By: Bigta
on 16 January 2015 - 13:24
Tags:
หลังจากที่ไม่กี่วันก่อน Google ได้เปิดเผยข้อมูลช่องโหว่ของ Windows 8.1 ตามกำหนดเงื่อนไขที่ตั้งไว้ว่าถ้าครบ 90 วันแล้วยังไม่มีแพตช์มาแก้ ล่าสุดเมื่อวันที่ 15 มกราคม ทาง Google ได้ปล่อยข้อมูลอีกช่องโหว่หนึ่งของ Windows 7 และ Windows 8.1 ออกมาเนื่องจากครบเงื่อนไขเวลา 90 วันแล้วอีกเช่นกัน
ช่องโหว่นี้ ทาง Google ได้แจ้งให้ Microsoft ทราบตั้งแต่วันที่ 17 ตุลาคมปีที่แล้ว โดยในตอนแรกทาง Microsoft วางแผนไว้ว่าจะออกแพตช์แก้ไขช่องโหว่นี้มาพร้อมกับ แพตช์ประจำเดือนเดือนมกราคม แต่ก็ทำไม่ทันเพราะติดปัญหาเรื่องความเข้ากันได้ (compatibility issue) เลยแจ้ง Google ว่าขอเลื่อนไปออกในแพตช์ประจำเดือนกุมภาพันธ์แทน แต่ทาง Google ก็ได้แจ้งว่าครบกำหนดเวลา 90 วันแล้วจึงเปิดเผยข้อมูลช่องโหว่ดังกล่าว
Get latest news from Blognone
Follow @twitterapi
Comments
กรณี Project Zero ของ Google ปล่อย vulnerability ของ Windows ที่ fix ไม่ทัน 90 วันออก public มา 2 ครั้ง ในเวลาไม่ถึงเดือนนี้ เชื่อได้ว่าไม่นาน Microsoft คงปล่อยวิธีแบบเดียวกันกับ vulnerability ของ Android บ้าง
ซึ่งผมเชื่อว่าเยอะและได้รับผลกระทบไม่ต่างกัน และแน่นอนว่า Android โดนสาหัสกว่าแน่ เพราะแพเยอะแถม auto update แบบ OTA อยู่ที่ OEM ไม่ใช่ Google เป็นส่วนใหญ่ ก็รอดูว่าจะเป็นยังไงกันต่อไป เพราะการปล่อย vulnerability public ทั้งที่ได้รับการติดต่อเพื่อประวิงเวลาแล้ว กลับยังปล่อยออกมา ถือเป็นการปล่อยให้ผู้ใช้ระบบนั้นๆ อยู่บนความเสี่ยง ซึ่งส่วนตัวในฐานะผู้ใช้งาน ก็ไม่ชอบวิธีนี้อย่างมากของ Google เพราะไม่ใช่เรื่องดีกับทุกฝ่าย
หมายเหตุ: Microsoft มีรอบการออก patch อย่างน้อยเดือนละ 2 ครั้งเป็นประจำอยู่แล้ว ซึ่งถือว่าได้รับการดูแลที่ค่อยข้างสม่ำเสมอ
เป็นหน้าที่ของผู้ใช้ที่ต้องออกมาด่ากูเกิ้ลให้มากๆ แล้วบอยคอตเพื่อประท้วงครับไม่อย่างนั้นคงไม่รู้สำนึกว่าคนที่ซวยงานนี้ไม่ใช่ไมโครซอฟท์ แต่เป็นผู้ใช้ต่างหาก
ผมว่ายังต่างกันอยู่อีกนิดล่ะครับ เพราะกูเกิลไม่ได้ส่งแอนดรอยด์ให้ผู้ใช้ตรงๆ มีอะไรก็ปะที่ตัวล่าสุดที่เดียว แล้วบอก เนี่ย ทำเสร็จแล้วนะ จบ ลอยตัว ผู้ใช้สาหัสกว่า แต่มีเสียงบ่นไปถึงกูเกิลแค่นิดเดียว ผลเสียกับกูเกิลอีกส่วนนึงแต่ก็ไม่มาก
เอาจริงๆ ก็คล้ายๆ กับ OEM ตัว Windows นะ ที่ผู้ผลิต OEM ต้องรับผิดชอบ Windows ที่ส่งมอบให้กับลูกค้าไปด้วยผ่านการขายตัวเอง
จริงๆ ว่าแน่นอนว่าเป็นการเปรียบเทียบและการทำพฤติกรรมตาต่อตา ฟันต่อฟันที่ไม่ดีนัก และแน่นอนว่าถ้าเกิดเหตุการณ์แบบนี้โดย Microsoft เป็นคนกระทำ ผมก็ด่าเหมือนกัน เพราะผมมองว่าคนใช้งานทั่วไปหลายล้านคนได้รับความเสี่ยงต่อการกระทำนี้ ประกอบกับ Google เป็นบริษัทใหญ่ และการกระจายข้อมูลเหล่านี้ทำได้กว้างมากๆ ทำให้ความผิดพลาดที่อาจจะอยู่ในวงจำกัดความเสียหายไม่กี่พัน-หมื่นเครื่อง กลายเป็นหลักล้านเครื่องได้ง่ายและเร็วอย่างมาก ซึ่งในฐานะคนใช้งาน Windows แล้ว ผมได้รับความเสียหายต่อการกระทำของ Google แน่นอน เพราะไม่ได้เป็นผู้รับผิดชอบในการแก้ไขปัญหาโดยตรง (ซึ่ง Microsoft กำลังพยายามทำอยู่) แต่ก็ต้องยอมรับว่าเป็นการเติมเชื้อไฟและทำให้ไฟนี้ลุกลามบานปลายอย่างมากแทน (โดยตั้งใจหรือไม่อันนี้ไม่รู้)
+1 เห็นด้วยครับ
+1 กูเกิลคุง ทำอะไรไว้ระวังดาบนั้นคืนสนอง
ผมไม่ค่อยชอบวิธีแบบนี้เลยแฮะ แต่ว่าถ้า Google เลื่อนให้ Microsoft แล้ว กฏ 90 วันจะยังมีคนทำตามอยู่ไหมครับ ? ผมกลัวเป็นแบบว่า Google เลื่อนให้คนหนึ่ง ก็ต้องเลื่อนให้คนอื่น ๆ ด้วย
ต้องดูเหตุผลก่อนครับว่าเลือนเพราะอะไร อันนี่คือเหมือนแก้เสร็จแล้ว แต่กำลังเทศความเข้ากันได้กับรุ่นต่างๆ อยู่ ถึงน่าจะละเอียดอ่อน เพราะบางทีแก้ลแ้ไม่รู้ว่ามันจะไปกระทบอะไรบ้าง ซึ้งมันอาจจะต้องปรับแก้อีกเยอะก็ได้
The Dream hacker..
การเทสคือขั้นตอนหนึ่งของการแก้บั๊กครับ หากยังไม่ได้เทสก็ไม่สามารถบอกได้ว่าแก้บั๊กเสร็จแล้วครับ
คงต้องดูว่าจุดประสงค์ของการตั้งกำหนดเวลา 90 วันขึ้นมานี่คือเพื่ออะไรครับ เพื่อให้ผู้ใช้มีความปลอดภัยเพราะมั่นใจได้ว่าจะได้รับการแก้ไขช่องโหว่ภายในเวลาที่กำหนด หรือตั้งขึ้นมาเพื่อเอาไว้ประจานบริษัทที่ทำแพตช์ออกมาไม่ทัน
ถ้าจุดประสงค์ของ deadline คือข้อแรก กำหนดเวลามันควรจะยืดหยุ่นได้ครับ หากผู้ผลิตมีเหตุผลเพียงพอ เช่นยังทำแพตช์ไม่เสร็จหรือทดสอบแล้วมีปัญหา ทั้งนี้ก็เพื่อประโยชน์ของผู้ใช้เองที่จะได้แพตช์แบบสมบูรณ์ ไม่ใช่ลงแล้วสร้างปัญหาเพิ่ม
แต่ถ้าตั้งกฏออกมาเพื่อประจาน ก็ไม่ต้องสนใจผลกระทบอะไรทั้งนั้น ใครทำแพตช์ไม่เสร็จก็ปล่อยข้อมูลช่องโหว่ออกมาเลย ไม่ต้องรับผิดชอบอะไร ให้ผู้ใช้รับชะตากรรมกันเอง
ถ้ามันสามารถยืดหยุ่นเวลาให้ได้ มันก็จะดีกับนักพัฒนา แต่มันจะส่งผลต่อกฏ 90 วันที่คนจะทำตามน้อยลง เพราะ "ยืดหยุ่นได้ ไม่เห็นเป็นไร" และอย่างที่เห็น Google ก็คงต้องเลื่อนให้ Microsoft เยอะหน่อย และต้องเลื่อนให้คนอื่น ๆ ด้วย เพราะ "Microsoft ได้ ทำไมฉันไม่ได้"
แต่ถ้ายืดหยุ่นไม่ได้ กฏ 90 วันก็ยังคงศักดิ์สิทธิ์แต่ก็จะเป็น Google เองที่คนอื่น ๆ จะมองว่าทำตัวไม่ดี
ไม่ว่า Google จะเลือกทางไหนก็จะส่งผลเสียทั้งคู่ งั้นสรุปได้ว่า.....สมควรยกเลิกกฏนี้ซะ หรือไม่ก็ต้องมีกฏที่ชัดเจน อย่างเช่น สามารถเลื่อนได้มากสุด 15 วันถ้ามีเหตุผลและหลักฐานมากเพียงพอ อะไรอย่างนี้
ผมมองว่า กฏ 90 วันมันยังไม่เพรียบพร้อมพอที่จะบังคับใช้ครับ พอบังคับใช้มันก็มีปัญหามากมายแบบนี้แหละ
จริงๆ จะเรียกว่าเป็นกฏมันก็ยังไงๆ อยู่ครับ เพราะมันเป็นสิ่งที่กำหนดขึ้นมาจากทาง Google เพียงฝ่ายเดียว ผู้ผลิตเองก็ไม่ได้รับปากว่าจะสามารถทำตามเงื่อนไขนั้นได้เสมอไป
ที่ Google กำหนดเวลา 90 วันขึ้นมาน่าจะเป็นเพราะคิดว่าเป็นระยะเวลาที่เหมาะสมสำหรับการทำแพตช์มากกว่า แต่นั่นแหละ มันก็ไม่ได้หมายความว่าทุกแพตช์จะสามารถแก้ได้ภายใน 90 วันเสมอไป คือถ้าจะเปรียบเทียบกับการซ่อมบ้าน ถ้าหลอดไฟขาดกับกำแพงร้าวนี่ความยากง่ายในการแก้ไขมันก็ต่างกันแล้วครับ
ผมว่าสุดท้ายมันก็ต้องดูความเหมาะสมแหละ เพราะถ้าจะบอกว่ากำหนดมาให้แล้วว่ามีเวลาแค่นี้ จะทำทันไม่ทันไม่สนนี่มันก็เกินไป เท่ากับว่าเอา 90 วันนี่มาใช้เป็นแค่เงื่อนไขในการกลั่นแกล้งกันเท่านั้นเอง
ถ้ามองในอีกแง่ว่า อาจจะมีคนค้นพบไปก่อนแล้วและใช้ช่องโหว่นั้นอยู่เรื่อยๆ กฎ 90 วันก็ไม่แย่ซะทีเดียวนะครับ ของแบบนี้ฟันธงยากว่าดีหรือไม่ดี
ใช่ครับ มีความเป็นไปได้ที่จะมีคนรู้ช่องโหว่นี้อยู่ก่อนแล้ว แต่การเอาช่องโหว่มาเปิดเผย มันก็ทำให้คนรู้มากขึ้น และมีการเอาช่องโหว่มาใช้โจมตีมากขึ้น
คือยังไงต่อให้เปิดเผยช่องโหว่ไปมันก็ยังต้องรอแพตช์อยู่ดีอ่ะครับ ผมเลยยังมองว่าการทำแบบนี้มันได้ไม่คุ้มเสีย
วินโดวส์ 7 คนใช้เยอะที่สุดในโลก ราวๆ 60% ของวินโดวส์ 7 เป็นผู้ใช้เถื่อน ไม่เคยอัปเดทตั้งแต่แพทซ์แรกก็มี
ผมนี้ละคนนึงที่ไม่อัพเดตแพทช์เลยตั้งแต่ลงเครื่อง :P
Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ
กูเกิลไม่แคร์คนใช้วินโดวส์สินะ
ถ้าเป็นวินโดวส์โฟนนี่ไม่ใช่ ไม่แคร์ครับ แต่เป็นอยากฆ่าทิ้งให้หายไปจากโลกเลยมากกว่า
คงไม่ใช่ "อยาก" ล่ะครับ :p
เห็นข่าวนี้แล้วอยากสาบแช่งกูเกิลรัว ๆ น่าเกลียดเกิ๊น
Coder | Designer | Thinker | Blogger
มีช่องโหว่อะไรอีกไหมที่กำลังจะครบ 90 วัน ไม่ใช่อีกสามวันเปิดช่องโหว่อีกรอบ --"
มันชักจะเป็นสงคราม ที่เอาความปลอดภัยของคนเล่นเน็ตเป็นตัวประกันแล้วนะ
Happiness only real when shared.
โดนข้างเดียว ผมไม่ถือเป็นสงครามนะผมว่าเป็นการโจมตีของกูเกิ้ลที่มีผู้ใช้โดนเป็นหลัก เพื่อให้ไมโครซอฟท์โดนหางเลขมากกว่า
คิดซะว่าเป็น SLA ที่ไม่ได้เซ็นไปละกันนะ 555
การมีรอบ Prod ผมเข้าใจ
แต่ถ้ามันเป็นช่องโหว่ร้ายแรงมันต้องรอครบรอบด้วยหรือครับ
ที่ผมทำ ถ้ามันเป็นปัญหาร้ายแรงนี่แทบจะรวมหัวกันทุกทีมเพื่อแก้กันเลยทีเดียว
แต่ด้วยระบบอาจจะต่างกัน ระหว่าง OS กับ Financial
ปกติถ้าเป็นบั๊กร้ายแรงมากๆ Microsoft ก็ออกแพตช์นอกรอบมาให้อยู่เป็นประจำครับ
Hacker ใช้ช่องโหว่ของ Windows เพื่อโจมตี google
งี้ละ ธุรกิจ
google ไม่ผิด เพราะอ้างกติกา แต่ก็หน้าหมั่นใส้ ถ้าพลาดมาโดนฉะแน่ๆ
ms ก็ควรปรับการทำงานให้หยืดหยุ่นเอง ไม่ต้องไปบอกให้ใครมาหยืดหยุ่นให้ เพราะมันความรับผิดชอบของ ms ล้วนๆ
การออกแบบโปรแกรมที่ทำให้สามารถใช้ในระบบเปิด ทำงานร่วมกันกับอุปกรณ์หรือโปรแกรมทั้งโลก บัคมันโผล่เรื่อยๆไม่หยุดหรอก
ในเนื้อข่าว เขารีบทำแล้วครับ แต่ทำไม่ทันเพราะมันยังมีปัญหา ถ้าปล่อยไปแล้วใช้ไม่ได้ทุกเครื่องอยู่
งานนี้ไมโครซอฟท์ผิดตรงไหนครับ?
ก็ผิดกติกา90วันไงครับ ไม่ทัน ไม่สมบูรณ์ ปล่อยออกมาแล้วมีปัญหาเพิ่ม ก็ความรับผิดชอบของ ms ล้วนๆนิครับ จะบอกว่า google ผิดหรอครับ ที่ปล่อยตามกติกา
มันก็คล้ายๆกฏหมาย เกิดมาจะอ้างไม่รู้กฏหมาย=ไม่ผิดไม่ได้
กติกา ก็เช่นกัน มวยรุ่น 60กก แต่ตัวเอง 70กก จะมาอ้างว่าลดน้ำหนักลงไม่ทันไม่ได้ เขาไม่ปราณีหรือหยวนให้ ก็เป็นเรื่องที่ต้องโทษตนเอง
กติกาใครเซ็นครับ?
กฏหมายใครออกครับ?
เวทีมวยที่ไหนครับ?
ผู้ใช้ไปเซ็นตรงไหนครับ?
ผมอยากจะทราบความผิดของผู้ใช้ด้วย
โอเคครับ ms ไม่ผิด ไม่ต้องรับผิดชอบ ไม่ต้องแก้ ไม่ต้องทำอะไรเลย แค่ไม่มีคนรู้ก็จบ
ขนาดเปยๆเปรียบเทียบยังมีจิกเวทีมวย
ผมรู้ตัวว่าเถียงกับคนแบบนี้ไม่ชนะ ผมไปละ ไปเตะบอลดีกว่า
เขาทำอยู่ครับ แต่มันติดปัญหาเลยไม่ทันกำหนด ในข่าวก็มีเขียนไว้นะ
กติกาที่ GG เป็นคนตั้ง ทำไม MS ต้องรับผิดชอบด้วยครับ
นั้นนะซิ รับผิดชอบทำไม ปล่อยไว้แบบนั้นละ ปล่อยให้ google ประจานช่องโหว่ ซัก2ปีค่อยแก้ ดูซิว่าคราวนี้ใครจะโดนบ่น
นี่คุยเรื่องเดียวกันอยู่เหรอครับนี่?
เรื่องเดียวกันนั้นละครับท่าน ผมตีความหมายของคำว่ารับผิดชอบคือ มีคนมาบอกให้แก้ช่องโหว่ใน90วัน คนที่มาบอกจะเป็นมิตรหรือศัตรูทางธุรกิจก็แล้วแต่, ทาง ms ต้องมีความรับผิดชอบที่จะแก้ไขปกปิดช่องโหว่ของตนเอง ก่อนที่มันจะเผยออกมาสู่สาธารณะ แม้จะพยายามเจรจาแล้วก็ตาม
เรื่องนี้ผมคิดว่า Microsoft มีความรับผิดชอบมากซะด้วยซ้ำนะครับ เพราะแพตช์ก็ทำเสร็จแล้ว จะปล่อยออกมาเลยก็ทำได้ เพื่อที่จะได้ไม่ต้องถูกด่าเรื่อง 90 วัน แต่นี่กลับเอาแพตช์ไปทดสอบแล้วพบว่ามีปัญหาเลยยอมเสียหน้าถูกด่าเพื่อไม่ให้ลูกค้าติดตั้งแพตช์แล้วระบบพัง
ไม่แน่ใจเหมือนกันครับ ผมขอไม่ตอบความเห็นจากเหตุการณ์สมมุติละกัน
ถ้าจะเอาอย่างนั้นจริงๆ ผมว่า Microsoft ก็ทำได้นะครับ แค่ประกาศไปเลยว่าจะออกอัปเดตให้เฉพาะ Windows กับ Software เวอร์ชันล่าสุดเท่านั้น ใครใช้เวอร์ชันเก่าอยู่ก็ลอยแพทิ้งไปเลย แบบเดียวกับที่ Google ทำ
อันนี้ต่างกันหน่อย เพราะกูเกิลไม่ได้ขายระบบปฎิบัติการให้ลูกค้าโดยตรง แต่ส่งให้กับผู้ผลิตเท่านั้น
ไมโครซอฟท์เองมีสัญญากับลูกค้าว่าต้องซัพพอร์ตตัวไหนนานแค่ไหน คงไม่สามารถเลิกซัพพอร์ตได้ครับ ไม่งั้นคงโดนฟ้อง ไม่เหมือนแอนดรอยด์ที่กูเกิลไม่ได้สัญญาอะไรกับเรา ต้องเป็นผู้ผลิตโทรศัพท์ (หรือผู้ให้บริการเครือข่ายแล้วแต่กรณี) เป็นคนสัญญา
ในฐานะคนใช้แอนดรอยด์ผมอยากให้ไมโครซอฟท์ทำแบบนี้กับแอนดรอยด์กลับบ้างนะ และให้รู้ไปเลยว่าค่ายมือถือและผู้ให้บริการเครือข่ายที่ชอบออกรอมรุ่นใหม่ใช้เวลาเป็นปีๆ เพราะอ้าง "ความเข้ากันได้" (compatibility issue) แบบเดียวกับที่ไมโครซอฟท์บอกตอนนี้ ทำงานได้เลวกว่าไมโครซอฟท์มาก ถึงจุดนึงผู้ผลิตเครื่องจะได้เลิกบ้า custom เฟิร์มแวร์สารพัด แล้วกลับไปขายฮาร์ดแวร์อย่างเดียวแบบที่ผู้ผลิตพีซีทำ แล้วเข้าโครงการรอมโดยตรงจากกูเกิล/อินเทล ซะ
lewcpe.com , @wasonliw
จริงๆ เม้นบนผมล้อเล่นนะ ถ้า MS ทำงั้นจริงผมก็เงิบเหมือนกัน ;3; แต่เห็นด้วยว่าควรทำแค่มือถือรุ่น Pure Android ครับ
Google เจอ ทางลับเข้าเข้าหมู่บ้าน ( บางคนก็อาจรู้ทางลับนี้ด้วย)
Google แจ้งเจ้าของโครงการ (MS)
MS ปิดทางเข้าลับ แต่ไอ้ของที่เอามาปิด/ปะ/อุด ดันไม่พอดีหรือมีปัญหากะส่วนอื่นๆ
MS ขอไปทาง Google ว่าอย่าเพิ่งบอกใครได้ไหม อาทิตย์หน้าเสร็จแน่
Google ขึ้นป้ายขนาดใหญ่บอกว่ามีทางลับเข้าหมู่บ้านอยู่ตรงนี้ ( ทุกคนรู้ทางลับนี้)
Google ลอยตัว
MS โดนว่า เพราะปิดทางลับไม่ทัน
ลูกบ้าน (User) เสี่ยงโดนยกเค้า
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
ต้องบอกว่าแนวทางที่กูเกิลกำหนดนี่เป็นสิ่ง ประหลาดแม้แต่ในวงการความปลอดภัยเองนะครับ อย่างแนวทางที่ใช้กันมานานๆ เช่น CERT ก็ยังเจรจาขอต่ออายุได้เปิดเผยข้อมูลได้
กรณีของ Project Zero เท่าที่เห็น ความตั้งใจของกูเกิลคือ "ไม่เจรจา" เมื่อได้รับแจ้งแล้วนับถอยหลัง 90 วันทันที ถือว่าเป็นเรื่องใหม่ที่ไม่ค่อยเห็นในวงการเหมือนกันครับ
lewcpe.com , @wasonliw
ชัดเจน! ตรงประเด็น!
อืมม์ เวลาแก้ไข 90 วันมันน้อยไป?
เท่าไหร่ดี ถึงจะ win win ระหว่าง dev/ user / sa
Don't be evil มิตรสหายท่านหนึ่งได้กล่าวเอาไว้
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
เห็นข่าวแล้วผมนึกถึงประโยคนี้เลย
+1 คำนี้ลอยมาเลย เหมือนกัน
ผมเสียเงินให้ MS ผมควรจะด่าใคร
คิดว่าจะไม่มีคนอื่นรู้เลยหรือ ใน 90 วันหรือมากกว่านั้น ถ้าเจอก่อน Google อาจจะโดนจนอ่วมแล้วก็ได้
90 วีนมันก็ไม่ต่างกันมากเท่า 90 แล้ววันที่ 91 โดนเอามาเปิดโดยที่นักพัฒนายังพยายามแก้บัคให้สมบูรณ์อยู่นะ
ไม่รู้นะ ผมว่าที่ต้องทำแบบนี้เพราะ ถ้าไม่ทำ MS ก็จะทำช้าออกไปเรื่อยๆ
การทำแบบนี้เหมือนเป็นการบอก MS ว่า เรื่องความปลอดภัยนี่เป็น priority นะ
ต้องทำเร็วกว่านี้นะ
แต่ก็ทำไม่ทันเพราะติดปัญหาเรื่องความเข้ากันได้ (compatibility issue) เลยแจ้ง Google ว่าขอเลื่อนไปออกในแพตช์ประจำเดือนกุมภาพันธ์แทน
เมันต้องเทสเยอะแยะมากมายแค่ไหนรู้ไหมครับ
ตามที่ผมเข้าใจ Microsoft เนี่ยเป็นบริษัทที่ขยันออกแพทช์มากๆ บริษัทหนึ่ง ซึ่งผมว่าตรงนี้จะบอกว่าก็ไม่น่าจะพูดว่าทำช้าได้เต็มปากนะครับ
MS แย่เรื่องความปลอดภัยมาแต่ไหนแต่ไรแล้ว เอาจริง ๆ ดูเถอะพวกโปรแกรม firewall, anti spyware ที่ Windows ให้มากับ OS มันป้องกันได้ที่ไหนกัน
ระบบ UAC เหมือนกันสุดท้ายก็เปล่าประโยชน์ ขณะที่ฝั่ง Linux ใช้มาตั้งนานแล้วยังปกติดี
ก็อย่างว่าแหละครับ OS ผูกขาด ทำอะไรแย่กว่านี้คนก็ยังต้องใช้อยู่ ขนาด Windows8 เอา start menu ออก เปลี่ยนเป็นเมโทร ผู้ใช้ยังต้องก้มหน้าก้มตาทนใช้ไป
Google ทำวิธีนี้มองอีกด้านก็เหมือนเป็นการกระตุ้น MS ได้เหมือนกัน จะได้กระตือรือร้นแก้ไขเรื่องความปลอดภัยจริง ๆ จัง ๆ สักที หลังจากนอนตีพุงผูกขาด OS มานาน แต่ก็ไม่รู้ว่าจะช่วยได้แค่ไหนอะนะ เพราะดูสิ MS แทนที่จะสำนึกผิดกลับโทษ Google แถมผู้ใช้ก็กลับมาเห็นใจ MS กันซะอีก (ดูจาก comment ในนี้กันก็ได้) เหมือนเอาใจเด็กไม่รู้จักโตกัน
กันได้ครับ ตั้งแต่Win8มานี่ ผมว่าระบบป้องกันดีขึ้้นมากแล้ว ผมใช้Win8เพียวๆมาเป็นปี แล้วค่อยลง Bitdefender /Kaspersky มันก็ไม่โดนไวรัส/เวิร์มอะไรเลยสักตัวนะครับ ผมเข้าเวปเสี่ยงบ่อยด้วยซ้ำ
ปล.ยังใช้วินโดวส์อยู่รึเปล่าครับเนี่ย? เลยไม่รู้ว่ามันดีมาได้สักพักใหญ่ๆแล้ว
ปล.2 อ่านเนื้อข่าวไหมครับ ไมโครซอฟท์ขอเวลาแก้ปัญหาแพตช์ไม่เข้ากันก่อน กูเกิ้ลกลับไม่ให้ จะให้ด่าไมโครซอฟท์ที่เอาแพตช์กลับไปแก้ให้ใช้งานได้นี่ น่าเกลียดไปหน่อยมั้ง?
ปล.3 อ่านแล้วรู้สึกความแค้นที่แผ่ออกมาเลยครับ
ตั้งแต่ใช้ windows มาไม่เคยติดไวรัสเลยครับ เหอะๆ
เหรออออออออ บั๊ก ShellShock มีมากี่ปีครับ? หนึ่งปี สามปี หรือมากกว่านั้น แล้วมัวทำอะไรกันอยู่? พอเขาเอามาประกาศก็ทำตัวง๊องแง๊งโวยวาย
ถามจริง? เคย Donate เขาด้วยเหรอครับ?
แล้วรู้มั๊ยว่าช่องโหว่ที่เขาไม่ประกาศกันเขาเอาไปทำอะไร? - เอาไปขายกันใน Tor มีทั้ง Windows Linux OSX เพียบ
และใครกันแน่ที่เป็นพวกไม่รู้จักโต?
อ่านมาเหมือนจะบอกกันว่า MS ดีแล้วเรื่องระบบความปลอดภัย พอใจกันแล้วแล้วก็ถ้าหาก MS แย่เจ้าอื่นก็แย่เหมือนกันนั่นแหละ ประมาณนั้น
รู้รึเปล่าคับว่าเป้าหมายของ UAC มันเอาไว้ทำอะไร
คุณอ่านข่าวหรือเปล่า MS ไม่ได้โทษ Google เลย แค่ขอเวลาปรับแก้
แต่พอ Google ไม่ยอมแล้วปล่อยออกมารู้ไม๊ใครเสี่ยงที่จะซวยที่สุด > User ครับ เราๆท่านๆที่ต้องใช้ Windows นั่นละ
เค้าถึงออกมาบ่นกัน
งั้นผม ขอยกตัวอย่าง ในมุมกลับกันนะครับ
Microsoft ตั้งคณะทำงาน Project Infinity ขึ้นมาหา bug ของ Apple กับ Googleถ้าเจอ กำหนดให้เวลาแก้ 90 วัน ไม่งั้นจะเอา Bug ที่เจอ ไปใส่ไว้ในหน้าแรก ของ web page MSN
ดูไม่จืดเลยเนอะ
ผมว่า MS จะไปลงใน MSDN มากกว่านะ
Coder | Designer | Thinker | Blogger
ลองคิดว่าถ้า google ไม่ใช้ project zero แล้วไม่ตั้งกติกา 90 วันแต่สร้างตัวละครอีกตัวขึ้นมา แล้วปล่อยรูรั่วทุกตัวที่เจอ "ทันที"
microsoft อาจกำลังทำแบบ google อยู่ก็ได้ แต่ยังไม่เป็นข่าวเพราะ google อาจแก้ไข bug ได้เร็วกว่าที่ microsoft เตรียมประจาน
Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า ไม่ต้องถึงมือ Microsoft เพราะประจานตัวเองเรียบร้อย
ถ้าเคสนี้ ก็อาจเทียบได้กับ microsoft ไม่ออก patch ให้กับ Windows XP อีกต่อไปแล้วครับ เพราะถือว่าเลิก support ไปแล้ว
กว่าที่ MS จะหยุดซัพพอร์ต Windows XP ก็มี Windows 7 ที่ขึ้นมาแทนที่โดยสมบูรณ์แล้วอะครับ แถมประกาศล่วงหน้านานมากเพื่อให้ลูกค้าได้เตรียมตัวย้ายกันแต่เนิ่นๆ
แต่ถึงจะไม่นับตรงนั้น การเป็น OS ที่ได้อัพเดทมาตลอดร่วมๆ สิบปีก็ถือว่า MS รับผิดชอบลูกค้าสุดๆ แล้ว
ในขณะที่ Android 4.3 อายุยังไม่เต็ม 2 ปีดี กลับไม่ได้รับการเหลียวแลแล้ว ถึงจะมี Android 4.4, 5.0 แล้ว แต่จำนวนผู้ใช้ 4.3- ก็ยังมีอยู่ครึ่งต่อครึ่งเลย จะไปบอกว่าเป็นความรับผิดชอบของผู้ผลิตแต่ละเจ้าก็ไม่ได้ เพราะ Webview มันเป็นส่วนหนึ่งของ core ครับ
ข้อแตกต่างของ Windows XP และ Android รุ่นต่ำกว่า 4.4 คือ
1. ระยะเวลา support ของ Windows XP ยาวนานกว่ามาก และถึงแม้จะหยุด support ไปแล้ว แต่ patch บางตัวของ version ใหม่ๆ ก็ยังลงเพื่อแก้ไขปัญหาได้เช่นกัน การติดตั้ง patch ทำได้ง่ายกว่าเยอะ2. การหยุด support ของ Windows XP ทำในขณะที่ส่วนแบ่งของตลาดทั่วโลกลดต่ำลงมากกว่า 30% ส่วน Android นั้น รู้หรือเปล่าวว่า bug ที่มีปัญหา security นี้ มีผลกับ Android กว่า 61% ของทั้งตลาด ณ เวลาที่ผมโพสคอมเม้นนี้
3. Windows XP นั้นมี end-of-life policy ชัดเจน แต่ Android 4.3 หรือบางรุ่น มีบอกบ้าง ไม่บอกบ้าง โดยคิดเล่นๆ ว่า 18 เดือน หลังจาก release ตัว OS จะหมดอายุตาม FAQ ซึ่งในระดับ OS ผมถือว่าแย่มาก
ตกลง google เป็นตำรวจโลกไปแล้ว? ใครจะทำอะไรหรือไม่ทำอะไรต้องแจ้ง?
ตอนแรกโปรเจกต์นี้ดีนะ เหมือนช่วยผู้ใช้ระวังภัย ดีกับเจ้าของโปรแกรมด้วย 90 วันก็ไม่ใช่เวลาที่สั้นอะไรแต่พอเป็นแบบนี้ เหมือน google ตั้งทีมมาหาช่องโหว่คู่แข่งเพื่อเอามาไว้แบล็กเมลเลยนะครับ แหม่
ลองคิดว่า MS เป็นตัวเองที่พยายามแก้บัคในขณะที่ต้องเลี่ยงเสียงลูกค้าบ่นกับคิดว่าตัวเองเป็น Google ที่พบบัคดู
แล้วลองคิดดูว่าใครเดือดร้อนโดยไม่จำเป็นขนาดนั้น แล้วตัดสินใจเองแล้วกันครับ
โดยส่วนตัวเรื่อง OS เสียตังมันไม่ได้ต้องเร็วอย่างเดียว มันต้องไม่สร้างปัญหาเพิ่มด้วยถ้าออกแพตซ์มาแล้วสร้างความวุ่นวายให้แอดมินระบบจะออกมาทำไม?