ออราเคิลออกนโยบายความปลอดภัยแก้ปัญหา Java รั่ว, ออก Server JRE รุ่นไร้ปลั๊กอิน

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมา สร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

• แยกรุ่นของ JRE เป็น Server JRE โดยไม่มี Java Plug-in ที่เป็นปัญหาโดนเจาะมาตลอด เพื่อให้ปัญหาช่องโหว่ไม่กระทบงานด้านเซิร์ฟเวอร์ (เริ่มใช้ตั้งแต่ Java 7u21 เป็นต้นไป)
• แยกกระบวนการออกแพตช์ความปลอดภัยเป็น 2 ประเภท คือ Critical Patch Update รุ่นมาตรฐานออกปีละ 4 ครั้ง ตามรอบซอฟต์แวร์ตัวอื่นของบริษัท และ Security Alert สำหรับแก้ปัญหาเฉพาะหน้าเป็นจุดๆ ไปเมื่อค้นพบช่องโหว่สำคัญ
• เปลี่ยนเงื่อนไขการรัน Java applet โดย applet ที่ถูก sign จะไม่จำเป็นต้องได้สิทธิรันนอก sandbox อัตโนมัติเหมือนก่อน และตัวปลั๊กอินจะตั้งค่าห้ามไม่ให้รัน applet ที่ไม่ถูก sign ตามกระบวนการของออราเคิลแล้ว
• ในอนาคต Java applet ที่ไม่ได้ sign ตามกระบวนการที่ถูกต้อง จะรันไม่ได้เลย
• จากปัญหา Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว ออราเคิลจะปรับปรุงวิธีการตรวจสอบใบรับรองดิจิทัลใหม่ในอนาคต แต่ในระยะสั้นจะปิดฟีเจอร์ด้านการตรวจสอบนี้ทิ้งไปก่อน ด้วยเหตุผลด้านประสิทธิภาพ

ที่มา: Blognone

ช่องโหว่ของ Ruby on Rails ถูกใช้เจาะเซิร์ฟเวอร์เป็นวงกว้าง

ช่องโหว่ของ Ruby on Rails ที่ถูกค้นพบในเดือนมกราคมปีนี้ กลายเป็นช่องทางสำคัญให้แฮ็กเกอร์เจาะเข้าไปยังเซิร์ฟเวอร์ที่ติดตั้ง Rails เอาไว้ และเปลี่ยนเซิร์ฟเวอร์เหล่านี้เป็น botnet สำหรับอาชญากรรมคอมพิวเตอร์ด้านอื่นๆ (เช่น มัลแวร์) ต่อไป

ช่องโหว่ตัวนี้ของ Rails มีความรุนแรงในระดับสูง (critical) เพราะเปิดโอกาสให้แฮ็กเกอร์ส่งโค้ดอันตรายเข้ามารันบนเซิร์ฟเวอร์ได้จากระยะไกล ทางทีมพัฒนา Rails ออกแพตช์แก้นานแล้ว แต่ก็ยังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้อัพแพตช์ตาม และกลายเป็นเหยื่อของช่องโหว่นี้ในที่สุด

ผู้ใช้ Rails ควรอัพเกรดเป็นเวอร์ชัน 3.2.11, 3.1.10, 3.0.19, 2.3.15 ขึ้นไปครับ

ที่มา: Blognone

Jony Ive คือ "กุญแจสำคัญ" ของ iOS 7

ยังคงเป็นกระแสที่ร้อนแรงและถูกพูดถึงกันมากสำหรับระบบปฏิบัติการ iOS 7 ของ Apple ที่บรรดาสาวก รวมถึงผู้ใช้สมาร์ทโฟนทั่วโลก ต่างเฝ้าติดตามการเปลี่ยนอินเตอร์เฟซแบบยกชุด ภายใต้การนำของ Jony Ive

จากการให้สัมภาษณ์ของ Tim Cook ประธานบริหาร หรือ CEO ของ Apple ที่ D11 Conference เขากล่าวว่า Jony Ive เป็นกุญแจสำคัญในการสร้างรุ่นต่อไปของระบบปฏิบัติการ ซึ่งมีกำหนดเปิดตัวในงาน WWDC เดือนมิถุนายนนี้ ซึ่ง Tim Cook ก็ยอมรับว่า Jony Ive มีส่วนสำคัญต่อภาพลักษณ์ของ Apple ในหลายๆ ปีที่ผ่านมา และเชื่อว่าซอฟต์แวร์จะมีพัฒนาการที่ดีขึ้นอย่างไม่น่าเชื่อ โดยมี Jony Ive เป็นพลังสร้างสรรค์อยู่เบื้องหลัง อย่างไรก็ตามกับข่าวลือที่ว่า iOS 7 จะมีการเปลี่ยนอินเตอร์เฟซใหม่แบบชุดใหญ่ ไม่ว่าจะเป็นการเปลี่ยนมาใช้สีขาวและดำเป็นหลัก หรือการเปลี่ยนหน้าตาให้เรียบและดูสะอาดขึ้น ทาง Tim Cook ก็ไม่ได้เอ่ยถึงเรื่องนี้แต่อย่างใด เขาบอกสั้นๆ ว่า "อนาคตของ iOS และ OS X จะเปิดตัวที่งาน WWDC 2013 เดือนมิถุนายนนี้"

ทั้งนี้เหล่าผู้ใช้สมาร์ทโฟนไปจนถึงสาวก Apple คงต้องติดตามอย่างใกล้ชิด สำหรับการเปิดตัว iOS 7 และ OS X ในงาน WWDC 2013 ซึ่ง keynote จะอยู่ในวันที่ 10 มิถุนายนนี้

ที่มา: ARiP 

ถึงจุดอิ่มตัว? หัวหน้าทีมวิศวกรของ Google Maps ย้ายซบ Microsoft

หลังเปิดตัวแผนที่แบบใหม่ได้ไม่นาน ตอนนี้ทีม Google Maps ก็เสียกำลังสำคัญไปให้กับคู่แข่ง เมื่อ Raj Shah หัวหน้าทีมวิศวกรของ Google Maps ย้ายไปทำงานให้กับ Microsoft

ในช่วงที่ทำงานกับ Google อยู่นั้น Shah ทำหน้าที่รวบรวมข้อมูลย่อยของแผนที่ทั้งหมดจากทั่วโลก มาผนวกรวมเข้าด้วยกันเป็น Google Maps และย้อนไปก่อนหน้านั้น เขาเป็นผู้สร้างศูนย์วิศวกรรมของ Google ในประเทศอินเดีย ส่วนงานอื่นๆ นอก Google ได้แก่ การก่อตั้งบริษัทรับจัดงานอีเวนท์ชื่อ 123Signup และเป็นรองประธานฝ่ายวิศวกรรมของบริษัทด้านการบริหารองค์กร Ketera

ส่วนงานใหม่ของ Shah ใน Microsoft ก็แน่นอนว่ายังคงวนเวียนอยู่กับงานแผนที่ โดยเขาจะดูแลงานในแผนกบริการออนไลน์ ทั้งตัว Bing Maps และผลิตภัณฑ์ตัวอื่นที่เกี่ยวข้อง

ต้องมาดูว่าในอนาคต Microsoft จะยกระดับบริการแผนที่ตัวเองขึ้นมาสู้กับ Google Maps ได้มากขนาดไหน

ที่มา: Blognone

Twitter เพิ่มระบบล็อคอิน 2 ชั้นแล้ว

หลายครั้งหลายคราว ที่เรามักจะได้ยินข่าวของโซเชียลมีเดียถูกแฮคเข้าระบบ โดยบรรดาแฮคเกอร์ที่อาศัยช่องโหว่ต่างๆ เพื่อหลอกให้ผู้ใช้งานหลงเชื่อจนตกเป็นเหยื่อ และนำมาซึ่งความเสียหายที่ยากจะคาดเดา ด้วยเหตุนี้จึงทำให้ Twitter จึงเตรียมมาตรการสำหรับปกป้องผู้ใช้งานด้วยระบบล็อคอิน 2 ชั้น

Twitter คือโซเชียลมีเดียหลายใหญ่ที่มักตกเป็นเป้าหมายของบรรดาแฮคเกอร์ ที่จ้องจะใช้ช่องโหว่ตามบัญชีของผู้ใช้งานเพื่อใช้ก่อเหตุที่ไม่คาดคิดต่างๆ ด้วยเหตุนี้ Twitter จึงจำเป็นต้องใช้มาตรการ "two-factor authentication" หรือระบบล็อคอินก่อนเข้าใช้งาน 2 ชั้น ซึ่งในการเปิดใช้ระบบดังกล่าว เจ้าของบัญชี Twitter ต้องเข้าไปที่เมนู account settings จากนั้นให้เลือกไปที่ Require a verification code when I sign in (ต้องการรหัสยืนยันเมื่อทําการเข้าสู่ระบบ) และเลือก add a phone (เพิ่มมือถือ)  สำหรับใส่เบอร์โทรศัพท์มือถือของตัวคุณเอง จากนั้นระบบก็จะให้คุณกดยืนยันการส่งรหัส  6 หลักไปที่โทรศัพท์มือถือของคุณ และจะให้คุณตั้งรหัสผ่านใหม่ หรือพิมพ์รหัสเดิมที่ผูกติดกับ Twitter ของคุณ แล้วกดเซฟ

จากขั้นตอนขั้นต้นแล้ว การเข้าสู่ระบบครั้งต่อไปเมื่อคุณพิมพ์ยูสเซอร์เนมและรหัสผ่านแล้ว ระบบก็จะขึ้นหน้าต่างอีกหน้าขึ้นมาเพื่อให้คุณกรอกรหัส 6 หลักที่ส่งมาเป็น SMS ในโทรศัพท์มือถือของคุณ หลังจากกรอกรหัสเสร็จเรียบร้อยถึงจะสามารถเข้าใช้งาน Twitter ได้ตามปกติ

อย่างไรก็ตามทางออกอีกอย่างสำหรับการใช้ Twitter รวมไปถึงโซเชียลมีเดียอีกหลายๆ ตัวคือ การตั้งรหัสผ่านที่มีความยาก หรือหมั่นเปลี่ยนรหัสผ่านเหมือนอย่างการใช้บัตร ATM ที่มักจะเตือนเสมอว่าให้เปลี่ยนรหัสผ่านเพื่อเป็นการป้องกันเหล่ามิจฉาชีพ และแฮคเกอร์ไม่ให้สามารถเดารหัสผ่านของเราได้ถูกต้องนั่นเอง

Update1:  Evernote เพิ่มระบบล็อกอินสองชั้น Two-Step Verification

Evernote ถูกแฮ็กครั้งใหญ่ไปเมื่อต้นปี วันนี้บริษัทจึงประกาศฟีเจอร์ด้านความปลอดภัยเพิ่มขึ้นอีก 3 อย่าง

• Two-Step Verification ระบบล็อกอินสองชั้นด้วยโค้ดที่ส่งทาง SMS เหมือนกับบริการออนไลน์อื่นๆ ที่ทำกันไปก่อนแล้ว ระบบนี้ยังเป็นตัวเลือกที่ผู้ใช้ต้องเปิดใช้งานเอง ไม่บังคับใช้แต่อย่างใด (เบื้องต้นยังใช้ได้เฉพาะ Evernote Premium/Evernote Business แต่อนาคตจะขยายไปยังผู้ใช้ทุกคน)
• Authorized Applications แสดงรายชื่อของแอพที่ขอสิทธิเข้าถึงข้อมูลใน Evernote และสามารถยกเลิกการเข้าถึงได้จากหน้าเว็บ
• Access History แสดงประวัติการล็อกอินใช้งาน Evernote เพื่อดูว่ามีใครแปลกปลอมเข้ามาในบัญชีของเราหรือไม่

Update2: LinkedIn เริ่มใช้ระบบล็อกอินสองชั้น Two-Step Verification 

LinkedIn เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-step verification) เช่นเดียวกับบริการออนไลน์อีกหลายรายที่นำร่องไปก่อนแล้ว

กระบวนการทำงานก็ไม่ต่างจากยี่ห้ออื่นคือ ยืนยันตัวตนอีกชั้นผ่าน SMS และยังเป็นแค่ทางเลือก (optional) ให้ผู้ใช้เลือกเปิดใช้งานกันเองโดยไม่บังคับ วิธีการเปิดใช้คือเข้าไปยัง Settings > Account > Manage Security ครับ

ที่มา: ARiP, Blognone, Bloenone

Twitter-Instagram วัยรุ่นนิยมมากขึ้น

โซเชี่ยลเน็ตเวิร์คในโลกยุคดิจิตอลทุกวันนี้ มีมากมายหลายแบบหลายบริษัท แต่ Facebook ก็คงความเป็นเบอร์ 1 ที่ครองใจทั้งเด็ก วัยรุ่น และผู้ใหญ่ได้อย่างเหนียวแน่น ซึ่งในอนาคตจะยังเป็นเช่นนี้อยู่หรือไม่ เมื่อ Twitter กับ Instagram เริ่มเข้ามาเป็นส่วนหนึ่งของการใช้ชีวิตมากขึ้นโดยเฉพาะ "วัยรุ่น" !!

จากผลสำรวจวัยรุ่นจำนวน 802 คน ที่มีอายุระหว่าง 12 - 17 ปี เมื่อเดือนกันยายน ปี 2012 โดย Pew Research Center ระบุว่า Facebook ยังคงได้รับความนิยมเป็นอันดับที่ 1 ในปี 2012 มีการใช้สังคมออนไลน์นี้คิดเป็น 94% มีอัตราการเติบโต 1% จากปี 2011 ซึ่ง 81% ของวัยรุ่นที่ทำการสำรวจมี Facebook เป็นโซเชี่ยลเน็ตเวิร์คหลัก ตามมาด้วย Twitter ที่วัยรุ่นเริ่มหันมาใช้งานเพิ่มขึ้นเป็น 26 %  มากกว่าปี 2011 ที่มีอัตราการใช้งานของวัยรุ่นเพียง 16% เท่านั้น รองลงมา ได้แก่ Instagram และ Tumblr ผลสำรวจบอกต่อไปว่า วัยรุ่นนิยมโพสต์รูปตัวเองในโซเชี่ยลเน็ตเวิร์คเป็นส่วนใหญ่ พร้อมใส่ชื่อโรงเรียน ชื่อเมือง อีเมล์ และเบอร์โทรศัพท์ ลงไว้ในโปรไฟล์ด้วย แต่ 60% ของวัยรุ่นตระหนักเรื่องความปลอดภัยของบริการไปจนถึงความเป็นส่วนตัว ดังนั้นจึงเลือกใช้ตั้งค่าความเป็นส่วนตัว และอีกเหตุผลอันเนื่องมาจากมีผู้ใหญ่ เช่น พ่อแม่ คนในครอบครัว ไปจนถึงญาติพี่น้องที่หันมาใช้ Facebook เช่นเดียวกัน เป็นการแสดงออกว่าวัยรุ่นไม่ต้องการให้ผู้ใหญ่เหล่านั้น เห็นข้อมูลส่วนตัวของพวกเขาทั้งหมด

ผลสำรวจต่อมาบอกอีกว่า วัยรุ่นใช้เวลากับ Facebook น้อยลง แต่ยังคงมีบัญชีอยู่ และหันไปใช้โซเชี่ยลเน็ตเวิร์คอย่าง Twitter กับ Instagram มากขึ้น

จากผลสำรวจดังกล่าวเป็นสิ่งที่ยืนยันได้อีกครั้งว่า Facebook กำลังเสียฐานลูกค้าในวัยรุ่นไปอย่างต่อเนื่อง ต่อให้ Facebook ใช้ความพยายามทั้งการปรับหน้าตา เพิ่มฟีเจอร์ เพิ่มลูกเล่นต่างๆ แต่นั่นก็ไม่ได้ดึงดูดให้กลุ่มวัยรุ่นหันกลับมาใช้ Facebook ได้อย่างในอดีต

ที่มา: ARiP

Google บุกลงทุนโครงการไฟฟ้าพลังแสงอาทิตย์ในทวีปแอฟริกา

Google เริ่มลงทุนในธุรกิจผลิตไฟฟ้าจากพลังงานแสงอาทิตย์ในทวีปแอฟริกาเป็นครั้งแรก โดยร่วมลงทุนในฟาร์มผลิตไฟฟ้าซึ่งตั้งอยู่ในประเทศแอฟริกาใต้ ด้วยเงิน 12 ล้านดอลลาร์

โครงการฟาร์มผลิตไฟฟ้าจากแสงอาทิตย์นี้มีชื่อว่า Jasper Power Project ใช้วิธีการผลิตแบบ photovoltaic มีกำลังผลิตกระแสไฟฟ้า 96 เมกะวัตต์ ซึ่งสามารถจ่ายให้แก่ภาคครัวเรือนได้ราว 300,000 หลัง นับเป็นโครงการผลิตไฟฟ้าจากแสงอาทิตย์ที่ใหญ่อันดับต้นๆ ของทวีปแอฟริกา โดยการลงทุนในครั้งนี้ เป็นการร่วมลงทุนกับองค์กรอื่นของแอฟริกาใต้ด้วย อาทิเช่น SolarReserve, Intikon Energy, Kensani Group, ธนาคาร Rand Merchant Bank, Public Investment Corporation, ธนาคาร Development Bank of South Africa เป็นต้น

ก่อนหน้านี้ Google ได้ลงทุนในธุรกิจพลังงานทางเลือกมาอย่างต่อเนื่อง โดยในส่วนของพลังงานไฟฟ้าจากแสงอาทิตย์นั้น Google ได้เลือกลงทุนในหลายโครงการที่ตั้งอยู่ในทวีปอเมริกาและทวีปยุโรปเป็นหลัก นี่จึงเป็นอีกก้าวหนึ่งในการบุกเบิกพื้นที่ใหม่เพื่อทำธุรกิจด้านพลังงาน โดยนับถึงปัจจุบันนี้ Google ได้ลงทุนในส่วนนี้ไปแล้วกว่า 1 พันล้านดอลลาร์

ที่มา: Blognone

Wongnai ได้รับเงินทุนจาก Recruit Strategic Partners

เว็บรีวิวร้านอาหารของไทยอย่าง "วงใน" (Wongnai) ได้รับเงินลงทุนจากบริษัทลงทุน Recruit Strategic Partners จากญี่ปุ่นเป็นก้อนแรก หลังจากเปิดบริการมาตั้งแต่ปี 2010

ตัวเลขล่าสุดของวงในคือ ผู้ใช้นั้นอยู่ที่ 570,000 คน และร้านอาหารมากกว่า 100,000 ร้าน จากการรวมฐานข้อมูลจากบริษัทคู่ค้า และการรายงานจากผู้ใช้ ตัวแอพพลิเคชั่นของวงในในตอนนี้มีบน iOS, Android, Windows Phone 8, Blackberry และ SmartTV

เงินลงทุนไม่เปิดเผยจำนวน แต่ทางวงในระบุว่าจะใช้เงินจำนวนนี้ เพื่อการพัฒนาข้อมูลร้านอาหารทั้งในกรุงเทพฯ และจังหวัดอื่นๆ ทั่วประเทศ

วันนี้ผมเพิ่งได้สัมภาษณ์ผู้บริหารของทางวงใน หลังจากที่ถอดบทสัมภาษณ์และเรียบเรียงเสร็จแล้ว คงนำมาลงให้อ่านกันเร็วๆ นี้ครับ

ที่มา: Blognone

Paypal เจอปัญหา XSS, ผู้พบอายุไม่ถึงเกณฑ์รับรางวัล

Paypal มีโครงการให้จ่ายเงินรางวัลสำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์

Robert Kugler นักเรียนอายุ 17 ปี เป็นผู้พบบั๊กในช่องค้นหาของ Paypal ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18 ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ

บั๊กนี้ไม่สามารถทำงานได้บน WebKit เพราะระบบกรองอินพุตของเบราว์เซอร์เองไม่ยอมส่งอินพุตที่เป็นสคริปต์เช่นนี้ไปยังเซิร์ฟเวอร์ แต่เบราว์เซอร์อื่นๆ เช่น Firefox, IE, และ Opera นั้นจะเสี่ยงต่อบั๊กนี้

update: ผมพบว่าผมเข้าใจตัวข่าวผิด และเขียนข่าวในตอนแรกชี้นำผิดไปนะครับ Kugler ไม่ได้ติดต่อ Paypal ก่อนเปิดเผยบั๊ก แต่บ่นว่ากติกาบนหน้าเว็บของโครงการทำให้เขาไม่สามารถเข้าร่วมได้ จึงเปิดเผยบั๊กนี้ออกมา

update2: Kugler ออกมาเปิดเผยอีเมลระหว่างเขาและ Paypal แสดงให้เห็นว่าเขาได้ติดต่อ Paypal ไปแล้วล่วงหน้าหลายสัปดาห์ แต่ทาง Paypal ปฎิเสธที่จะยอมรับว่าเขาเป็นผู้ค้นพบช่องโหว่นี้ รวมถึงปฎิเสธไม่ยอมจ่ายเงินผ่านบัญชีของพ่อของเขา

update3: ตอนนี้ Paypal ก็ออกมาชี้แจงปัญหาว่าบั๊กนี้มีการค้นพบมาก่อนแล้วโดยนักวิจัยอื่น ทำให้ไม่สามารถจ่ายรางวัลให้กับ Kugler ได้เพราะจะจ่ายให้กับผู้พบคนแรกเท่านั้น

ที่มา: Blognone

แผนที่สามมิติของ Google Maps เจอปัญหาเดียวกับแผนที่สามมิติของ Apple Maps

หนึ่งปีมาแล้ว หลังจากที่แอปเปิลได้ปล่อยแผนที่ของตัวเองออกมา Google Maps ก็ได้เริ่มใช้เทคโนโลยี Flyover เช่นเดียวกันในการทำแผนที่ที่แสดงให้เห็นถึงตึก และสภาพแวดล้อมจริงในแบบสามมิติ แต่สุดท้าย Google Maps ก็หนีไม่พ้นปัญหาที่แอปเปิลเจอมาก่อนหน้านี้ นั่นก็คือ "ปัญหาเมืองพัง"

ในส่วนที่ Google Maps มีปัญหานี้ เมื่อเปิด Apple Maps เปรียบเทียบตำแหน่งเดียวกัน จะพบว่าบน Apple Maps จะไม่พบปัญหานี้แล้ว โดยก่อนหน้านี้ผู้ใช้ Apple Maps ได้พบกับปัญหาลักษณะเดียวกันนี้มากมาย แต่แอปเปิลก็ได้ไล่แก้ปัญหาทีละจุดๆ ไป

เว็บ AppleInsider ยังบอกอีกว่าสำหรับสถานที่เด่นๆ หรือสถานที่ที่มีความสำคัญอย่างอาคาร Empire State บนเกาะแมนแฮตตัน กูเกิลสามารถทำภาพได้ออกมาดีกว่าแอปเปิล แต่เมื่อดูอาคารรอบๆ แล้ว จะพบว่าแผนที่ของแอปเปิลมีรายละเอียดที่ดีกว่า

ภาพบน Google Maps (บน) เปรียบเทียบกับ Apple Maps ที่ตำแหน่งเดียวกัน (ล่าง)

เปรียบเทียบอาคาร Empire State

ที่มา: Blognone