EFF ออกส่วนเสริมสำหรับไฟร์ฟอกซ์ บังคับใช้ HTTPS กับทุกเว็บที่เป็นไปได้

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog on 19/06/10 1:07 Tags:

EFF ได้ออกส่วนเสริม (extension) สำหรับไฟร์ฟอกซ์เพื่อให้เบราเซอร์เรียกเว็บผ่านทางโปรโตคอล HTTPS ก่อน HTTP เสมอ พร้อมกับแจ้งเตือนเราเมื่อเว็บที่เราใช้งานไม่รองรับ HTTPS หรือรองรับเพียงบางส่วน โดยใช้ชื่อโครงการว่า HTTPS Everywhere

ทุกวันนี้การเข้าเว็บผ่านทางโปรโตคอล HTTP นั้นไม่มีการเข้ารหัสใดๆ และผู้ที่มีความรู้สักหน่อยก็สามารถแอบดูและชิงรหัสผ่านเว็บต่างๆ ของเราไปได้โดยง่าย หรือแม้การแอบเก็บข้อมูลเช่นการเข้าค้นหาข้อมูลผ่านกูเกิลเองก็มักไม่มีการเข้ารหัส จนกูเกิลต้องเปิดบริการผ่าน HTTPS ไปก่อนหน้านี้

เรื่องน่าลำบากใจคือแม้เราจะระวังตัวที่จะใช้ HTTPS แล้ว เว็บจำนวนมากก็มักจะปล่อยให้มีลิงก์ภายในไปยังหน้าที่เป็น HTTP ปรกติอยู่เสมอๆ เราหลุดไปยังหน้าที่ไม่ได้เข้ารหัสโดยไม่ได้ตั้งใจ ผมเองพบกับกรณีเช่นนี้กับ Facebook บ่อยมาก

ปลั๊กอินสำหรับ Chrome ก็มีให้ใช้งานแล้วในชื่อ KB SSL Enforcer ส่วนเบราเซอร์อื่นๆ ผู้ใช้อาจจะต้องมาช่วยกันแบ่งปันล่ะครับ

ที่มา - EFF

Comments

By: jane
AndroidUbuntu
jane's blog
on 19/06/10 1:17 #184701 toggle
jane's picture

แล้วจะทำ web caching ยังไงดี?

ความรู้ และความฉลาด ไม่ใช่สิ่งเดียวกัน จะมีประโยชน์อะไร ถ้าฉลาดแต่อยู่ในกะลา

By: Fzo
ContributorAndroidUbuntu
Fzo's blog
on 19/06/10 1:44 #184703 Reply to:184701 toggle
Fzo's picture

ว่าจะถามอยู่ด้วยเหมือนกัน ^^

WE ARE THE 99%

By: lancaster
ContributoriPhoneAndroidWindows
lancaster's blog
on 19/06/10 2:01 #184705 Reply to:184701 toggle
lancaster's picture

ทำ root ca เองแล้วบังคับให้พนักงานติดตั้ง cert นี้ให้หมด lolz

By: jane
AndroidUbuntu
jane's blog
on 19/06/10 2:24 #184707 Reply to:184705 toggle
jane's picture

เอางั้นเลยรึ แล้วจะมี ssl ไปทำไม อิๆ

ผมว่า น่าจะใช้ https ในส่วนที่ privacy มากกว่า

ส่วนที่เป็น public อย่าพยายามยัดเยียดเลย

ความรู้ และความฉลาด ไม่ใช่สิ่งเดียวกัน จะมีประโยชน์อะไร ถ้าฉลาดแต่อยู่ในกะลา

By: lancaster
ContributoriPhoneAndroidWindows
lancaster's blog
on 19/06/10 10:51 #184731 Reply to:184707 toggle
lancaster's picture

ผมว่า web dev น่าจะแยก static file ออกมาเป็น http ซะเลย แต่ browser ก็จะโวยวายว่าไม่ปลอดภัยอีก ทั้งที่จริงๆมันก็ปลอดภัยครึ่งหนึ่ง คือไม่โดนดักข้อมูล แต่ sniffer จะพอเดาได้ว่า user เข้าอะไร

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 20/06/10 12:34 #184909 Reply to:184707 toggle
lew's picture

มีหลายบริษัททำนะครับ เพราะอินเทอร์เน็ตสำหรับบริษัทเหล่านั้นถือว่าไว้ใช้ทำงานเท่านั้น

ถ้าเป็น application ภายในก็ Sign โดย CA ของบริษัทอยู่แล้ว ไม่ต้องไปเสียเงินข้างนอก ประหยัดไปอีกหลายตังค์ เวลาไปใช้นอกบริษัท

ถ้าเป็น App ของภายนอกก็ยังทำ Proxy ได้ โดยมีความปลอดภัยเพิ่มเข้ามา (เช่น sniff จาก wifi ไม่ได้) แต่พนักงานก็ไม่ควรใช้งานส่วนตัว เพราะ IT ของบริษัทจะดูได้หมด

ปล. ผมไม่เคยยอมติด CA Cert ของหน่วยงานเลยแฮะ

LewCPE's Google+

By: SilliCon
Android
SilliCon's blog
on 19/06/10 7:24 #184722 toggle
SilliCon's picture

https มันกิน resource server มากมาย อย่างนี้ผมตั้ง ssl server ด้วยดีไหมเนี่ย เหอๆๆ

By: PiKO
ContributorAndroid
PiKO's blog
on 19/06/10 10:42 #184730 toggle
PiKO's picture

ว่าจะถามอยู่เหมือนกัน ว่ามันจำเป็นแค่ไหนกัน สำหรับผู้ใช้ทั่วๆ ไป

:: DigiKin8 ::

By: nblue
Android
nblue's blog
on 19/06/10 10:59 #184734 toggle
nblue's picture

ไม่แน่ใจว่าส่วนที่ไม่ใช่ข้อมูลที่ sensitive มีความจำเป็นขนาดนั้นหรือเปล่าที่จะใช้ทรัพยากรเพิ่ม อย่างเช่นถ้ามีคนมาดักจับข้อความที่เรากำลังโพสลง blognone นี้ก็คงไม่ได้มีปัญหาอะไร

blog.u-blue.com

By: adamy
iPhoneAndroidBlackberryUbuntu
adamy's blog
on 20/06/10 3:41 #184867 toggle
adamy's picture

Twitter ในเน็ต TRUE มันใช้ http ไม่ได้ครับ ใช้แล้วมักส่งไม่ไป add ไม่ได้ ฯลฯ แต่พอเป็น https แล้วสบายเลยครับ : )

ขอบคุณครับ สวัสดีครับ

:: Take minimum, Give Maximum ::