กูเกิลชี้แจง เหตุใดถึงหยุดออกแพตช์ความปลอดภัย WebView รุ่นเก่า

จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง

Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้

• นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ
• Android 4.4 เปิดให้ผู้ผลิตฮาร์ดแวร์อัพเดตไบนารีของ WebView ที่กูเกิลส่งให้ ส่วน Android 5.0 แยก WebView มาอัพเดตผ่าน Google Play Services ช่วยให้กระบวนการอัพเดตง่ายสุดๆ เพราะผู้ผลิตฮาร์ดแวร์ไม่ต้องทำอะไรเลย

• ก่อนหน้านี้กูเกิลนำแพตช์ของ WebView มาอัพเดตให้รุ่นเก่า (backport) ด้วย แต่เนื่องจาก WebKit/WebView มีขนาดใหญ่มาก มีการอัพเดตตลอดเวลา การนำแพตช์กลับมาแก้ให้ซอฟต์แวร์เวอร์ชันเก่าเกิน 2 ปีจึงเริ่มเป็นภาระหนักของทีมงาน เป็นเหตุให้กูเกิลตัดสินใจหยุดอัพเตด WebView บน Android 4.3 ลงไปในที่สุด

  คำแนะนำของกูเกิลเพื่อความปลอดภัยที่ดีบน Android

• ควรเปิดเว็บใดๆ ด้วยเบราว์เซอร์รุ่นล่าสุดที่อัพเดตได้จาก Play Store เช่น Chrome หรือ Firefox แทนการใช้ Android Browser ที่ฝังมาพร้อมกับตัวระบบปฏิบัติการ

• สำหรับนักพัฒนาแอพที่ต้องการเรียกใช้ WebView บน Android รุ่นเก่าๆ ควรควบคุมการใช้งานอย่างเข้มงวด เช่น บังคับเฉพาะเนื้อหาจากเว็บที่เชื่อถือได้และส่งข้อมูลผ่าน HTTPS เท่านั้น (รายละเอียด)

ที่มา - +Adrian Ludwig via Talk Android