ใช้ Password Manager กันเถอะ

สมัยเด็กๆ ผมก็เห็นโปรแกรม password manager อยู่หลายตัวล่ะครับ ก็คิดว่า เอารหัสผ่านมารวมใส่ไฟล์ๆ เดียวแบบนี้นี่ก็ไม่ต่างกับเอามาแปะหน้าจอคอมสิ

จนกระทั่งปีที่ผ่านมานี้ผมเพิ่งได้คำตอบว่าทำไมถึงควรใช้ Password Manager

“รหัสผ่านที่จำได้คือรหัสที่ไม่ดี”

โอเคว่าเราสามารถเลือกรหัสผ่านยาวๆ ได้ จะเป็น correct horse battery staple หรือจะพิมพ์ไทยแบบ pkpdbo]ewpohe]kppkpws]phvp แต่มีใครจำรหัสผ่านไม่ซ้ำกันเลย 60 เว็บไหวไหมล่ะครับ (มันก็เป็นไปได้นะ ประเภทรหัสว่า this is my facebook, this is my twitter แต่หลุดมาสักอันก็พอเดาได้ว่าอันถัดไปจะเป็นอะไร)

แถมรหัสผ่านที่ดีก็ต้องมีเครื่องหมายพิเศษอีกนะครับ แล้วก็ต้องยาว พวกนี้ยิ่งทำให้รหัสจำยากขึ้นไปอีก

ฉะนั้นแล้ว ใช้ password manager เถอะครับ แล้วคุณจะมีรหัส 60 เว็บไม่ซ้ำกันแม้แต่นิด


สมัยเด็กผมมีคำถามอีกอันนึงที่ผมสงสัย คือโปรแกรมพวก password generator เนี่ยมันมีไว้ทำไม ออกมาแบบ [uoK=%FBX$I1Hu#CwlRrWY4j ใครจะไปจำได้

คำตอบก็ยังอยู่ที่ password manager นี่แหละครับว่ารหัสที่เราจำไม่ได้แบบนี้นี่แหละควรจะเก็บใน password manager ไม่ใช่เรานั่งนึกรหัสผ่าน 60 แบบเอง ฉะนั้นจะมีครบตัวอักษร ตัวเลข ตัวพิเศษ แถมยาวและไม่ซ้ำกันอีกด้วย

สรุปแล้วคือ password manager ก็จะมาช่วยให้เราเอารหัสผ่านประเภทที่ว่าคงไม่มีใครจำได้มาเก็บไว้หลายๆ ตัว เพื่อที่ว่าแต่ละเว็บเราจะได้มีรหัสผ่านไม่ซ้ำกัน และเดาได้ยากมาก


ผมเองก็ใช้ Password Manager มาเกือบครึ่งปีแล้วครับ ก็มีประเด็นหลายอันที่น่าสนใจที่อยากมาเล่าให้ฟังประกอบการตัดสินใจ

Master password

ปัญหาของ password manager คือมันจะมีรหัสแม่ที่ไว้เข้ารหัสฐานข้อมูล หลุดปุ๊บคืองานเข้าเลยครับ รหัสตัวนี้เรียกว่า master password ซึ่งมันน่ารำคาญตรงที่ ตั้งยาวมากก็ขี้เกียจพิมพ์โดยเฉพาะในมือถือ (นึกภาพตั้งรหัสยาวๆ แล้วจะต้องพิมพ์ตอน login แบบไม่ใช้จำรหัสผ่านน่ะครับ แถมต้องทำทุกครั้งที่จะล็อคอินเข้าเว็บ เพราะถ้าไม่ตั้ง auto lock เดี๋ยวจะมีคนมาแอบใช้ตอนลืมลุกจากคอม)

โปรแกรม password manager บางตัวก็จะมีวิธีที่ยอมให้ใช้ 2 factor เข้ามาปลดล็อค เช่นผมใช้ KeePass ก็จะใช้ keyfile ได้ด้วย (คือจะ login ต้องมีทั้ง password + keyfile) ผมก็เอา file database ผมใส่ Dropbox ได้ แต่ keyfile ผมเก็บไว้กับตัวไม่ขึ้น cloud เลย หรืออย่าง LastPass จะใช้ OTP เข้ามาช่วยก็ได้

ในความเห็นผมว่ารหัสผ่านตัวที่สำคัญสุดๆ เช่น อีเมล, Dropbox หรืออาจจะรวมไปถึง servers ด้วย พวกนี้ควรจะจำไว้เองดีกว่าเอาใส่ password manager และควรจะไม่ซ้ำเช่นเดียวกัน (ก็จะเหลือที่ต้องจำไม่กี่ตัวจากกว่า 60 เว็บ)

App

แอพ password manager ก็มีหลายตัวครับ จะเป็น KeePass หรือ 1Password, LastPass หรืออื่นๆ อีกมากมาย แต่ผมยังหาตัวที่ถูกใจไม่ได้ (ตอนนี้ผมเองใช้ KeePass 2 อยู่)

ปัญหานึงของผมคือผมใช้ทุก OS ครับ Windows, Linux, Mac มีหมด iOS ก็มีแต่ก็เหมือนไม่มี Android ก็ใช้ (Windows Phone เอ่อ ช่างมันเถอะ) ก็มาดูกันว่าแต่ละตัวเป็นอย่างไรบ้าง

NOTE: ผมไม่ได้ใช้แอพอื่นนะครับ อันนี้คือข้อมูลที่หามาตอนที่ผมเริ่มใช้ password manager ซึ่งอาจจะไม่ถูก เก่า หรือไม่ครบก็ได้

KeePass

  • Open source (ผมรู้สึกว่าเป็นปัจจัยสำคัญตัวนึงนะ เพราะจะได้มั่นใจว่ามันน่าจะถูก peer-review แล้ว และไม่ทำอะไรตุกติก)
  • Offline — ไม่มี sync
  • มีเฉพาะบน Windows
    • ในลินุกซ์ใช้ mono รันพอได้ โปรแกรม support ด้วย (ใช้ xdotool พิมพ์รหัสแทน) แต่ UI ก็จะมีแปลกๆ บ้าง
    • ในแมคผมใช้ MacPass ซึ่งความสามารถพื้นฐานมาก (คือใช้งานได้แต่อย่าหวังว่าจะมีอุปกรณ์อำนวยความสะดวก)
  • มี chrome extension ช่วย fill รหัสในเว็บ สะดวกมาก ปัญหาคือมันต้องลง plugin และ MacPass ไม่รองรับ (มีอยู่ในแผนงานของเค้า)

ปัญหาของผมกับ KeePass คือ OS อื่นๆ นี่แหละครับ ชีวิตจะลำบากขึ้นเยอะเลย

1Password

  • $69.99 (หรือถูกกว่าถ้าซื้อแค่ OS เดียว)
  • โคตรเอียงไปทางแมค
  • ตอนผมดูนี่ UI App Android ห่วยมาก ตอนนี้ปรับปรุงมาแล้ว
  • ไม่มี cloud ใช้ dropbox อยู่ดี (ผมว่าขูดรีดมากสำหรับราคานี้)
  • ไม่มี Keyfile

LastPass

  • ฟรี*
  • ปีละ $12 ได้ฟีเจอร์ต่อไปนี้
    • Mobile apps (ผมว่าสรุปแล้วก็คือต้องจ่ายแหละ)
    • Yubikey support (เป็น hardware OTP ซึ่งมันมีขายแพคเกจ Yubikey พร้อม LastPass Premium เหมือนกัน)
    • ไม่มีโฆษณา
    • Share รหัส
  • Client เป็น browser extension
  • ใช้ OTP ได้
  • Cloud sync — ไม่มีไฟล์ offline ถ้าไม่ได้ใช้โปรแกรมพิเศษ

ที่ผมไม่ปลื้ม LastPass คือมันเป็น cloud นี่แหละครับ ซึ่งก็มีทั้งดีและไม่ดี และอีกเหตุผลนึงที่ไม่ค่อยชอบคือผมไม่ค่อยปลื้ม client มันเท่าไร

iCloud

เดี๋ยวนี้ iCloud ก็มีบริการแนวๆ นี้ด้วย แต่ไม่ใช่บริการหลักเค้า ก็จะไม่ค่อยมีลูกเล่นอะไรเท่าไรครับ ที่สำคัญคือต้องใช้ของแอปเปิ้ลเท่านั้น จบ

Mobile

ปัญหาชีวิตมันจะมากขึ้นเมื่อมาอยู่ในมือถือครับ เพราะต้องจัดการเรื่องการ sync ให้ปลอดภัย และการพิมพ์รหัสผ่านจะยุ่งยากขึ้น

ตอนนี้ KeePass ผมใช้แอพ KeePassDroid อยู่ (open source) ซึ่งก็ค่อนข้างโอเค มีฟีเจอร์เยอะดี (เยอะกว่า MacPass ล่ะ) ไอเดียที่น่าสนใจคือโปรแกรมมี QuickUnlock ซึ่งปิดหรือตั้งค่าได้ คือเวลาไม่ใช้สักพักโปรแกรมจะล็อคให้ แต่จะถามรหัสผ่าน 3 ตัวท้าย (หรือมากกว่า ตั้งได้) ก็จะสะดวกในการพิมพ์

ผมเองอยากให้มันล็อคแบบปัดๆ เหมือนหน้าล็อค Android นะ แต่คิดว่าเค้าคงไม่ทำเพื่อป้องกันการแอบอ่านรหัสจากในแรม

สำหรับการ Sync ตัวโปรแกรมรองรับ Dropbox ครับ หรือ cloud อื่นๆ หลายตัวเลย ก็สะดวกดี

ปัญหาที่จะเจอต่อมาคือการเอารหัสไปใช้ครับ ในคอมเนี่ยมันมี browser extension ดึงไป แต่ในมือถือก็จะใช้วิธี copy paste ซึ่งก็จะยุ่งยากกว่าและไม่ปลอดภัย บางแอพอย่าง KeePassDroid เองก็จะมี keyboard ให้แทน

ผมชอบระบบของ KeePassDroid นะครับ คือจะเข้าเว็บอะไรก็แล้วแต่ ให้กดแชร์ไปที่แอพมันแล้วมันจะเปลี่ยน keyboard เป็นของมันให้เลย ก็แค่จิ้มช่อง user กด User จิ้มช่องรหัส กด Password แล้วกด Go จะเปลี่ยน keyboard กลับให้เป็นอันเดิมเลยด้วย แต่จะทำได้ก็ต้อง root และลงแอพ Secure Settings นะครับ ถ้าไม่ลงแอพหรือไม่รูทต้องสลับ keyboard เอง

สำหรับการ login ในแอพอื่นๆ KeePassDroid รองรับการที่ใส่ Package Name กำกับรหัสผ่าน เวลาล็อคอินก็แค่เปิด keyboard มันมา กดหารหัสผ่านก็จะเจอโดยอัตโนมัติแล้วก็เข้าได้เลย (ตรงนี้อาจจะฟังดู setup ยาก แต่ถ้าใช้คำสั่งค้นหาครั้งแรกมันจะ list รหัสทั้งหมดให้ พอเลือกรหัสแล้วก็จะถามเลยครับว่าจะกำกับ Package Name เลยมั้ย)

สำหรับใน iOS ผมอยากรู้เหมือนกันว่าจะกลายเป็นยังไง แต่มี keyboard API แล้วคงไม่เลวร้ายแล้วมั้งครับ

เครื่องชาวบ้าน

ปัญหาที่เลวร้ายที่สุดคือเครื่องชาวบ้านครับ

LastPass ใช้วิธีเอาแอพใส่ USB ไปจิ้ม ก็จะแนวเดียวกับ KeePass แต่ผมว่ามันไม่ปลอดภัยในการเอาไฟล์รหัสผ่านไปเสี่ยง ก็เลยต้องยอมเปิดมือถือมานั่งพิมพ์รหัสยาวๆ ยากๆ แทน (เคยพิมพ์จน internet banking lock เพราะผมมองไม่ออกว่าเป็นตัวอะไร)

ไอเดียนึงที่ผมว่าน่าสนใจมากคือ KeePassDroid รองรับอุปกรณ์พิเศษตัวนึง (แพงอยู่) ซึ่งเสียบกับคอมแล้วจะเห็นเป็น keyboard และต่อกับมือถือทาง Bluetooth เราก็สามารถกดให้ KeePassDroid ส่งสัญญาณไปให้ keyboard พิมพ์รหัสผ่านลงไปได้เลย แต่ข้อเสียของวิธีนี้คืออุปกรณ์มันแพงนั่นแหละครับ และก็มันส่งแบบไม่เข้ารหัสด้วย

สรุป

ถึงจะมีปัญหาเยอะแยะ ผมยังคิดว่าถ้ามีแค่ OS เดียว (อาจจะพ่วงกับมือถือนิดหน่อย) การใช้ password manager น่าจะไม่มีปัญหาอะไรลำบากแบบผมแล้วนะครับ ก็อยากแนะนำให้ลองใช้ดู ค่อยๆ เปลี่ยนรหัสที่ใช้บ่อยไปทีละตัวเรื่อยๆ ก็น่าจะเริ่มชินเอง

Online Judge (grader) design

ดองบล็อคไปเสียนานมากในขณะที่เกมก็เริ่มมีเกมที่มันเล่นจนแบบว่าไม่รู้จะเล่นยังไงให้สนุกแล้วจนต้องดรอปไปอยู่บ้าง

ในภาคซอฟต์แวร์จะมีกิจกรรมอยู่อันนึงครับคือ SOSCamp เป็นการติวโปรแกรมมิ่งให้น้องใหม่ซึ่งก็จะมีการทำโจทย์ พอทำโจทย์ก็ต้องมีระบบตรวจ เพื่อนรีเควสมานานมากกกแล้วว่าอยากรู้ design ของระบบก็เลยเขียนสักหน่อย

## Overall

ระบบแบ่งเป็น 3 ส่วนครับคือ UI, API, Grader ซึ่งผมเลือกเป็น PHP หมดเลยเพราะช่วงนั้นเห่อ [Laravel](http://laravel.io) และ [Silex](http://silex.sensiolabs.org) นิดๆ และถ้ามีคนจะช่วยทำ ใช้ Silex บน PHP น่าจะง่ายกว่าใช้ Django โดยเฉพาะคนที่เขียน Java มา คือ Silex ค่อนข้างจะ low level มาก เขียนอะไรๆ มันจะตรงไปตรงมาไม่มีลัดเท่าไร แล้วก็ PHP Class มันหน้าตาเกือบ Java ตัด type

## UI

ตัว UI เขียนด้วย AngularJS ทั้งหมดเลยเพราะผมอยากลองเล่น [AngularJS](http://angularjs.org) พอดี เขียนเสร็จก็เรียนรู้มันไปเยอะแต่รู้สึกว่ายากอยู่ ตอนหลังมารื้อทำใหม่แล้วเอาระบบ resolve ออกพบว่าเขียนง่ายขึ้นเป็นกอง

ด้วยสไตล์ของ Angular อยู่แล้ว ตัว UI ทั้งหมดออกแบบเป็นแบบ single page app คือมี HTML file เดียวรันทุกอย่าง ไม่มีการเปลี่ยนหน้าใดๆ นอกจากการใช้ AJAX ดึงข้อมูลมาแสดง ตรงนี้การเลือกใช้ Angular + Angular-ui-router ทำให้เขียนง่ายและดีมากๆ

ข้อดีอย่างนึงของการทำ Single page app คือมันบังคับให้ทุกอย่างเป็น API พอจะทำใหม่ก็ทำได้ง่ายๆ แค่เขียนตัวครอบ API ขึ้นมาใหม่ จบ

## API

ฝั่ง API ใช้ Silex ครับ ผมลองเขียนแบบ OOP ดูโดยทำคลาสที่สามารถ extend มันมาแล้วระบุชื่อ Eloquent model และ URL (Eloquent เป็น library สำหรับต่อ database ของ Laravel ซึ่งผมดึงมาใช้เดี่ยวๆ ไม่เอา Laravel มาทั้งตัว เป็น ORM ตัวเดียวใน PHP ที่ผมชอบ) จะได้เป็น API ที่สามารถ List, read, write ลง database ได้ทันทีพร้อมระบบ access control ซึ่งก็ลดเวลาพัฒนาไปได้มาก ตอนหลังผมแกะระบบตัวนี้ไปใช้ในระบบลงทะเบียนงานบายเนียร์ด้วย วันเดียวก็เขียนระบบเสร็จ

## Grader

ส่วนสำคัญที่สุดของโปรแกรมแน่นอนว่าต้องเป็นตัวเกรดเดอร์เอง ซึ่งตัวเกรดเดอร์นั้นใช้ไลบรารีหลายตัวช่วยในการพัฒนา (ผมคิดว่าบางตัวเป็น extra ไม่ใช้ก็ได้ แต่ใช้แล้วมันทำให้โปรแกรมเท่ขึ้น พวก Symfony/Console Symfony/Process พวกนี้)

ตัว grader จะต่อเข้ากับคิวงานกลาง ซึ่งระบบเก็บคิวงานที่ผมใช้คือโปรแกรม beanstalkd และใช้ library pheanstalk เพื่อเชื่อมต่อจาก PHP เมื่อมีการส่งงานเข้ามาใน API ก็จะโยนรายละเอียดงานเข้าไปใน beanstalk

ตัว grader ที่ต่อกับคิวงานนั้นจะมี infinite loop รับงานใหม่อยู่ เมื่อได้รับงานแล้วก็จะเข้าสู่ logic ในการตรวจ ซึ่งจะมีกระบวนการคือ

### 1. รันโค้ด generate test case

ตัวระบบ test case generator ผมอยากให้มันทรงพลัง สุ่มโจทย์ได้ และเป็นธรรมชาติที่สุด ก็เลยใช้วิธีเขียนโปรแกรมมาครอบโปรแกรมที่ใส่ไว้ในโจทย์ ข้อเสียคือรองรับการส่งได้แค่ภาษาที่มีโปรแกรมครอบ

หน้าที่ของโปรแกรมครอบไม่ยากครับ ขั้นแรกโปรแกรมจะ include โปรแกรมที่โจทย์กำหนดเข้ามา (ใน Java ใช้ reflection, Python ใช้ exec ซึ่งผมว่าไม่ดีเพราะ \__name__ มันไม่เปลี่ยน, PHP ใช้ include) ทีนี้ขั้นต่อมาจะแยกตามภาษา

– **PHP:** มันคือ `echo json_encode(run());` นั่นล่ะครับ
– **Java:** มันจะส่ง `LinkedList` เข้าไปโดย pass by reference แล้วเอา LinkedList ตัวนั้นส่งเข้า GSON ออกมา
– **Python:** ผมจำไม่ชัวร์แต่น่าจะประมาณว่าเอา for in วนเพื่อทำเป็น list แล้วโยนใส่ `json.dumps`

จริงๆ มันก็ดูไม่ช่วยเท่าไรนะ แต่ผมว่า python เนี่ยมันเขียนสนุกดีตรงที่ `yield` รัวๆ ไม่ต้องเอาข้อมูลไปพักใส่ array อะไรแล้ว return ออกมาทีเดียวเหมือนภาษาอื่นๆ (PHP ก็มี yield แต่มันใหม่เกินไป)

### 2. คอมไพล์โค้ดเฉลยและโค้ดคำตอบ

มาถึงขั้นตอนสำคัญครับคือการคอมไพล์โค้ด ซึ่งก็ไม่มีอะไรยากเท่าไรคือรัน compiler ตามแต่ภาษาแล้วให้มันออกมาที่ไฟล์ที่กำหนดก็เสร็จ แต่ความยุ่งยากอยู่ที่ Java ซึ่งชื่อคลาสจะต้องเป็นไปตามชื่อไฟล์ด้วย ผมก็เลยใช้วิธีโกงๆ คือตั้งชื่อไฟล์ว่า Input.java แล้วคอมไพล์ ถ้ามันผ่านก็จบ ไม่ผ่านตัว `javac` จะบอกมาว่า should be named ….java ก็ให้โปรแกรมมันอ่าน error ตัวนี้ไปแล้ว rename file ให้ (และเก็บชื่อคลาสไว้ด้วยเพราะตอนรันต้องใช้)

### 3. Run

ขั้นตอนการรันก็รันแบบตรงไปตรงมาครับ ทีนี้จะพูดถึงเทคนิคการ sandbox หรือป้องกันความปลอดภัยของโค้ดสักหน่อย ซึ่งจริงๆ มันทำงานมาตั้งแต่ส่วน generate test case แล้ว

ตัว grader จะใช้โปรแกรม docker ในการรันครับ ซึ่งหลักการคร่าวๆ ของ docker มันคือการใช้ความสามารถ namespace, cgroup ของ linux kernel ใหม่ๆ ช่วยแยกการทำงาน คนที่อยู่ namespace อื่นๆ จะมองไม่เห็นกันเอง แต่ข้างนอกสุดมองเห็นข้างในได้ นอกจากนี้มันยังสามารถกำหนดทรัพยากรให้ cgroup ได้อีกด้วย (คล้ายๆ virtualization แบบ virtualbox อะไรพวกนี้อะครับ แต่มัน overhead ต่ำกว่ามากเพราะรันอยู่ใน kernel ตัวเดียวกันเลย)

ข้อดีอย่างนึงของ docker คือสภาวะข้างในมันคงที่ถ้าเราก๊อปไป นั่นหมายความว่าถ้าเราเซตดีๆ version ของ compiler, runtime, library จะเหมือนกันหมดเลยถึงเราจะกระจาย grader ไปหลายๆ เครื่องก็ตาม

ทีนี้เวลารันด้วยความสามารถจำกัดทรัพยากรก็ทำให้สะดวกโยธินในการจัดการแล้วครับ

– memory limit บังคับด้วย cgroup ได้เลยตรงๆ
– networking ก็บังคับได้เลยว่าไม่ให้มีการ์ดแลน
– time limit อันนี้ใช้ symfony/process จับเวลาเอา ถ้าเกินแล้วก็สั่งให้ docker kill ทิ้ง
– privileges ก็สั่งให้ docker รันใน user ปกติ (ปกติ docker จะรันด้วย root) ก็เรียบร้อย

### 4. Cleanup

เสร็จแล้วก่อนจะจากก็ต้องลบไฟล์พวกที่เป็นผลจากการคอมไพล์ต่างๆ และตัว container ออก (ใส่เข้ามาทีหลังตอนเทส fork bomb ดู) เป็นอันเสร็จ

### 5. Submit

ตัว grader จะส่งงาน 2 รอบคือตอนที่ได้งานมา (เพื่อแสดงสถานะ grading) และเมื่อเสร็จแล้วจะส่งข้อมูลกลับเข้าไปใน API อีกครั้งหนึ่ง ซึ่งก็เป็น JSON ธรรมดา โดยอาศัยการยึนยันตัวแบบ shared secret คือ API, grader จะมี string ตัวหนึ่งเปรียบเสมือนรหัสผ่านที่ต้องส่งให้ API ทุกครั้งที่จะอัพเดตสถานะงาน

## อื่นๆ

จริงๆ แล้วไม่ใช้ docker ก็ได้นะครับ เช่น elab ใช้โปรแกรม box ถ้าผมจำไม่ผิดมันจะใช้ความสามารถ ptrace คือเมื่อโปรแกรมลูกมีการเรียกฟังก์ชั่นของระบบ โปรแกรมแม่ (นั่นคือ box) จะถูกถามว่าอนุญาตหรือไม่ก่อนที่จะทำงานได้ (chrome เก่าๆ รู้สึกว่าจะใช้เทคนิคนี้เหมือนกันบนลินุกซ์) ตอนหลัง box มีรุ่นใหม่คือ isolate ซึ่งก็ใช้ cgroup เหมือนกัน แต่ผมเดาว่าน่าจะ overhead น้อยกว่า docker

(ผมไม่ได้เช็ค fact ตรงนี้นะ ไปค้นดูละเอียดๆ เองดูก่อนถ้าจะลองทำดู)

หรือจะใช้วิธีดิบเถื่อนรันไปตรงๆ เลยก็ได้ ซึ่งผมเดาว่ารุ่นพี่คงจะใช้กันเพราะมันเขียนง่ายดี แต่อาศัยความเชื่อใจว่าจะไม่มีใครส่งอะไรน่ากลัวเข้าไปในระบบ ยิ่งบางทีไม่ได้เขียน time limit ไว้ด้วย ส่ง infinite loop เข้าไปก็เรียบร้อย

ผมคิดไว้ทีนึงว่าวิธีนึงที่ทำให้มันเร็วขึ้นคือรัน docker แช่ไว้เลยแล้วข้างในมีโปรแกรมที่เขียนในภาษานั้นๆ แล้วข้างนอกแค่บอกให้รันโค้ด ซึ่งมันจะตัด overhead เรื่องการ start, stop ตัว docker และ runtime ของภาษานั้นๆ ไปได้พอสมควรเลย แต่ข้อเสียคือเรื่อง memory leak และการ limit ต่างๆ จะทำได้ยากกว่า ใน source ของ grader จะมีคลาส EnhancedJava อยู่ซึ่งผมก็ใช้หลักการตรงนี้ แต่เขียนไม่เสร็จเพราะเขียนๆ ไปแล้วนึกถึงเรื่องการจับ limit นี่แหละแล้วคิดว่าเลิกทำดีกว่า ให้ผมคุมเองน่าจะมีปัญหา security ตามมาแหงๆ