Oracle แจ้งเตือนนักพัฒนา Java การรับรองไฟล์ JAR ด้วย MD5 จะใช้ไม่ได้แล้วการเข้ารหัสแบบ MD5 ถือว่าไม่ปลอดภัยแล้วในยุคปัจจุบัน ล่าสุด Oracle แจ้งนโยบายใหม่ให้กับแพลตฟอร์ม Java ที่จะมองแพ็กเกจ JAR ที่เซ็นรับรอง (sign) ด้วยการเข้ารหัสแบบ MD5 ว่าไม่ปลอดภัย
แพลตฟอร์ม Java ใช้การเข้ารหัสแบบ MD5 เป็นดีฟอลต์สำหรับแพ็กเกจ JAR มาตั้งแต่ Java SE 6 ในปี 2006 แต่ตอนนี้ถึงเวลาต้องเปลี่ยนแล้ว (ค่าดีฟอลต์ปัจจุบันคือ SHA-2 ที่มาแทน SHA-1 ที่ไม่ปลอดภัยแล้วเช่นกัน)
Oracle แจ้งเตือนในหน้าดาวน์โหลด Java ว่าตั้งแต่ 18 เมษายน 2017 เป็นต้นไป ตัว Java Runtime Environment (JRE) ที่ได้รับแพตช์ April 2017 Critical Patch Update จะมองไฟล์แพ็กเกจ JAR ที่เซ็นรับรองด้วย MD5 ว่ามีสถานะเทียบเท่ากับแพ็กเกจที่ไม่ได้เซ็นรับรองใดๆ (unsigned) ผลคือ JRE จะไม่ยอมรันไฟล์ JAR เหล่านี้โดยดีฟอลต์ เว้นแต่ผู้ใช้เป็นคนกดอนุญาตด้วยตัวเองเป็นกรณีไป
Oracle ประกาศเรื่องนี้ไว้ตั้งแต่เดือนตุลาคมปีที่แล้ว และเอาขึ้นหน้าเว็บดาวน์โหลด Java อีกครั้งเพื่อให้ผู้ที่เกี่ยวข้องรับทราบกันมากขึ้น ใครที่ยังมีไฟล์ JAR ของเก่าที่ยังต้องใช้งานกันต่อ ก็คงต้อง sign กันใหม่
ที่มา - Oracle, Infoworld
อ้างอิง:https://www.blognone.com
ณ 23/1/2017