จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง
Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้
- นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ
- Android 4.4 เปิดให้ผู้ผลิตฮาร์ดแวร์อัพเดตไบนารีของ WebView ที่กูเกิลส่งให้ ส่วน Android 5.0 แยก WebView มาอัพเดตผ่าน Google Play Services ช่วยให้กระบวนการอัพเดตง่ายสุดๆ เพราะผู้ผลิตฮาร์ดแวร์ไม่ต้องทำอะไรเลย
-
ก่อนหน้านี้กูเกิลนำแพตช์ของ WebView มาอัพเดตให้รุ่นเก่า (backport) ด้วย แต่เนื่องจาก WebKit/WebView มีขนาดใหญ่มาก มีการอัพเดตตลอดเวลา การนำแพตช์กลับมาแก้ให้ซอฟต์แวร์เวอร์ชันเก่าเกิน 2 ปีจึงเริ่มเป็นภาระหนักของทีมงาน เป็นเหตุให้กูเกิลตัดสินใจหยุดอัพเตด WebView บน Android 4.3 ลงไปในที่สุด
คำแนะนำของกูเกิลเพื่อความปลอดภัยที่ดีบน Android
-
ควรเปิดเว็บใดๆ ด้วยเบราว์เซอร์รุ่นล่าสุดที่อัพเดตได้จาก Play Store เช่น Chrome หรือ Firefox แทนการใช้ Android Browser ที่ฝังมาพร้อมกับตัวระบบปฏิบัติการ
- สำหรับนักพัฒนาแอพที่ต้องการเรียกใช้ WebView บน Android รุ่นเก่าๆ ควรควบคุมการใช้งานอย่างเข้มงวด เช่น บังคับเฉพาะเนื้อหาจากเว็บที่เชื่อถือได้และส่งข้อมูลผ่าน HTTPS เท่านั้น ( รายละเอียด )
ที่มา - +Adrian Ludwig via Talk Android
Comments
"นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ"
5.0 > 4.4 > 4.3
4.3 ก็ถือว่าอยู่ในรุ่นใหญ่ 2 รุ่นไม่ใช่หรอครับ
+1 นั่นสิ ถ้าอัพให้ 4.3 อีกซักรุ่นก็จบละ คงไม่มีใครมาว่าละ (หรืออย่างน้อยก็ว่าน้อยลงเยอะ) ตามสถิติที่ผมโพสต์ไว้ที่ข่าวก่อนหน้า ถ้าอัพให้ 4.3 ด้วย เครื่องที่ใช้ต่ำกว่า 4.3 น่าจะเหลือแค่ 25-35% เองมั้ง ดูดีกว่า 60% เยอะ น่าจะยอมปวดหัวอีกซักปี ปีหน้าก็ไม่ปวดหัวละ (เพราะส่วนใหญ่น่าจะ 4.4 ขึ้นไปหมดแล้ว)
ป.ล. ในโพสต์ต้นฉบับ มีดราม่ากันรุ่นแรงทีเดียว
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
พูดให้มันดูดีครับ ถ้าเอาจากใจจริงๆก็จะพูดว่า "ก็จะไม่ทำแล้วหล่ะ เสียเวลา เสียทรัพยากรบุคคลมากไป" แต่ถ้าพูดแบบนี้มันจะเป็นภาพลบเอาหน่ะสิ
เพราะงี้สินะเลยเที่ยวไปกดดันชาวบ้านด้วยกรอบเวลา 90 วัน ให้คนอื่นโดนๆ กันแทนบ้าง
คนอื่นประชดไม่เท่าไหร่แต่เป็นคุณนี่เห็นได้ชัดเลยว่าความเป็นสาวกมันทำให้หน้ามืดตามัว
โครงการนี้เปิดมาจะครบปีแล้วครับ ไม่ใช่เพิ่งมี และแก้บั๊กกันไปเยอะ ทั้งหมดเป็น OS และโปรแกรมฝั่งเดสก์ท็อป
จริงๆ ชาว OS X ก็ควรขอบคุณโครงการนี้ เพราะเป็นบั๊กฝั่ง OS X ไปก็เยอะ นับว่าเป็นงานปิดทองหลังพระ
วันหนึ่งกลับเป็นข่าวมากับค่ายไมโครซอฟท์ คนหมั่นใส้ก็มาลุยกันเพียบ พอเป็นบั๊กของกูเกิลเลยง้างใส่เลย
ก็อย่างว่า Haters Gonna Hate สติปัญญาไม่ต้อง ใช้อคติเพียวๆ ง่ายดี
อ่านตรงนี้ไม่เข้าใจครับ ผมอ่านยังไงก็ตีความได้ว่าไม่ว่าเป็นใครก็ด่า
รุ้สึกเหมือนพี่แกจะขี้เกียจ update และลด cost มากกว่า = =")
สรุปคือเป็นภาระของทีมงาน ...ดูแลลูกค้าได้ดีมากเลยท่าน
ไม่อัพก็ไม่เห็นจะเป็นอะไร เพราะ browser มันฝั่งใน firmware
พูดง่ายๆ คือถ้ายี่ห้อนั้นๆ ลอยแพรุ่นนั้นๆ แล้ว กูเกิ้ลจะแพตให้ก็แก้ไม่ได้อยู่ดี เลยเป็นเหตุให้ใน 5.0 มีการยกให้อัพเกรดได้
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
ฟังไม่ขึ้น แต่ปกติใช้ Chrome เลยหยวนๆไป
มัน ... ธรรมดา
เพราะภาระก็ส่วนนึง แต่เพราะอยากให้ upgrade ก็อีกส่วนนึง แนวทางลอยแพมาตรฐาน...
จริงๆ ก็อยากให้กูเกิลทำลงมาให้ 4.3 นะ แล้วก็ให้รู้กันไปว่า ปัญหาอยู่ที่ กูเกิล หรือ ผู้ผลิต หรือ ผู้ให้บริการโทรศัพท์ รายไหนเป็นตัวปัญหาทำให้อัพเดตช้ากันแน่
คือทุกวันนี้ ผู้ให้บริการมือถือนิสัยเสีย ต้องการทำ customization ต้องมีโปรแกรมเฉพาะฝังมากับในรอม ซึ่งแทบจะทุกเจ้าในโลกนี้ทำทั้งสิ้น แม้ว่ากูเกิลจะส่งอัพเดตมาให้ผู้ผลิต แต่กว่าจะหลุดมาถึงเรา ยังต้องผ่านผู้ผลิตแล้วส่งต่อให้ผู้ให้บริการมือถือแต่ละเจ้าตรวจสอบก่อนส่งไปยังเครื่องผู้ใช้งาน
แต่นึกแล้วก็น่านับถือที่แอปเปิลไม่ง้อ กล้าปฎิเสธตรงนี้ เรียกว่ามีรุ่นนี้ มีฮาร์ดแวร์เดียว รอมเดียวใช้ได้ทั่วโลก
ย่อหน้าสุดท้าย งง
ปฏิเสธอะไร ง้อใคร
แอปเปิลปฏิเสธไม่ยอมให้มีการทำ customization ในรอมของ iOS (อย่างเช่น มีแอพพิเศษสำหรับขายบริการเสริมของผู้ให้บริการแต่ละเจ้า) คือ ถ้าผู้ให้บริการมือถืออยากขาย iPhone ก็ต้องขายแบบนี้ ไม่แก้ไข ไม่มีโม ไม่แต่งกล่องให้อีกด้วย ถ้ารับไม่ได้ ก็ไม่ต้องเอาไปขาย
ข้อดีคือ ถ้าคิดจะอัพเดตเมื่อไร แอปเปิลก็ทำได้เลย ไม่ต้องห่วงความเข้ากันได้กับแอพของผู้ให้บริการแต่ละเจ้า ทุกๆ เจ้าทั่วโลก
อ๋อรายนั้นเขาไม่ง้ออยู่แล้วครับ ไม่ขายให้ก็ขายเอง เดี๋ยวก็มีคนมาซื้อ ขนาดไม่มีขายในประเทศใหนคนในประเทศนั้นยังหิ้วไปขายเลย
ยกตัวอย่าง ซื้อโทรศัพท์ค่าย A ก็จะการแถมแอพของค่ายนั้นมาด้วยเช่น aService, aPrivilege อะไรทำนองนี้
หรือเปิดใช้งานครั้งแรกก็จะมีหน้าน้อง "อิ่มอก" ออกมาต้อนรับ
แต่ของ Apple ไม่เป็นแบบนั้น เปิดเครื่องครั้งแรกคุณจะเจอแต่ แอพของ Apple เพียวๆ เลย
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
มันก็ไม่ต่างจาก Laptop Windows หน่ะครับ ที่มีโปรแกรมของผู้ผลิตใส่มาเต็มไปหมด ต้องมานั่งเอาออก เพราะแค่เปิดเครื่องมาไอ้เจ้าพวกนี้ก็ดึงเครื่องให้ช้าแล้ว แต่ของ โทรศัพท์มันต้องแบ่ง 2 ส่วนครับไอ้ที่ยัดเยียดมาหน่ะมันของค่ายผู้ผลิตเจ้านั้นๆ ส่วนผู้ให้บริการข้อมูลกับสัญญานไม่มีสิทธิ์ทำ
แต่บนพีชีมันแค่การลงปกติที่สามารถลบได้ทันทีนะครับ มันต่างจากต้องรูทก่อนแล้วค่อยลบอยู่พอสมควร
ต่อให้ Google อัพเดตให้ 4.3 หรือแม่แต่ 4.2, 4.1 และ 4.0 ถ้าผู้ผลิตไม่สนใจจะอัพเดตให้ ยังไงก็ไม่ได้อยู่ดี
ถ้าผู้ผลิตจะอัพเดตซอฟท์แวร์ให้ มีเหรอที่จะไม่ได้ 4.4 หรือ 5.0
อาา จะว่าไปก็จริงแฮะ เพราะรุ่นก่อนหน้านั้น webview มันฝังใน firmware สินะ
กำลังคล้อยตามเมนต์บนๆเลย
แต่ถ้าทำไว้หน่อยก็ไม่เสียหายนะ ความผิดไปตกอยู่กับ ผู้ผลิตมือถือแทน 555
ปล่อย 4.3.X มาก่อได้คนทำคัสตอมรอมมีเยอะ
ค่ายมือถือก็อัพไป 5.0 สิครับ - -
ห๊า อะไรนะ แก้เยอะ แก้ยาก ไม่แก้แล้ว อยากปลอดภัย ฏ็ให้ไปซื้อตัวใหม่ใช้โน่น... ??
"เป็นภาระหนักของทีมงาน" - แสดงว่าเข้าใจคำว่าข้อจำกัดของทรัพยากรและเวลา ทำแล้วเสียเวลาเยอะเลยไม่ทำมันซะเลย แต่ก็ดันไปประกาศกฎ 90 วันเหมือนคนไม่เข้าใจเรื่องที่ว่า
เขาก็แจ้งความปลอดภัยเองอยู่นิครับ และบอกวิธีแก้ด้วย ไม่ใช่เก็บงำไว้ไม่เหมืนอบางบริษัท ขนาดมีคนแจ้งถึง 90 วันก็ยังเฉย
จากข่าวที่ผ่านมามีบริษัทไหนที่แจ้ง 90 วันแล้วยังเฉยบ้างครับ
เคสนี้คงเรียกว่าเฉยไม่ได้มั้งครับ คือพี่ท่านกำลังจะแก้อยู่แล้ว แต่เกิด accident ทำให้ต้องเลื่อนเวลาออกไป ไม่ใช่ว่าเตือนแล้วยังไม่สนใจนะ
ประเด็นมันอยู่ตรงนี้ครับ
ป.ล. ช่วงนี้ PaPaSEK active น่าดูเลยนะฮะ
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
เพิ่งอัพเฟิร์มแวร์ครับ คงหวังแข่งกับบ็อตอีกตัวนึง แต่ยากหน่อยครับ บ็อตตัวนั้นไปไกลกว่ามากแล้ว...
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ผมพยายามช่วยงานบอทมั่งครับ เห็นช่วงนี้หายไป
อาจมีปัญหากับทางกระทรวงเศรษฐกิจดิจิทัลครับเพราะส้รางความ(ไม่)มั่นคงแก่กระทรวงที่ไล่จับผิดคนมากกว่าพัฒนาไอทีประเทศ เพ้อไปไกลละ
ใช้โครมแทนก็หมดปัญหาแล้ว
ปัญหาคือพวกแอพฯ ที่ใช้ webview (แอพฯ ที่เอาหน้าเว็บเพจมาเปิดในแอพฯ ตรงๆ) จะยังคงมีช่องโหว่ตัวนี้อยู่ครับ โดยเฉพาะ Android ตั้งแต่ 4.3 ลงไปที่ไม่มีโอกาสได้รับ patch ครับ
Google น่าจะลบ App พวกนี้ออกจาก Playstore ให้หมดนะครับ
ถ้าจำไม่ผิด Twitter, Facebook ก็ด้วยนะครับ :p
O_o แล้ว Facebook ทำไมไม่เขียนแบบ Chrome ที่ไม่มีปัญหา web view ละนั่น
แอพก็แค่เรียกใช้ webview ครับ OS มีหน้าที่จัดการที่เหลือให้ ซึ่ง Android 4.3 ลงไปมันส่งตัวที่มีปัญหากลับมาให้แอพ
App ยังไงก็ต้องใช้ Web view อยู่แล้วครับ เพราะการเขียนแบบ Chrome หมายถึงต้องเอา Engine การแสดงผลหน้าเว็บทั้งหมด การประมวลผล HTML, Javascript และอื่นๆ ทุกอย่างเข้ามารวมในโปรแกรมด้วย
การใช้ Web view เป็นทางออกที่ง่ายที่สุดสำหรับโปรแกรมอื่นๆ ที่จะแสดงผลหน้าเว็บครับ
TL;DR Google สันหลังยาวชินะ
งงว่าไปด่า google กันหมด เอ่อแปลกมาก
ทำไมไม่มีใครไปด่าค่ายมือถือบ้าง ที่ไม่อัพ 5.0 ให้ จะได้หมดปัญหา
หรือหลายคนสับสนคิดว่าเป็น windows xp กันเนี่ย ฮึ?
เพราะต่อให้อัพเดท 4.3 ให้ แต่ถ้ามือถือเครื่องนั้นโดนแพแล้ว คิดหรือว่าค่ายมือถือจะอัพเดทให้?
ไม่ต้องพูดถึง custom รอมนะ อันนั้น ไป 4.4 5.0 เลยดีกว่า
เพราะไม่ใช่ว่าทุกเครื่องจะได้ไปต่อ และก็ไม่ใช่ว่าทุกเครื่องจะสเปคถึงไงครับ
ที่สำคัญคือกูเกิลเคยบอกว่าจะตามอัพให้ในระยะ 2 เมเจอร์เชนจ์ 4.3 ก็ควรจะถูกอัพเดท
ส่วนว่าผู้ผลิตจะอัพให้หรือเปล่านี่เป็นอีกเรื่องนะครับ ถ้ากูเกิลแปะแพชท์ให้แล้วก็ไม่มีใครด่ากูเกิลได้ ถือว่าทำหน้าที่ตัวเองถึงที่สุดแล้ว ก็ค่อยไปด่าผู้ผลิตกันต่อ
จะให้นั่งทนไม่ด่าไม่พูดอะไรก็คงยากอ่ะครับ แต่ผมไม่ด่าอะไรนะ ผมใช้ Nexus 4 ก็เลยสบายหน่อยครับ
แล้วทำไมคิดว่าค่ายมือถือจะไม่อัพให้ล่ะครับ? ผมคิดว่าการอัพ "ข้ามเวอร์ชัน" กับการ "อัพเดทเวอร์ชันเดิมให้ปลอดภัยขึ้น" ความยากน่าจะต่างกันโขอยู่นะครับ อย่างน้อยมันก็ยังมีลุ้นกว่าเยอะ แต่ถ้ากูเกิลไม่อัพให้เลยก็ไม่ต้องลุ้นเลย เพราะงั้นตอนนี้จะให้ไปด่าค่ายมือถือมันก็ไม่ถูกนี่ครับ (คือด่าว่าลอยแพน่ะด่าอยู่แล้ว แต่เรื่องนี้มันคนละเรื่องกัน)
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
google ก็บอกชัดเจนนะว่าจะสนับสนุนแอนดรอยด์เวอชันหนึ่งๆ 18 เดือน(เวอร์ชันใหม่ก็ออกทุกๆ 6 เดือน) ถ้าเกินก็อาจไม่มีแล้ว ทำไมไม่โวย OEM บ้างว่าทำไมไม่ออกอัพเดท 4.4 , 5 ให้ลูกค้า
มันไม่มีแบ่ง Security and Critical Updates กับ Features Update เหมือนแบบวิน เหรอครับ
ສະບາຍດີ :)