนไปใช้อะไรครับ ผมอยากย้ายบ้างละ
ส่วนที่ใช้ Google Apps For Business ผมย้ายมา Office 365 แต่กำลังดูๆ ว่า Amazon WorkMail เป็นยังไง เพราะตอนนี้ยัง preview อยู่เพราะถูกกว่า Office 365 อยู่ 1 usd (คนใช้เป็นร้อยคนก็ประหยัดได้เยอะนะ)
ส่วน Google App Engine นี่ ใช้ AWS หรือ Azure แทนไป ส่วนใหญ่จะใช้ AWS กันเพราะข้อมูลเยอะ support ใช้ได้ Azure นี่ เปิด ticket แล้ว support ไวดี (ซื้อความไวเพิ่มได้)
อันนี้แล้วแต่คนเจอปัญหาในการใช้งาน support ครับ ตอนขายงาน ตอนใช้น่ะอาจโอเค แต่พอมีปัญหา ต้องการ support นี่เห็นความต่างชัดเลย ><"
Google เค้าไม่อยากยอมรับว่ามี bug หรือเปล่ากะเนียน บอกอีกทีตอนแก้เสร็จแล้ว หรือไม่บอกเลยก็ได้
จำได้ว่ามีโฆษกหรือวิศวกรออกมา "แถ" ว่าคนใช้งานไม่รู้กี่ล้านจะ Support ยังไง มันก็เลยกากอย่างที่เห็น (เรื่องปกติขององค์กรขนาดใหญ่)
เคยอ่านผ่านๆ เหมือนกัน ล้มตึงเลยทีเดียวขายของก็ใช่จะถูก
ดูแล้วคงจ้างคนไว้น้อยไม่อยากเสียค่าใช้จ่าย นึกถึงห้างดิสเคาท์สโตร์ที่พยายามนำระบบอัตโนมัติมาใช้ให้ลูกค้าบริการตัวเองเพื่อลดค่าใช้จ่าย
App Engine บั๊กเยอะมาก
ไม่เชื่อผม ลองสร้างแอพ แล้วอัพโหลดไฟล์ชื่อภาษาไทยดูสิ อิอิ