กูเกิลเปิด HTTPS ใน Gmail เป็น Default

By: mk

on 13/01/10 23:24 Tags:

กูเกิลเปิดบริการ HTTPS ใน Gmail มาได้สักระยะแล้ว โดยผู้ใช้สามารถเลือกได้ระหว่าง HTTP และ HTTPS เนื่องจากการใช้ HTTPS มีข้อด้อยคือช้ากว่า HTTP (เราสามารถเลือกใช้ HTTPS แบบถาวรโดยต้องตั้งค่าใน Settings)

แต่ไม่รู้ว่าเกี่ยวกับ Gmail ในจีนโดนโจมตี หรือเปล่า วันนี้กูเกิลออกมาประกาศว่า ต่อจากนี้ไป Gmail จะเปลี่ยนมาใช้ HTTPS เป็นค่า default แล้ว โดยกูเกิลยอมแลกความเร็วกับความปลอดภัยที่เพิ่มมากขึ้น

ผู้ใช้ยังสามารถปิด HTTPS ได้ผ่านตัวเลือก "Don't always use https" และถ้าใครใช้ Gears แล้วเกิดปัญหากับ HTTPS อ่านวิธีแก้ไขได้ครับ

ที่มา - Official Gmail Blog

Comments

By: Ford AntiTrust

on 13/01/10 23:29 #148950 toggle

https นี่เป็นเหตุผลหนึ่งที่ทำให้ webmail อื่นๆ ช้า คราวนี้ก็มาดูกันว่า gmail webmail จะช้าลงขนาดไหน

By: Perl

on 14/01/10 2:25 #148982 Reply to:148950 toggle

ผมว่าก็ไม่ได้ช้าน่าเกลียดอะไรนะครับในยุค Adsl สมัยนี้ ผมใช้ Https เป็น Default บน Gmail มานานหลายเดือนแล้วยังไม่รู้สึกเลยว่ามันช้า ก็วิ่งปกติดี เปิด Theme ด้วย (หรือตรูไม่รู้สึกเองหว่า..) เปิดดู E-mail รูปภงรูปภาพได้ความเร็วปกติ (พวก FW-Mail นี่มาทีภาพตรึม..) แถมมีหลายๆทีที่ใช้งานผ่านมือถือด้วย (แบบ Full Text ปกติ ไม่ Mobile เพราะจะดูรูป)

ก็โอเคดีครับ...

ecution.style

By: Slimy

on 14/01/10 9:47 #149020 Reply to:148982 toggle

ผมลองใช้ http ธรรมดา เปิด ประมาณ 2-3 วิโหลด inbox เสร็จ เปลี่ยนเป็น https เปิดใช้เวลา 8-10 วิเลยทีเดียว

By: Ford AntiTrust

on 14/01/10 10:15 #149032 Reply to:148982 toggle

ขึ้นอยู่กับความเร็วของเน็ตแต่ละคนหล่ะครับงานนี้ เพราะ https นี่มัน cache บน proxy ไม่ได้ด้วยซิ แต่ที่แน่ๆ มันช้าลงอย่างรู้สึกได้แน่นอน ...

By: AdmOd

on 14/01/10 11:29 #149054 Reply to:149032 toggle

นั่นข้อดีเลยแหละ..

By: lancaster

on 15/01/10 10:20 #149337 Reply to:149032 toggle

proxy นี่เป็นเหตุผลหลักเลยที่ผมใช้ https

By: lancaster

on 13/01/10 23:30 #148952 toggle

ดีเลยเพราะหลังๆเริ่มขี้เกียจบอกเพื่อนให้ไปตั้ง https

By: gonhvvjvo

on 14/01/10 0:37 #148968 toggle

จำเป็นต้องใช้เลยนะครับ ไม่จำเป็นอย่าปิดนะครับ เพราะเราไม่รู้ครับว่า isp ทำไรกับเราบ้าง

+---------------------------+ Work hard, Drink hard +---------------------------+

By: Perl

on 14/01/10 2:24 #148983 Reply to:148968 toggle

โดยเฉพาะ w3.mict -*-

ecution.style

By: runnary

on 14/01/10 12:45 #149080 Reply to:148983 toggle

รู้สึกชื่อนี้จะเจ้าปัญหา ชักเห็นบ่อย w3....

By: PH41

on 17/01/10 10:09 #149682 Reply to:149080 toggle

w3g?

By: KimhunCPE

on 14/01/10 1:39 #148977 toggle

บอกตามตรง ถ้าไม่มีข่าวออกมา ก็คงไม่รู้หรอกครับว่าเปลี่ยนเป็น HTTPS แล้ว ความเร็วไม่ตกลงจนน่ากลัว แทบไม่แตกต่าง แต่ถ้าเป็่นช่วงที่ HTTP เป็น Default แล้วปรับ Options ให้เป็น HTTPS ความเร็วจะตกลงจนรู้สึกได้

By: fatro

on 14/01/10 2:50 #148985 toggle

ใช้มาเกินครึงปีแล้ว ใช้เพราะชอบมันขึ้น Site ID แทน Favicon ตรง AwesomeBar สวยดี ไม่เกี่ยวกับความปลอดภัยสักนิด (ฮา)

By: pexza

on 14/01/10 8:08 #149003 toggle

เมล์มีพาสเวิร์ดเพียบ

pex.im | pex.in.th | @pexfresh

By: Virusfowl

on 14/01/10 9:11 #149013 toggle

ปกติใช้ | basic HTML เลยเร็วอยู่แล๊วววว ^^

@ Virusfowl

sometime something with someone

By: Thaina

on 14/01/10 10:12 #149030 toggle

บล็อกนอนเป็น https รึเปล่าครับ?

My Blog

By: mk

on 14/01/10 10:19 #149034 Reply to:149030 toggle

จะทำไปทำไมล่ะครับ?

my disclaimer

By: lew

on 14/01/10 10:34 #149040 Reply to:149030 toggle

อยากทำนะครับ อย่างน้อยก็จะได้ช่วยเวลา login

แต่ทุกวันนี้ได้ความอนุเคราะห์เซิร์ฟเวอร์จากทาง cyberbeing.biz อยู่แล้ว ถ้าเปิด https นี่มันจะไปโหลดเซิร์ฟเวอร์มาเกินสมควรไปสักหน่อย

LewCPE's Google+

By: ampz

on 14/01/10 11:12 #149049 Reply to:149040 toggle

ถ้าจะใช้แค่ส่วน login ใช้ ajax เรียก random key จาก server เพื่อเอามาเข้า hash ก่อนส่งก็น่าจะปลอดภัยขึ้นแล้ว แถมยังไม่เปลืองโหลดมากมายด้วยครับ

By: lew

on 14/01/10 11:32 #149055 Reply to:149049 toggle

มันไร้ประโยชน์ครับ เพราะสุดท้ายแล้วโค้ดที่ใช้ hash มันถูกปลอมจาก man-in-the-middle ได้

LewCPE's Google+

By: ampz

on 19/01/10 11:38 #150052 Reply to:149055 toggle

ง่า.. เพิ่งเห็น ตอบช้าเลย

man-in-the-middle น่าจะไม่ได้อะไรไปนะ เพราะคีย์ถูก generate จาก server ส่วน password คีย์จากฝั่ง client ก่อนส่งข้อมูลก็ทำการเข้ารหัสเรียบร้อยแล้ว ที่จะโดนขโมยได้ก็จะมีแค่ key กับ password ที่เข้ารหัสแล้ว อาจจะได้เพิ่มเติมคือ algorithm สำหรับการเข้ารหัสที่อยู่ใน javascript ซึ่งถ้าทำไว้ดีคนจะเจาะด้วยวิธีนี้ได้ต้องเตรียม rainbow dictionary สำหรับ algorithm เฉพาะตัวเท่านั้นครับ

ส่วนกรณีถูกปลอม hash ไม่แน่ใจว่าทำด้วยวิธีไหน แต่เท่าที่นึกออก สุดท้ายเมื่อตอนที่เทียบค่าบนฝั่ง server ถ้าไม่ถูกต้องยังไงก็ไม่ถูกต้อง ส่วนข้อมูลที่ได้ไปก็ไม่มีความหมาย เพราะรหัสที่เข้า hash จะเปลี่ยนไปทุกครั้งอยู่แล้ว

By: lew

on 19/01/10 11:53 #150060 Reply to:150052 toggle

ใช้ MITD เปลี่ยน js ที่ควรจะ hash ไม่ให้ hash แล้วค่อยไป hash ที่ผู้โจมตีเพื่อ login ก็ได้ครับ

LewCPE's Google+

By: ampz

on 19/01/10 15:46 #150101 Reply to:150060 toggle

หมายถึง mitm นะครับ ผมเองก็พลาดไปว่ามันเปลี่ยน content ได้

แต่กรณีที่โดน mitm แล้วเปลี่ยน content น่าจะเป็นคนที่ตั้งใจจะเจาะหน้าเว็บใดเว็บหนึ่งโดยเฉพาะอยู่แล้ว เพราะต้องเตรียมว่าต้องเปลี่ยน content หรือทำหน้าปลอมรอไว้ก่อน ไม่ได้แค่ทำตัวดักดูข้อมูลที่รับส่งกันเท่านั้น

วิธีที่ผมแนะนำไป เมื่อก่อน yahoo หรือเว็บหลายที่ก็ใช้วิธีนี้เพื่อส่งข้อมูล login จากหน้าที่ไม่ได้เป็น https เช่นกัน แต่เนื่องจากไม่ใช่เว็บเล็กจึงเป็นเป้าให้โจมตีโดยธรรมชาติ ปัจจุบันก็หันไปใช้ ssl นานแล้ว แต่ที่แนะนำไปเพราะคิดว่าน่าจะไม่คุ้ม อยากให้ปลอดภัยจริงก็แพงอีก แถม user เองก็ ok, yes, next ตลอด ไม่ได้เช็ค cert กันหรอก แต่ก็เห็นด้วยว่าถ้ามีไว้มันก็ดีกว่า

By: ampz

on 19/01/10 11:52 #150059 Reply to:149055 toggle

เพิ่มเติมอีกนิดหน่อย

จากวิธีข้างบนถ้าจะแก้ปัญหาโดนโจมตีด้วย rainbow dictionary ก็ให้ฝั่ง server ส่ง algorithm ที่ random ออกมาด้วยก็ได้ครับ แต่ละครั้งก็จะเข้า hash ไม่เหมือนกันแล้ว

แล้วพูดถึงจริงๆ ถ้า man-in-the-middle เครื่องที่ต้องการโจมตีได้ ผมคงเลือกที่จะ session hijack มากกว่า วุ่นวายน้อยกว่าเยอะ

By: bean3g

on 15/01/10 10:16 #149335 toggle

ต่อไปจะมีข่าว SSL or TLS โดนโจมตีมากขึ้น โดยทางการจีนเป็นผู้สนับสนุนหลักอย่างเป็นทางการ