on 06/04/11 21:50
Tags:
ในช่วงเวลาห้าปีนับจากการออก Internet Explorer 7 เป็นต้นมา ตลาดเบราเซอร์บ้านเรามีความเปลี่ยนแปลงเป็นจำนวนมาก ไปในทิศทางเดียวกันตลาดโลก เบราเซอร์เช่น Firefox, Chrome, Safari, หรือกระทั่ง Internet Explorer รุ่นใหม่ๆ ได้รับความนิยมมากขึ้นอย่างรวดเร็ว
แต่บริการที่สำคัญอย่างบริการธนาคารออนไลน์ของไทย กลับมีประวัติการไม่ยอมให้บริการกับเบราเซอร์อื่นนอกจาก ยี่ห้อ และรุ่นที่ได้กำหนดไว้ล่วงหน้า ส่งผลให้คนจำนวนมากไม่สามารถเปลี่ยนเบราเซอร์ได้ตามต้องการ ทั้งที่หลายครั้ง การเปลี่ยนไปใช้งานเบราเซอร์อื่นไม่ได้มีผลใดๆ ต่อการใช้งาน
แนวทางการตรวจเบราเซอร์ด้วย User Agent เป็นการจำกัดการใช้งานอย่างไม่จำเป็น ในทางปฎิบัติแนวทางนี้ไม่ได้รับประกันใดๆ ว่าเบราเซอร์ที่เข้ามาใช้บริการจะเป็นยี่ห้อและรุ่นที่กำหนดไว้จริง อีกทั้งเบราเซอร์ในช่วงหลายปีมานี้ก็เริ่มมีพฤติกรรมการทำงานที่เหมือนกันมากขึ้นเรื่อยๆ
ผมเขียนจดหมายฉบับนี้ ถึงผู้มีอำนาจตัดสินใจในการออกแบบเว็บบริการธนาคาร ขอให้ยกเลิกการตรวจสอบยี่ห้อและรุ่นของเบราเซอร์ เพื่อให้ผู้ใช้สามารถเลือกใช้เบราเซอร์ ได้อย่างอิสระ ด้วยเหตุผลดังนี้
- ผู้ใช้ในไทยมีพฤติกรรมการใช้เบราเซอร์ที่หลากหลายมากขึ้น ณ วันนี้เอง Chrome ก็ยังไม่สามารถเข้าเว็บของหลายๆ ธนาคารได้ ทั้งมีผู้ใช้ในไทยสูงกว่า 10%
- เบราเซอร์ทุกยี่ห้อมีแนวทางการออกรุ่นใหม่เร็วขึ้นเรื่อยๆ และระบบอัพเดตมักทำงานโดยอัตโนมัติโดยหลายครั้งผู้ใช้ไม่ได้สั่งการด้วยตัวเอง ธนาคารมักไม่สามารถเริ่มรายการที่รองรับได้ทัน ทำให้ผู้ใช้ที่เพียงอัพเดตระบบ กลับไม่สามารถเข้าถึงบริการได้
- การเข้าถึงบริการเหล่านี้ ไม่ได้มาจากพีซีเพียงอย่างเดียวอีกต่อไป ทุกวันนี้มีอุปกรณ์ที่หลากหลายที่ควรจะเข้าถึงบริการของธนาคารได้เช่น แท็บเล็ต, โทรศัพท์มือถือ, โทรทัศน์, หรืออุปกรณ์อื่นๆ ที่เข้าถึงเว็บได้อีกจำนวนมาก อุปกรณ์เหล่านี้หลายครั้งมีเบราเซอร์เป็นของตัวเอง ที่สามารถเข้าใช้งานเว็บของธนาคารได้หากไม่ถูกจำกัดด้วยการตรวจสอบที่ไม่จำเป็นนี้
สำหรับความกังวลว่าบริการจะไม่สามารถทำงานได้อย่างสมบูรณ์หากไม่ได้ผ่านการตรวจสอบอย่างถูกต้อง ธนาคารอาจจะแสดงข้อความเตือนเมื่อมีการใช้งานจากเบราเซอร์ที่อยู่นอกรายการที่ได้รับการทดสอบแล้ว การทำเช่นนี้จะเปิดโอกาสให้อุปกรณ์จำนวนมากสามารถเข้าถึงบริการของธนาคารได้อย่างเต็มที่
ด้วยความนับถือ
วสันต์ ลิ่วลมไพศาล
อิสริยะ ไพรีพ่ายฤทธิ์
ผู้ดูแลเว็บไซต์ Blognone.com
note: สำหรับสมาชิกท่านอื่นๆ สามารถลงชื่อเพื่อสนับสนุนจดหมายฉบับนี้ได้ครับ ผมจะหาทางเพื่อส่งข้อความนี้ไปให้ถึงผู้มีอำนาจตัดสินใจจริงๆ ต่อไป
Comments
ปกติผมใช้บริการเฉพาะ Online Banking ซึ่งผมใช้บริการของ 3 ธนาคาร ได้แก่ Kbank,Krungsri,SCB ใช้เฉพาะ Online Banking เท่านั้นนะครับ ผมสามารถใช้ Firefox ร่วมกับ Services ของทั้ง 3 ธนาคารนี้ได้อย่างปกติครับผม
ปล.แต่สำหรับของ Krungsri ผมอยากให้ยกเลิกการตรวจสอบประเภทของ Mobile ครับ เพราะผมใช้ WP7 ซึ่งใช้ Browser IE7 Mobile มันไม่ยอมให้เข้าหน้าเพจแบบ Mobile ครับ มันให้ผมเข้าแบบเวอร์ชัน Full Desktop อย่างเดียวเลย.. (ซึ่งทำให้ลำบากที่จะต้องย่อขยายหน้าจออยู่บ่อยๆ) ซึ่งผมเองมองว่าปัจจุบันนี้ Browser บนโทรศัพท์นั้นมีศักยภาพมากพอที่จะรันฟังก์ชันต่างๆได้ในระดับหนึ่งแล้ว จึงไม่มีประโยชน์ที่จะต้องจะจำกัดประเภทของ Browser ครับ
ecution.style
Kbank ถ้าใช้ Firefox บน Ubuntu สามารถทำงานได้ แต่แสดงผลเพี้ยนครับ
ตัวผมเองไม่ได้ผลกระทบโดยตรงจากเรื่องนี้ (เว็บของ SCB ใช้กับ Opera ได้ไม่มีปัญหา) แต่ผมเห็นด้วยเรื่องการยกเลิก User Agent เพราะมันเป็นเหมือนตัวฉุดรั้งการพัฒนาของ e-Banking ในประเทศ (รวมถึง e-Services บนเว็บของทุกหน่วยงานอื่นๆด้วย) ทางกระทรวง ICT น่าจะลงมามีบทบาทตรงจุดนี้ได้นานแล้ว
ศรวิษ เสียงแจ้ว
My blog
+1 เพิ่มเติม อยากให้ปรับปรุงเรื่องการตั้งชื่อและรหัสผ่านด้วยครับ อย่างกสิกร จำกัดแค่ 10 ตัวอักษร มากกว่านี้ไม่ได้ กรุงศรี บังคับการตั้งชื่อตัวเลขกับตัวอักษรเท่านั้น แต่ไม่บังคับรหัสผ่าน มาแปลกกว่าชาวบ้านเลย ของธนาคารอื่นผมไม่ทราบ
ชัยธัช วรวรรณ
ปกติระบบธุรกรรมการเงิน ก็ควรที่จะยินยอมให้ผู้ใช้มีการตั้ง Password แบบซับซ้อนได้ (Case-Sensitive,ตัวเลข,อักขระ) เพื่อความปลอดภัยของระบบและผู้ใช้เอง แต่เห็นด้วยเต็มๆที่ Krungsri นี่มาแปลกเลยครับ ใช้อักขระผสมตัวอักษรไม่ได้.. ปวดตับเลยครับ ใครมันเป็นคนดีไซน์ระบบเนี่ย จะได้ไปบอกลูกหลาน นี่เรื่องความปลอดภัยของผู้ใช้ล้วนๆเลยครับ
ecution.style
กสิกรก็ตั้งรหัสผ่านได้เฉพาะตัวอักษรและตัวเลขเท่านั้นครับ
ผมใช้ * ได้นะครับ ตัวอื่นไม่รุ้
เวลาดูสาวชอบดูสาวขาวๆ Sex Sex เวลาดู Notebook ชอบแบบ"ถึกๆดำๆ"
Twitter : @Zerntrino G+ : Zerntrino Plus
ผู้พัฒนาระบบเป็นคนแก่ครับ เลยกลัวว่า user ที่มีอายุจะทำรหัสผ่านตัวเองไม่ได้ ฮ่าๆ
ถูกอย่างที่สุดควรยกเลิกได้แล้ว ใช้ Safari จาก iPhone เข้า BankOnline เปลี่ยนเป็น Mobile หมดเลยน่าหงุดหงิดมาก
©NgOrXz™® แมนเชสเตอร์ยูไนเต็ด เก่งที่สุดในโลก
สนับสนุนอีกเสียงครับ
เพิ่มเติม.. เรื่องรหัสผ่านครับอีกของธนาคารคือ SCB บังคับให้รหัสผ่านสำหรับ ebank ไว้แค่ 6 ตัวอักษร (อักษร+ตัวเลข) ผมว่ามันปลอดภัยน้อยเกินไปมากๆ..
ธิติวุฒิ มุกติกานันทกุล
ของ SCB เป็น 6-8 ตัวอักษรครับ แต่ก็ประหลาดอยู่ดี
คิดๆ ขีดๆ เขียนๆ | LinkedIn
แล้วบางที่ตรวจสอบ password เราต้อนตั้ง จะกรอกภาษาหรืออักขละอื่นลงไปก็ไม่ได้ ต้องเป็นตัวอักษรภาษาอังกฤษและตัวเลขเท่านั้น :( ทำไมมันต้องตรวจสอบด้วบ
อยากให้หาโปรแกรมเมอร์เก่งๆไปแก้ใขเว็บด้วยคับ เท่าที่ผมเห็น ของกรุงเทพกับไทยพาณิชย์ ฝีมือน่าจะอยู่ราวๆนักศึกษาจบได้ปีเดียว ผมไม่เข้าใจเลยว่าระดับธนาคารทำไมไม่หาคนเก่งๆไปทำ หรือให้คนเหล่านั้นทำเพราะเข้าใจว่าเขาเก่งแล้ว
My Facebook My Blog
กรุงเทพฯเค้าปรับแล้วครับ ลองเข้าดูอีกที ตอนนี้น่าจะเข้าด้วยอะไรก็ได้แล้ว ที่ธนาคารต้องเข้มงวดเรื่อง browser ส่วนหนึ่งมาจากมันเป็นเรื่องเงินครับ ถ้าเงินหายไปยังไงธนาคารก็เป็นจำเลยก่อน ดังนั้นธนาคารจึงต้องป้องกันตัวเองครับ
แค่เช็ค User Agent แทบไม่ช่วยให้ปลอดภัยขึ้นหรอกคับ เพราะมันเป็นเรื่องเงินนะแหละคับ ผมเลยอยากให้เอาคนเก่งๆเข้าไปทำ
My Facebook My Blog
เรื่องเงินเรื่องใหญ่ครับ เขาต้องตรวจสอบ code ว่ามันต้องไม่มีปัญหา "จริงๆ" หลังฉากไม่ได้ทำโดยนักศึกษาแน่ๆ เพราะไงแม้เว็บจะเป็นระบบใหม่ แต่ core business ของธนาคารอาจจะเป็นระบบโบราณโคตรๆ ซึ่งมันต้องคุยให้รู้เรื่อง
ผมได้คุยกับคนของ บ. ที่ได้ออกแบบ thame ของธนาคารแห่งหนึ่ง เขาบอกว่าส่งงานไปเป็นปีแล้ว โดนตรวจแล้วตรวจอีกกว่าจะขึ้นเว็บได้ เห็นว่าต้องแจ้ง กลต. กับแบงค์ชาติด้วย ไม่รู้จริงหรือเปล่า?
ผมว่าทุกคนทราบดีครับว่าไม่ใช่ฝีมือนักศึกษาจบใหม่
แต่ตอนใช้งานบางทีผมก็แอบคิดนะ
ผมว่าติแบบนี้ไม่เกิดประโยชน์นะครับ เหมือนเอาแต่ด่าอย่างเดียวน่าจะบอกด้วยว่าไม่ดีตรงไหน บอกแบบนี้ไม่น่าจะมีใครแก้ให้ถูกใจได้ครับ
ส่วนตัวผมใช้แต่ของ SCB ก็พอใจในระดับนึงนะครับ ทั้งเวอร์ชันปกติและสำหรับมือถือ แต่ก็เห็นด้วยเรื่องรหัสผ่านควรจะซับซ้อนได้มากกว่านี้
ไม่ดีตรงที่ไม่เอาคนเก่งๆมาทำนะแหละคับ ซึ่ง ผมก็ไม่รู้ความจริงหรอก ว่าคนทำเขาเก่งหรือไม่เก่ง แต่ในความรู้สึกผม เขาธรรมดา จุดที่ทำให้ผมคิดว่าคนทำไม่ใช่คนเก่งอะไรก็ การล็อค User Agent การห้ามคลิกขวา การใช้ iframe การกำหนดวิธีตั้งรหัสผ่าน ชื่อไฟล์ UI ฯลฯ ต่างจาก paypal ที่เวลาผมใช้ทำให้ผมรู้สึกว่า คนทำคือคนเก่ง
My Facebook My Blog
คนที่ดูแลเรื่องนี้จบดอกเตอร์ด้าน Security จากอเมริกาครับ ผมว่าเก่งพอนะ
(-____-'')
ยิงโป้งเดียวทำเอาคนแถวนี้ปากเก่งไม่ออกกันเลยทีเดียว v__v
ยิ่งรู้สึกสิ้นหวัง -_-'
Security เก่งขนาดไหน แต่ ui ux ต่ำเรี่ยดินขนาดนี้ก็นะ
ยิ่งออกแบบ UI ด้วยเทคโนโลยีล้ำลึกเท่าไหร่ ยิ่งต้องพะวงเรื่อง Security ที่สูงขึ้นเท่านั้นนะครับ การออกแบบธรรมดาแต่ครอบคลุมความปลอดภัยทุกด้านผมว่าได้ผลดีกว่านะครับ
UI สวยไม่สวย เกี่ยวอะไรกับ Security ครับ
การออกแบบพวกนี้ใช้แค่รูปกับ css ก็สวยได้แล้ว ไม่ต้องใช้เทคโนโลยีล้ำลึกอะไรเลย
นั่นมันเป็นข้ออ้างครับ เรื่อง security มันไม่เกี่ยวกับ ui สักนิด
ยิ่งแย่กว่าเดิมอีกครับ Doctor ด้าน Security ไม่รู้จักแยก MVC
ทำระบบ Security สูงล้ำ แต่ใครแก้ UI ต้องนั่งตรวจแล้วตรวจอีก แบบนี้ผมไม่เรียกว่าระบบที่ดีนะ
ฟังพูดแล้วอยากอุทานขึ้นมาว่า "ด็อกเตอร์เลยทีเดียว"
My Blog
ตึงโป๊ะ!
blog.u-blue.com
ผมว่าสถาบันการเงินส่วนใหญ่ มีเงินและมีคนเก่งๆอยู่ในมือพอสมควรครับ ขึ้นอยู่ว่าเค้าให้ความสำคัญกับอะไรมากกว่าครับ ตอนนี้เค้าอาจจะให้ความสำคัญกับสิ่งอื่นที่ผู้ใช้อย่างเราๆยังมองไม่เห็น (เช่นพวกการตรวจสอบการทำงานประหลาดๆ หรือการให้ความปลอดภัยกับฝั่ง Backend)
ซึ่งสิ่งที่คุณ lew กำลังจะทำคือการบอกให้ผู้เกี่ยวข้องได้รับทราบถึงปัญหา ซึ่งควรจะได้แก้ไขและให้ความสำคัญ(ระดับนโยบาย) ซึ่งถ้าได้ผล ผมว่าธนาคารต่างๆน่าจะมีอะไรดีๆให้เราเห็นในอีกซักพักนึง (ถ้าผมไม่ได้มองโลกในแง่บวกไปนะ)
ต้องเข้าในว่า ebanking ความปลอดภัยมันสำคัญที่สุด
ทุกธนาคารยอมตัด 100 featureทิ้ง ดีกว่าปล่อย 1 feature ที่มีช่องโหว่ออกไป
ของกสิกรไทย ใช้ Opera Mobile ลุยเข้าไปได้ทั้งจากเว็บและผ่าน App เลย ผมว่ากสิกรคงก้าวหน้าสุดๆ ในประเทศแล้วมั้ง
+1 ทำดีแล้วยกย่อง
ของกสิกร l ibanking แล้ว เปลี่ยนเน็ตจาก wifi เป็น gprs แล้ว session ไม่หลุด (ปกติมันควรจะหลุดรึเปล่า)
ผมว่าควรจะหลุดนะครับ การเช็ค ip+session เป็นการป้องกันอีกทาง
I'm a PHP Programmer..
ของเขาเยี่ยมก็งี้แหละ ผมก็ยังฝากเงินเลย
Nokia is My Life, Windows Phone is My Love, Android is My Favorite and Twitter is My Addict!
SayHiIT | Twitter | Facebook
ควรจะรวมไปถึงสายการบิน และเว็บไซต์ของรัฐบาลด้วยมั้ยเนี้ย?? ปล. บางธนาคารยังให้ส่งข้อมูลบัญชีโดยใช้แผ่น floppy อยู่เลย
+1 SCB ส่งรายการเงินเดือน รับแต่ Floppy อย่างเดียว
+1 SCIB ด้วยครับ ไม่ยอมพัฒนาสักที -*-
ผมมีปัญหากับ KBank ครับ เพราะ KBank จะสนับสนุนทุกบราวเซอร์แค่ตัว K-Cyberbankin แต่ตัว K-Cash Connect (ตัวที่ทำธุรกรรมยอดเยอะๆ) จะต้องใช้ IE เท่านั้นเลยครับ
、ヽ`、ヽ`(っ´▽`)っ☂ `ヽ、`ヽ
เมื่อช่วงค่ำ มีคนแจ้งว่า ต้องใช้ IE อย่างเดียว แต่ มันไม่รู้จัก IE9!!
iPAtS
ถ้าแค่ส่วน K-Cyber Banking เนี่ย เป็นมิตรสุด (เทียบกับทุกเจ้าในไทย) แล้วครับ แทบจะเป็น html ล้วนเลย มี javascript นิดหน่อยเอง
เจอ post ทุกคลิกของ scb เข้าไปนี่ webkit ถึงกับมึน
+1 K-Cyber Banking ค่อนข้างยืดหยุ่นที่สุด ใช้ได้ทุกบราวเซอร์ และเตือนเรื่องความปลอดภัยเสมอๆเมื่อมีปัญหา แต่ App ใน Smartphone และอุปกรณ์อื่นๆ ยังคงต้องปรับปรุง และ test ให้ดีก่อนออกมาให้ใช้
ขอสนับสนุน จดหมายเปิดผนึกนี้ครับ ผมใช้ Chrome ใช้งานของ SCB ได้ปกติดีครับ
Amphur.in.th
ขอบ่นนอกประเด็นนิดหน่อย แต่กะเกี่ยวกับเรื่องเว็บธนาคารนี่แหละ...
อยากให้สนใจด้าน WebAccessibility เพิ่มด้วยอีกอย่าง ไม่ต้องเลิศหรู แค่ระดับต่ำสุดก็ได้ เพราะ online เป็นไม่กี่ช่องทางที่ผู้พิการจะสามารถเข้าถึงบริการต่างๆ ของธนาคารได้... มันสะดวกกว่าตู้ ATM มากนัก
@ Virusfowl
sometime something with someone
เห็นด้วยอย่างยิ่งที่สุด
สนับสนุนครับ
จักรกฤช วงศ์สระหลวง
คิดๆ ขีดๆ เขียนๆ | LinkedIn
ผมเห้นด้วยบางส่วน แล้วก็ไม่เห็นด้วยบางส่วนครับ
ส่วนที่เห็นด้วยคือธนาคารควรต้องพยายามปรับตัวตามสภาพการใช้งานปัจจุบันของผู้ใช้ให้ทัน แต่ที่ไม่เห้นด้วยคือการร้องขอให้ธนาคารปล่อยเสรี ไม่ควบคุมอะไรเลย
ผมเคยคุยกับรองประธานฝ่ายสารสนเทศของธนาคารกรุงเทพฯ ทำให้ทราบว่าผู้ที่ดูแลเรื่องนี้ทราบกันดีว่าสภาพตลาดเปลี่ยนไปครับและมี Browser หลากหลายให้ใช้ในตลาด รวมทั้งหลากหลายอุปกรณ์ด้วย แต่ด้วยความที่ธนาคารมีหน้าที่หลักคือรักษาเงินฝากของประชาชนให้ปลอดภัยที่สุด จึงมีความจำเป็นที่ต้องรอบคอบ เพราะหากเกิดกรณีเงินหายไปเพราะอะไรก็ตามจากการใช้งานผ่านอินเตอร์เนท ธนาคารจะเป็นคนแรกที่ต้องรับผิดชอบ ทั้งๆที่ความผิดนั้นอาจจะไม่ได้เกิดมาจากธนาคารเอง
ไหนๆก็เป็นข้อเสนอจากกลุ่มผู้ใช้เทคโนโลยีอยู่แล้ว ผมจึงคิดว่าเราควรมองในมุมธนาคารด้วยหรือไม่ว่าการปล่อยเสรีนั้นจะเกิดความเสี่ยงอะไรบ้างต่อผู้ใช้งาน และนำเสนอทางแก้ไขและป้องกันด้วย จึงเป็นข้อเสนอที่เป็นได้ในทางปฏิบัติ
การพยายามผักดันให้เกิดเสรี โดยไม่มีการป้องกันความเสี่ยงที่เกิดขึ้น เป็นไปได้ยากมากที่จะได้รับการตอบสนองรวดเร็วในทางปฏิบัติและออกจะเป็นการผลักภาระในการจัดการกับความเสี่ยงให้ธนาคารรับผิดชอบเพิ่มขึ้นด้วยครับ
ถ้ามองตามกฏ 80:20 ผมคิดว่า ธนาคารเลือกถูกแล้วที่จะดูแล 80 แล้วปล่อยให้กลุ่ม 20 ลำบากหน่อย แต่ทั้งนี้ทั้งนั้นธนาคารต้องมั่นใจด้วยว่าตัวเองเลือกถูกว่าใครคือ กลุ่ม 80 ใครคือกลุ่ม 20
ความความเคารพ
ปรกติแล้วกฎ 80:20 นี้มักให้ 20% เป็นส่วนที่ได้รับความสำคัญมิใช่หรือครับ?
btw ลงชื่อครับ ณัฐวุฒิ เพ็ชรมาก
ไม่ใช่ครับ
การออกแบบอะไรก็ตาม ควรพิจารณาให้กลุ่ม 80 ทำงานง่ายที่สุดเพราะเป็นคนใช้งานส่วนใหญ่ และให้กลุ่ม 20 สามารถใช้งานได้ แต่อาจจะไม่สะดวกหน่อย การออกแบบอะไรก็ตามที่มุ่งเนั้นให้กลุ่ม 20 สะดวกสบายนั้น จะทำให้กลุ่ม 80 ประสบความลำบากในการใช้งานครับ (เอาไปใช้ได้เกือบครอบจักรวาลครับ)
ปกติการออกแบบที่มีปัญหรือเสียเวลาโดยไม่จำเป็นนั้น จะพยายามที่จะแก้ปัญหาให้กลุ่ม 20% เกินไป (ย้ำว่าเกินไปนะครับ) จนกระทบกลุ่ม 80%
คนละเรื่องกับที่บอกว่ากลุ่ม 20% มีน้ำหนักมากกว่า 80% ครับ คิดง่ายว่า ถ้ารัฐจัดสรรงบประมาณ 80% ไปดูแลกลุ่ม 20% มันก็ไม่ถูกต้องใช่ไหมครับ (แต่กลุ่ม 20% จะคิดว่าถูกต้องอยู่แล้ว เพราะ เงินก้อนนั้นก็มาจากกลุ่มเค้าน่ะล่ะ :P)
ของคุณ neizod ถูกแล้วครับ
ของคุณ lawender ถูกในแง่เหตุผลครับ แต่ที่ว่ามามันไม่ใช่กฏ 80:20 นะครับ
อย่าลืมว่า เว็บธนาคารกรุงเทพโดนโจมตี(แฮก) มากที่สุดนะครับ...
เพราะอะไรคงไม่ต้องบอก...
ดีใจจัง ค้นแล้วเจอเลย
เป้าหมายการโจมตีที่ผ่านมาไม่ใช่โจมตี "เว็บ" นะครับ
แต่เค้าใช้วิธีสร้าง phishing page หลอกให้คนเชื่อแล้วเข้าไปกรอก user/pass ต่างหาก
ซึ่งปัญหานี้ การกรอง browser จะยิ่งเป็นผลเสีย โดยเฉพาะการกรอง แล้วยังปล่อยให้ IE 6 เข้าได้ เพราะมันไม่มีระบบการกรอง phishing !!!
ผมสงสัยต่อ "ความรอบคอบ" ของธนาคารครับ
IE6 มีประวัติอันยาวนานถึงช่องโหว่ความปลอดภัย เป็นเป้าโจมตีของมัลแวร์และไวรัสจำนวนมาก ที่ผ่านมาธนาคารซึ่งพยายามควบคุมทุกอย่าง ได้ใช้การควบคุมนี้ ช่วยเหลือลูกค้าอย่างไรกันบ้าง?
LewCPE's Google+
ควรจะบล็อกเฉพาะ IE6 ด้วยซ้ำ
@Lew ครับ
ผมเห็นด้วยว่าธนาคารปรับตัวตามตลาดไม่ทัน และต้องเร่ง "ความเร็ว" ในการตาม Technology Browser มากกว่านี้ครับ การจำกัด Browser จริงๆแล้วมันก็เป็นการสะท้อนให้เห็นอย่างชัดเจนถึง "ความล้มเหลว" ในการปรับตัวของภาคธนาคารครับ อันนี้ผมว่าทุกคนยอมรับครับ
แต่ผมคิดว่ามันคนละประเด็นกับการเรียกร้องให้เปิดเสรีหรือ "อิสระ" เพื่อแก้ปัญหาการปรับตัวไม่ทันของธนาคาร ทางออกมันน่าจะเป้นอย่างอื่นครับ ที่ผมทราบมาคือ การจะอนุญาตนั้น ธนาคารจะต้องยื่นเรื่องไปทางแบงค์ชาติด้วยครับ ไม่ได้สามารถทำได้โดยพลการ และอย่างที่บอกครับว่าการรักษาความปลดภัยของทรัพย์สินของผู้ฝากเงิน เป็นหน้าที่หลักของธนาคารครับ
ถ้าพูดจริงๆแล้ว Internet Banking เป็นเพียงช่องทางนึงในการเข้าถึงบริการของธนาคาร ซึ่งผู้ใช้งานช่องทางนี้ ก็มีไม่มากเท่ากับผู้ที่ใช้บริการผ่าน ATM หรือสาขา ดังนั้นที่ผ่านมาธนาคารจึงปรับตัวช้ามากในตลาดนี้ เพราะคิดว่ามันเป็นแค่ทางเลือก (แต่ก่อนอาจจะมองว่าเป็นแค่ Fashion เท่านั้น) แต่ในวันนี้ มันกำลังจะกลายเป็นช่องทางหลักอีกทางหนึ่งแล้ว ดังนั้นผมถึงบอกว่าผมเห็นด้วยที่ธนาคารต้องปรับตัวให้ทันให้ได้
การเสนอให้มี "อิสระ" โดยผลักภาระไปให้ผู้ใช้รับความเสี่ยงทางด้านความปลอดภัยเอง โดยการขึ้น "ข้อความเตือน" นั้น ผมคิดว่า ถ้าธนาคารทำแบบนี้จริง ถือว่าไม่มีความรับผิดชอบอย่างยิ่งครับ
ผมว่าข้อเสนอของ Blognone มันกว้างเกินไป และสุ่มเสี่ยงที่จะสร้างปัญหาด้านความปลอดภัย ครับ
"การไม่เช็ค user-agent" ไม่น่าจะแปลว่า "ไม่ปลอดภัย" นะครับ และไม่ได้แปลว่า "อิสระ" ทุกประการด้วย ก็แค่เปิดกว้างให้เบราว์เซอร์ทำงานได้ทุกตัวเท่านั้น
ยังมีวิธีการอื่นๆ อีกมากที่จะช่วยให้การทำธุรกรรมปลอดภัยยิ่งขึ้น เช่น การ verify ตัวตนผ่าน SMS ที่หลายๆ ธนาคารใช้อยู่, การเชื่อมต่อผ่าน SSL ตลอดเวลา, การแสดงรายการ session ที่ล็อกอินอยู่ในขณะนั้นว่ามาจากที่ไหนบ้าง (อย่างที่ Google/Facebook ทำอยู่)
ผมว่าสิ่งที่เศร้ามาก (และน่าจะเกิดขึ้นแล้ว) คือผู้บริหารธนาคารซื้อ iPad มาแล้วปรากฏว่าล็อกอินเข้าระบบของธนาคารตัวเองไม่ได้ครับ
my disclaimer
ประโยคสุดท้าย เล่นเอาสำลักกาแฟเลยทีเดียว :)
มีเพื่อนฝึกงานที่ scb บอกว่าใช้คอมของธนาคารดันเปิดเว็บ scb ไม่ได้ (เหมือนโดนบล็อกไว้)
ผมมองในเชิง technical นะครับ การ lock เช่นนี้ไม่ช่วยอะไร ความเสี่ยงทางด้านความปลอดภัยที่ผู้ใช้ต้องรับภาระ ยังคงอยู่ และไม่ลดลง
ผมสามารถแสดงได้โดยง่ายกว่าการ lock เช่นนี้ไม่สามารถลดความเสี่ยง ได้อย่างไร ด้วยการปลอมเบราเซอร์ที่ "มุ่งร้าย" ให้เป็นเบราเซอร์ที่อยู่ในรายการที่ธนาคารรองรับได้โดยง่าย
ถ้ามีกรณีที่ "หนักแน่น" ว่าการกระทำเช่นนี้ช่วยผู้ใช้ได้จริง ผมยินดีให้พื้นที่เว็บนี้กับทางธนาคารมาชี้แจงกับผู้ใช้ครับ
LewCPE's Google+
ผมขอเดาว่าไม่ใช่ด้านความปลอดภัยหรอกครับ
คนที่ทำระบบขึ้นมาไม่มีความเป็นมืออาชีพมากว่าครับ คือเขียนให้มันทำงานได้กับเบราว์เซอร์แค่ตัวเดียวพอ เพราะการเขียนระบบให้ทำงานได้ครบทุกเบราว์เซอร์ไม่ใช่เรื่องง่ายๆ ต้องมีใจรักและมีความเป็นมืออาชีพ (รับผิดชอบต่อหน้าที่ของตนเอง) ด้วยครับ
อย่างกรณีของ Tesco Visa Card ซึ่งใช้ระบบ E-Service ของกรุงศรีฯ ช่วงปีก่อนที่ผมใช้งานนั้นไม่ได้มีการ filter ที่ user-agent แต่อย่างใด เพราะมันหนักกว่านั้นครับ ใช้ Chrome ดูเว็บแล้วมันเพี้ยนหมด เพราะ CSS + JavaScript ทำงานไม่ได้ พอลอง Viewcode ดูก็รู้ว่าหยาบมากๆ เพราะ Code ทำงานได้กับ IE เท่านั้นและแทบจะไม่ Support W3C เลยด้วย (ทั้ง CSS และ JavaScript)
ระบบ E-Bank ที่ผมชอบคือของกสิกรครับ CSS มีเพี้ยนบ้างแต่ก็ใช้ได้ครบทุกเบราว์เซอร์ Code ก็เขียนมาค่อนข้างดี
+1 ใช่ครับ เพราะเดี่ยวนี่การใช้เบราเซอร์ในประเทศไทยหันมาใช้ Firefox Chrome และเบราเซอร์อื่นๆ หรือ IE เวอร์ชั่นที่สูงขึ้นไป และในบางทีเบราเซอร์ในเวอร์ชั่นที่กำหนดอาจจะมีช่องโหว่ บั๊ก หรือข้อผิดพลาดต่างๆ จึงอยากให้ทางธนาคารหยุดการจำกัดเบราเซอร์ที่ใช้ เพื่อจะได้ให้ผู้ใช้เบราเซอร์อื่นๆ สามารถใช้บริการออนไลน์ได้อย่างเท่าเทียมกัน
ผมใช้ symbian เวลาเข้าเว็บธนาคารผ่าน Browser ของตัวมือถือเอง ชอบล๊อคอินไม่ผ่าน
ไม่รู้เกิดจากอะไร -*-
"แค่ชอบแนวทาง"
สนับสนุนครับ
ในฐานะโปรแกรมเมอร์อ่อน ๆ อย่างผม ที่พอจะได้ผ่านระบบเหล่านี้มาบ้าง ก็รู้สึกดีจังจะได้มีงานทำเพิ่มอีกหล่ะ
ที่เคยทำมา กว่าระบบจะผ่านได้ test แล้ว test อีก แล้วมีตรวจ sourcecode ด้วย
ถ้าต้องรองรับ ทุก browser รวมถึงมือถือด้วย เราก็คงจะได้ทดสอบและตรวจสอบ กันมากขึ้นอีก จะได้เก่งขึ้นอีก
สนับสนุนครับ
;pizad_sura
ยิ้มหน่อยครับ :D
ขอสนับสนุนด้วยครับ ถึงจะไม่ได้ใช้ e-banking ที่ไทย แต่เท่าที่เคยใช้มาสามธนาคาร ใช้ browser หลักๆ (IE, Firefox, Chrome) นี่ก็ใช้ได้หมด ไม่ได้มีปัญหาอะไร ทำไมธนาคารไทยจะทำบ้างไม่ได้
@kittipatv
http://kittipatv.wordpress.com
โดยส่วนตัวใช้งาน e-banking ของ SCB และ KBANK ก็รู้สึกโอเคกับระบบของทั้งสอง ส่วนที่รู้สึกขัดใจก็แค่รหัสผ่านที่บังคับให้ยาวไม่เกิน xx ตัวอักษร ทำให้รู้สึกไม่ปลอดภัยในการใช้งานเท่าที่ควร (ถึงจะ ssl แล้วก็เถอะ)
สำหรับตัวเนื้อหาของจดหมาย อาจจะต้องเป็นทางการมากกว่านี้? ผมก็ไม่แน่ใจนะครับว่าจดหมายเปิดผนึกนี่ต้องใช้คำ การอ้างอิง และบริบทให้เป็นทางการขนาดไหน แต่ผมคิดว่าถ้ามีบริบทเหมือนเอกสารทางการอื่นๆ ก็จะดีนะครับ ดูขลังดี มีพลัง
ผมสงสัยขอถามนิดนึงครับ อยากทราบว่าธนาคารของต่างประเทศมีระบบการตรวจเบราเซอร์อย่างไร?
สุดท้ายก็ขอลงชื่อสนับสนุนด้วยครับ เอกชัย มุ่งงาม
เท่าที่เคยใช้เหมือนจะไม่ตรวจอะไรนะครับ มีแค่เงื่อนไขพิเศษสำหรับ IE รุ่นเก่าๆ (สำหรับ css javascript) แต่หลักๆ แล้วทุกอย่างเป็น html ธรรมดา ผมก็ไม่เข้าใจว่าทำไมต้องตรวจ เพราะยังไงข้อมูลทุกอย่างก็ต้องถูกส่งไปตรวจสอบกับ server ของธนาคารเอง
@kittipatv
http://kittipatv.wordpress.com
เท่าที่เคยใช้มาสามธนาคาร ไม่เจอปัญหากับเบราว์เซอร์ครับ
ที่แปลกใจอีกอย่างคือ ที่เคยใช้มา ไม่มีใช้ OTP ผ่านมือถือเลยแฮะ (ทำให้บางทีรู้สึกรำคาญเรื่อง OTP ผ่านมือถืออยู่บ้าง แม้ว่ามันจะปลอดภัยดีก็ตาม)
ตัวอย่างจากปสก.ส่วนตัว Bank of America ใช้ได้อย่างเป็นปกติทั้งบน Firefox3/4, Chrome9/10 และ IE8/9 ครับ
ixohoxi's
ลงชื่อสนับสนุน
สนับสนุนครับ และเห็นด้วยเรื่องรหัสผ่านที่มีความซับซ้อนน้อยเกินไป รหัสจีเมล์ยังซับซ้อนกว่ารหัสอีแบงค์กิ้งเลย -*-
สนับสนุนครับ เห็นด้วยเต็มๆ เห็นด้วยว่ากสิกรดูดีสุด ส่วนบัวหลวงไม่ประทับใจเอามากๆ
เห็นด้วยครับ หลายๆเว็บไซต์มีปัญหามาก ไม่ใข่แค่เว็บธนาคารเท่านั้น
รวมไปจนถึงเว็บราชการบางส่วนด้วย ที่กำหนดการเข้าใช้งานโดยไม่มีเหตุผล
ผมชื่อ @kapongpang นะ ไม่ใช่ pangza17
สนับสนุนจดหมายเปิดผนึกฉบับนี้ครับ ควรมีการเปลี่ยนแปลงอย่างเร่งด่วนที่สุด
Enjoy HTML5 or Flash Platform? - @teerasej
สนับสนุนด้วยคน
@watcharate
ก็ใช่เบราว์เซอร์อื่นนอกเหนือจาก IE จะปลอดภัยกว่าเสมอไป แม้แต่โครมเองก็ยังโดนLizaMoonเจาะทะลุ sandbox มาแล้ว
อยากให้เพิ่มเรื่อง Web Accessibility ด้วยครับ ไม่ต้องหรู แต่ใช้ง่าย เช่น ตัวหนังสือใหญ่หน่อย
ส่วนตัว ใช้ Kbank, krungsri, bangkokbank น่าปวดหัวในเรื่องต่างๆกันไป Kbank บ่อยครั้งที่ OTP มาช้า จนลืมไปแล้ว krungsri พอเปลี่ยนใหม่แล้วตัวหนังสือเล็กลง... bangkokbank เมื่อก่อนใช้ได้แต่ IE แต่เดี๋ยวนี้ FF ก็ใช้ได้แล้ว แต่ใช้ๆอยู่เหมือนว่าบางทีเมนูมันเอ๋อๆ ไม่รู้เป็นคนเดียวรึเปล่า
ใช่ก็คือใช่ ไม่ใช่ก็คือไม่ใช่
ผมใช้ scb kbank bbl ส่วนตัวแล้วไม่มีปัญหา มัน chk agent ก็เปลี่ยน browser "จบ" แล้วสำหรับผม ถ้าเข้า mobile ก็มี mobile site เปิดให้บริการอยู่ ทุกอย่าง Smooth มากๆ
อยากให้เลือกได้ ว่าจะเปิด หรือปิด otp เพราะผมชอบเปิดมากกว่า แล้วก็บอกเค้าว่า ถ้าเกิดสั่ง enable otp แล้ว การที่เงินจะโอนออกจาก ธนาคาร ควรให้ผ่าน otp ทุกๆรายการอะครับ เพราะบางแบงค์ พวกเติมเงิน มันจะไม่ต้อง otp ครับ ซึ่ง ผมไม่ค่อยชอบเท่าใหร่ เดี๋ยวโดนคนอื่นเก็บพาสไปนี่คงจนพอดี
อ่อ แล้วก็ อยากให้แบงค์ แจ้งให้ชัดๆ อะครับ เรื่องค่าธรรมเนียมของบริการต่างๆ ครับ เพราะว่าผมเคยเห็นบางเว็บไม่ได้เขียนว่าจะเก็บค่าโอน แต่ว่า พอกดโอนไปปุ๊บ มันก็เก็บมาซะแล้ว ผมไม่แน่ใจว่าผมไม่เห็น(เพราะไม่ได้ดูให้ดี)เองหรือเปล่า แต่บางทีมันเซงๆ นะ แบบ ทำไมไม่บอกก่อนวะ ว่าเสียตัง ไม่งั้นก็เดินไปกดตังออกจากตู้แล้วยัดเข้าตู้ฝากเงินข้างบ้านก็ได้ ประหยัดด้วย
เห็นด้วยครับ แต่ควรจะมีเอกสารเซ็นลายลักษณ์อักษรไปด้วยว่า ว่าเจ้าตัวยินยอมให้ใช้ Browser อื่นได้ครับ
ถึงจะยากเพียงใด ก็ต้องผ่านไปให้ได้
ผมลงชื่อด้วยคนละกัน - วุฒิพงศ์ วงศ์สกุลเดช
Usability หลายแบงค์แย่ Security หลายแบงค์ยังดูหละหลวม การจัดการอย่าง Krungthai ยังต้อง Pop-Up หน้าออกมา ซึ่งก็เป็นช่องโหว่ได้เช่นกัน
ควรจะใ้ห้คนที่เป็นงานได้วางระบบงานแล้วมั้งครับ ทำให้ Usability มันดีหน่อยครับ
ปล.ผมคิดว่า SCB ทำได้ดีครับ K-Bank ยัง Usability ต่ำกว่า แต่ก็ดีไม่แพ้กันครับ แต่นี่เป็นความคิดเห็นเฉพาะส่วนที่ใช้นะครับ แต่ผมว่าควรจะยกเครื่องได้แล้วครับ
ขอบคุณครับ สวัสดีครับ
:: Take minimum, Give Maximum ::
มันเป็นที่เรื่องธุรกิจรึเปล่าครับ แบบว่าถ้ายอมให้ browser อื่นเข้าได้ ก็เหมือนว่ายอมรับว่า support แล้วก็ต้องทำระบบทั้งหมดให้ support จริง ๆ ซึ่งก็ต้อง test กันมากขึ้นหลายเท่า
ธนาคารท้องถิ่นที่ต่างประเทศ (ญี่ปุ่นและสหรัฐฯ) ก็มีลักษณะคล้าย ๆ กัน คือจะแจ้งเตือนก่อนว่า browser นี้นั้นเข้าไม่ได้นะ แต่สุดท้ายก็จะยอมให้ใช้ไป แต่ใช้ได้จริงรึเปล่า ไม่รับผิดชอบ ผมไม่แน่ใจกฎหมายไทยว่าทำอย่างนั้นได้รึเปล่า
ผมใช้ KTB กับ KBank (K ทั้งคู่เลยวุ้ย) ด้วย Chrome ได้อย่างไม่มีปัญหาทั้งคู่
แต่เห็นด้วยครับ
Inglorious Engineer
จดหมายครั้งต่อไปขอหมาวิทยาลัยนะครับ ^^" จุฬาฯ นี่ตอนลงทะเบียนมีแต่ IE เท่าน้ั้นจริงๆ
จุฬาฯ นี่ไม่เข้าใจ เหมือนจะแก้บรรทัดเดียวหายเลยนะสำหรับ reg ไม่ยอมแก้ซักที
ตอนนี้แนะนำให้ลง userscript ไปก่อนครับ ใช้ได้ทั้ง ff และ chrome เลย
May the Force Close be with you.
+111 เห็นด้วย
ของ safari ก็มีเป็น extension ครับ
Gear's Edge the Blog
ถูกใจจริงๆ เรื่องการลงทะเบียนของจุฬาฯ เดี๋ยวพฤษภาคมก็ต้องลงอีกแล้ว น่าจะส่งจดหมายถึง รองอธิการบดีฯ จะได้เรื่องหรือเปล่าก็ไม่รู้
ขนาดเข้าโครงการอบรม(บุคคลภายนอก)ของบางคณะ ยังให้รอรับบัตรประจำตัวนิสิตกับรหัสผ่านเข้าใช้เน็ตตอนเดือนพฤษภาเลย อ้างว่าต้องทำพร้อมกับนิสิตใหม่
แต่เดือนพฤษภามันอบรมเดือนสุดท้ายนี่สิ จะเอามาทำอะไรกันเดือนนั้น เสียค่าอบรมตั้งแพง - -"
พิมพ์ผิดแฮะ "มหาวิทยาลัย" นะครับ
BBL กับ SCB ใช้ Chrome, Firefox ได้แล้ว แต่ BBL ทำ sorting by date เหมือน IE ไม่ได้
เหลือธนาคารไหนที่ไม่ทำเหรอครับ??
ไม่ค่อยเกี่ยวกับ User Agent เท่าไหร่ แต่ KTB Online login เข้าไปแล้วก็หลุดออกมา ขึ้น Session expire บ่อยมากๆ KTC Click เก็บ password ของผู้ใช้ไว้เป็น plaintext แน่ๆ แล้วก็เอาไปใช้เป็น password ของ statement pdf ที่ส่งมาให้ทุกเดือน และไม่สามารถเปลี่ยน password ได้อีกด้วย
ลงชื่อด้วยคนครับ
พูดแล้วอาย ที่ทำงานผมใช้ vb script ช่วยตรวจสอบข้อมูลก่อนส่ง login
ความรู้ และความฉลาด ไม่ใช่สิ่งเดียวกัน จะมีประโยชน์อะไร ถ้าฉลาดแต่อยู่ในกะลา
เห็นด้วยอีกเสียงครับ
ผมเข้าใจว่า ถ้าเปิดแล้ว คุณอาจจะคิดว่า ต้องมานั่งทำคู่มืออธิบายการใช้งานเบราเซอร์แต่ละชนิด (อันนี้ผมเคยเจอจริงๆนะ แต่นั่นก็ห้าหกปีก่อน) โดยเฉพาะพวก troubleshooting ประเภทต้องอนุญาต Pop-up อะไรทำนองนี้
คือไม่ว่านะครับ แค่เตือนว่า เบราเซอร์ที่คุณใช้เราไม่สนับสนุนอย่างเป็นทางการ แต่เราจะไม่ห้ามคุณเข้าใช้งาน แต่จะเข้าไปใช้ก็ได้ไม่ว่ากัน แต่ประสบการณ์อาจจะไม่ดีเท่า อย่าบ่นล่ะ อย่าโทรมาล่ะ
แต่ก็อีกล่ะ สารพัดจาวาสคริปต์หรือ VBScript หรือกับ DOM ที่มันจะพลาดคลาดเคลื่อนในแต่ละยี่ห้อและรุ่นของเบราเซอร์ โดยเฉพาะของ IE 6 มา IE 7 นี่ ขั้นวิกฤตเลยทีเดียว
ถึงจะไม่เกี่ยวข้องกับหัีวข้อโดยตรง แต่ขอฝากปัญหาเรื่อง Security (ของเรา) บน eService ของ AIS ไว้อันนึงสิครับ eService บริการดีๆจาก AIS แต่อาจจะไม่ดีสำหรับเรา ?
ไม่เคยได้ใช้เลย ไม่มีเงินในธนาคาร ซวยไป
ลงชื่อสนับสนุนครับ
Send from my BlackBerry
+1 สนับสนุนครับ ตอนนี้ย้ายธุรกรรมทุกอย่างมาที่ ธ.กสิกร เพราะพอเคยมีปัญหาแล้วโทรไปสอบถามแล้วได้รับคำตอบว่าสนับสนุนการทำงานของ firefox ที่ใช้ประจำ นั่นก็นานมาแล้ว คิดว่าตอนนี้น่าจะสนับสนุนการทำงานของทุกบราวเซอร์แล้ว
สนับสนุนครับ
+1 สนับสนุนอีกเสียงครับ
Alone Again
ใครทำระบบให้ธนาคารมาอธิบายให้น้องๆ ใน blognone ฟังกันหน่อยครับ ว่าสาเหตุมันคืออะไร
ส่วนตัวเคยทำงานที่ SCB เป็น PHP Programmer สมัย 10 ปีก่อน ก็เห็นว่าหน่วยงาน IT ของ แบงค์มีหลายส่วนครับ ซึ่งบางส่วนที่มีหน้าที่รับผิดชอบเกี่ยวกับ transaction ของธนาคารจะต้องผิดพลาดให้น้อยที่สุด ดังนั้นหน่วยงานเหล่านี้ จะมีหัวหน้าทีมเป็นพนักงานเก่าแก่ (เดาว่าอยู่มาไม่น้อยกว่า 10 ปี ถ้าอยู่มาถึงเดี๋ยวนี้ ก็ 20 กว่าปีแล้วล่ะ)
หน่วยงานที่ผมเคยอยู่ ถึงแม้ว่าจะมีหัวหน้าแผนกเป็นด็อกเตอร์รุ่นใหม่ แต่ได้ทำโปรเจ็คใหม่ๆที่ไม่เกี่ยวกับฟังก์ชั่นหลักของธนาคารครับ
แต่แน่นอนว่า เมื่อเวลาผ่านไปก็ต้องมีการเปลี่ยนแปลงบุคลากรไปบ้าง แต่โครงสร้างองค์กรที่ปกครองโดยคนรุ่นเก่าก็ยังคงอยู่ จึงทำให้แนวความคิดใหม่ๆสำเร็จได้ลำบากครับ
I'm a PHP Programmer..
ซ๊าาาาาาาธุ จะได้หมดยุคโบราณสักที ไม่กล้าใช้บริการธนาคารก็เพราะ ie นี่แหละ ถ้าเปลี่ยนจริงจะหนักก็ตรงเจ้าหน้าที่ไอทีธนาคารนี่แหละ
v___v
สนับสนุนหนึ่งเสียงครับ
ขอเพิ่มเรื่อง password ด้วยได้ป่าว
-ยกเลิกกำหนดความยาวสูงสุดของรหัสผ่าน
-ถ้าจะกำหนด ใน login form ช่วยจำกัดจำนวนตัวอักษรให้เท่าที่กำหนดด้วย เพราะใส่เกินแล้วแจ้งว่า password ผิด
+1 จำไม่ได้ว่าที่ไหน ตั้งรหัสไป 58 ตัว ล็อกอินไม่ได้ ต้องค่อย ๆ ลดมาทีละตัว ทีละตัว เรื่อย ๆ จนกว่าจะผ่าน T-T
The Phantom Thief
ส่วนตัวผมไม่ค่อยได้ใช้ ระบบ e-banking มากเท่าไรหนักแต่ผมก็อยากเหํนการใช้ระบบ e-banking ของทุกๆ ธนาคารในประเทศไทย มีการพัฒนาตามเทคโนโลยีเพื่อตอบสนองกับกลุ่มลูกค้าได้มาขึ้น
พูดกันง่ายๆคือถ้ามีเทคโนโลยีที่ดีขึ้นแล้ว แต่ถูกจำกัดให้ใช้แต่เทคโนโลยีเดิมๆ แล้วมนุษย์เราจะพัฒนาสิ่งใหม่ๆไปทำไมกัน
งงกับที่ตัวเองพูด อย่างไงก็ขอสนับสนุบครับ ขอบวกซัก 100
สนับสนุนครับ
meng.in.th : @mengie : My Google+
เรื่องเว็บ mobile ด้วย เดี๋ยวนี้ smart phone ทำอะไรได้มากแล้ว อยากจะเข้า full site กลับเข้าไม่ได้ โดนเด้งไปหน้า mobile น่าจะกดเลือกได้ด้วย
อคติทำให้คนรับเหตุผลด้านเดียว
ลงชื่ออีกเสียงครับ และสนับสนุนความเห็นอีกหลายคน ที่ออกแนวทางว่า "อย่าดักดาน"
รับรองข่าวนี้เรตติ้งสูงปรี๊ดนำแอปเปิ้ล
v___v
+1 ครับ เห็นด้วยในประเด็นที่ i-banking ควรจะ support browser ที่หลากหลาย ไม่ใช่แค่จำกัดแค่ IE อย่างเดียว (ที่ต้องยก IE เป็นตัวอย่าง ก็เพราะจากประสบการณ์ ถ้าใช้ browser อื่นแล้วไม่ได้ มันจะใช้ IE ได้ ฮา)
สำหรับงวดนี้ที่ browser แต่ละค่ายมีการอัพเดตเวอร์ชันใหม่ออกมาในเวลาไล่เลี่ยกัน ผมพบว่าแบงค์กรุงเทพไม่สามารถใช้งานกับ Chrome ได้ แต่ทางธนาคารก็แก้ไขให้หลังจากนั้นเพียงไม่กี่วัน จุดนึ้ต้องขอชมเชยทางธนาคารที่ปรับตัวได้เร็วทันใจดีครับ ส่วน KBank กับ SCB ไม่พบปัญหาอะไร
ปล. ผมใช้ Chrome เป็นหลักและไม่ได้เข้า i-banking ทุกวัน
ขอแชร์อีกนิดละกัน ...
เท่าที่ผมใช้งานระบบธนาคารผ่านอินเตอร์มา ... เวปธนาคารไทยแท้แทบทุกเวปมีปัญหากับ Browser ที่ไม่ใช่ IE ซึ่งก็ตรงกับที่ข้างบนว่าไว้ล่ะครับ
ในทางกลับกัน เวปธนาคารอย่าง Standard Chartered (ประเทศไทย) ดันใช้กับ Browser อย่าง Chrome หรือ Firefox ได้ ... ก็เลยเป็นเหตุผลที่ผมใช้บริการธนาคารนี้แหละ อิอิ (เป็นเหตุผลร่วมกับการใช้บัตร ATM กับตู้ไหนก็ได้ (ซึ่งมีมาก่อน ธ.ทหารไทยนะ เท่าที่รู้))
เท่าที่นึกออก ของ HSBC ก็ใช้งานกับ Firefox ได้ไม่มีปัญหาเช่นกัน แต่ว่าต้องใช้ Token ในการ Authenticate ด้วย ผมเดาว่าเป็นของ RSA นะ
ขอสนับสนุนอีกคนครับ ปัญหานี้ต้องได้รับการแก้ไขครับ
ขอยกมือสนับสนุนอีกเสียงครับ เพราะผมก็เป็นหนึ่งของผู้ที่ประสบกับปัญหาดังกล่าวมากเลย จนน่าลำคาญ
มือถือสมาร์ทโฟน แอปพรีเคชั่นรีวิว
ส่วนตัวผมไม่ซีเรียสกับเรื่อง browser ครับ ความปลอดภัยเท่านั้นที่ต้องการสูงสุด ต่อให้ถูกจำกัดมากกว่านี้ก็ยอม เพราะอย่าลืมว่านี่คือ ธนาคาร นะครับไม่ใช่เว็บฝากรูปฟรี และจากการใช้ส่วนตัวทั้ง 3 ธนาคารคือ Kbank, Krungsri, SCB ยอมรับได้และค่อนข้างชอบในความเรียบง่าย อาจเป็นเพราะผมไม่ได้เรื่องมากหรืออีโก้สูงเกินไปมั้งครับ ^^
ผมเขียน Java แต่ไม่ได้เทิดทูน Java และผมไม่ได้ต่อต้าน .Net เพียงเพราะคนบอกว่า .Net มันเยี่ยม!
ถ้าคุณใช้ mac/linux รับรองว่าคุณจะซีเรียสเรื่องนี้แน่ๆ
Ok ครับ ถ้ากรณีนี้ยอมรับได้ ต้องขออภัยด้วยสำหรับ case นี้
ผมเขียน Java แต่ไม่ได้เทิดทูน Java และผมไม่ได้ต่อต้าน .Net เพียงเพราะคนบอกว่า .Net มันเยี่ยม!
มันไม่ใช่ว่าคนอื่นเรื่องมากหรืออีโก้สูงหรอกครับ
คุณไม่เข้าใจเองว่าคุณกำลังเดินอยู่ในทุ่งระเบิด
การออกแบบด้านความปลอดภัยของระบบที่ทำงานผ่านเน็ตเวิร์กไม่ได้ขึ้นอยู่กับไคลเอนต์ครับ แต่ต้องเป็นที่เซิร์ฟเวอร์เท่านั้น โดยทั่วไปแล้วเซิร์ฟเวอร์ต้องมองไคลเอนต์ทุกตัวเป็น untrusted เสมอ ไม่ว่าจะคุณจะใช้ IE, FF, Chrome, etc. ก็ต้องถือว่าเป็น untrusted เสมอ ไม่มีไคลเอนต์ตัวใดเป็น trusted ได้ครับ
เอาจริงๆ แล้วการจะหลอกเซิร์ฟเวอร์ว่าใช้เบราว์เซอร์ตัวใด ก็เป็นแค่การแก้ไขข้อความ plain text 1 บรรทัดใน HTTP header เท่านั้น
การที่ธนาคารจะยกเรื่องความปลอดภัยมาเป็นข้ออ้างไม่ให้ใช้เบราว์เซอร์ตัวอื่นนั้นถือว่าไม่สมเหตุสมผลอย่างยิ่ง แต่ถ้าอ้างว่าไม่มีปัญญาเขียนเว็บให้ตรงตามมาตรฐาน W3C อันนี้จะอนุโลมให้ได้ว่าธนาคารมักง่าย
คิดๆ ขีดๆ เขียนๆ | LinkedIn
+1000 ตรงประเด็นสุดครับ
คืองานนี้ธนาคารเค้าคงไม่เดือดร้อนหรอกครับแต่คนเดือดร้อนผมว่าโปรแกรมเมอร์ ผมว่าเราช่วยกันส่งความช่วยเหลือหรือแนวทางช่วยเค้าเหล่านั้นดีมั๊ยครับ ว่าทำอย่างไรถึงจะแก้ปัญหาได้ เพราะมันก็นะปัญหา browser มันเป็นปัญหาโลกแต่ของ web programmer จริงๆ
ยอดมากครับ ตรงใจสุดๆ
กลับมาอ่านทวนอีกทีแล้ว +9999
My Blog
แชร์ประสบการณ์ ใช้อยู่สองธนาคาร kbank กับ krungsri เวลาจะใช้งานใช้ ie + windows ตลอด ไม่กล้าใช้ os และ broeser อื่น เพราะกลัวมีปัญหา
ถ้าใช้แค่ฟังชั่นหลักๆ ดูยอด โอนเงิน ผมใช้โครมไม่มีปัญหาครับสำหรับสองธนาคารนี้
KBank ใช้ Firefox ได้ไม่มีปัญหาครับ ใช้โอนไปโอนมาบ่อย :-)
คิดๆ ขีดๆ เขียนๆ | LinkedIn
Totally agree .
It's Oranjer Rules, It's me.
Twitter.com/Oranjer_TA
+1 ครับ
+1
Ton-Or
คือปัญหาก็คือถ้าเข้ากับ browser ต่างกันจะทำงานไม่ถูกต้องหรือไม่แสดงผลตามต้องการใช่มั๊ย แล้ว คือเราต้องการให้เค้ายกเลิกตรวจแล้วยอมให้เราใช้เว็ปแบบบิดๆเบี้ยวๆหรือครับ แล้วเราค่อยไปเรียกร้องต่อว่าให้เค้าทำให้เราใช้งานได้ทุก browser ทำไมเราไม่เรียกร้องและให้ข้อเสนอกับเค้าว่าควรทำตาม w3c หละครับ งง เพราะถ้าให้เค้ายกเลิกการตรวจแล้วเราเข้าใช้กับ browser ที่เค้าไม่ได้รองรับแล้วทำงานไม่ได้ค่ามันก็เท่ากันไม่ใช่รึ
ประเด็นคือทำตาม W3C มันไม่ได้เลวร้าย แต่ต้องใช้แรงนิดหน่อย
อีกประเด็นคือเว็บของธนาคารหลายๆ เจ้า ที่จำกัดบราวเซอร์เอาไว้ ถึงจะปลดการจำกัดออกก็ไม่ทำให้แสดงผลเพี้ยนจากเดิมมากนัก การเรียกร้องครั้งนี้จึงมีเป้าหมายตรง function ที่ควรจะใช้ได้มากกว่าเรื่องหน้าตาครับ
ส่วนทำให้สวยงามถูกใจผู้ใช้งานนั้นสุดแต่ธนาคารจะลงมือปรับแก้ :)
แน่นอนทำดีคนก็ใช้กันมากขึ้น win-win ทั้งคู่
==========================================
ส่วนกรณีปัญหาของเรื่องนี้ผมไม่ลงชื่อเพราะยังไม่มีปัญหากับการใช้งานข้าม Platform จึงยังไม่เข้าใจทั้งหมด ขอผ่านครับ :)
แล้วคิดว่ากรณีนี้มันจะเกิดขึ้นได้หรือครับ?
ช่วย ๆ กัน +1 ครับ
เห็นด้วย การสร้างให้เป้นมาตรฐานกลาง มีแต่ส่งผลดี ลูกค้ามากขึ้น คนใช้งานมากขึ้น แต่การจำกัด browser ทำให้ใครๆหลายคนใช้งานไ่ม่ได้ รวมถึงชาว Mac User และ Linux User ซึ่งรวมกันแล้วก็มีจำนวนมากพอสมควร
หากว่าธนาคารไหนทำให้เวบเป้นมาตรฐานกลางไม่ได้ แสดงให้เห้นอย่างชัดเจนว่าบุคคลากร ไม่มีประสิทธิภาพมากพอ ตั่งแต่ฝ่าย IT ซึ่งไม่สามารถรองรับได้ จนถึง ผู้บริหารที่ไม่มีความสามารถผลักดัน และอาจจะขาดวิศัยทัศน์อย่างมาก ถ้าจะบอกว่า เทคโนโลยีมันทำไม่ได้ หรือไม่ปลอดภัยหล่ะก็คงไม่ได้แล้ว เพราะว่าในต่างประเทศเค้าก็ทำเวบเป็นมาตรฐานกลางกันทั้งนั้น อยู่ที่ว่า ธนาคารมีความมุ่งมั่นที่จะพัฒนาหรือเปล่า
MacPhuket
สงสัยต้องให้ bot (ธนาคารแห่งประเทศไทย) บังคับให้ทำแล้วล่ะมั้ง ไม่โดนบังคับก็ไม่เริ่มทำกันหรอก เหมือนที่ตลาดหลักทรัพย์บังคับให้ส่งงบการเงินในรูปแบบใหม่ (กลายเป็นต้องมานั่งทำงบการเงินหลาย format ไว้ให้ผู้สอบบัญชีแบบนึง ให้ผู้บริหารแบบนึง ให้ตลาดหลักทรัพย์แบบนึง ให้ธปท.แบบนึง)
เท่าที่ผมเข้าใจ ธนาคารแห่งประเทศไทย ไม่ได้มีการให้บริการ "ธนาคาร online" ครับ น่าจะมีเฉพาะ website เพื่อแสดงข่าวสาร เช่น อัตราแลกเปลี่ยน, ประกาศรับสมัคร พนักงาน เพียงแค่นั้น
นอกจากนี้เท่าที่ผมลองเข้าด้วย chrome / firefox ก็ดูเหมือนจะเข้าได้โดยไม่มีปัญหาครับ ส่วน safari บน iOS เท่าที่เคยลอง อาจจะอ่านยากหน่อย (เพราะจอเล็ก แต่ก็ไม่ได้ render เป็น mobile version จึงคาดว่าน่าจะไม่ได้ทำ UA-sniffing) แต่ก็ยังไม่ถึงกับเข้าไม่ได้
จากข้อมูลข้างต้น การตรวจสอบ UA-string ของผู้ใช้ น่าจะเกี่ยวข้องกับ website ของ ธนาคารพาณิชย์ มากกว่าครับ ซึ่งไม่แน่ใจว่า ธนาคารแห่งประเทศไทย มีอำนาจที่จะบังคับธนาคารพาณิชย์ ให้ดำเนินการในกรณีนี้ได้หรือไม่
ดังนั้น จดหมายเปิดผนึกฉบับนี้ น่าจะจ่าหน้าถึง "สมาคมธนาคารไทย" หรือ ธนาคารใดธนาคารหนึ่งน่าจะไปถึงผู้รับผิดชอบมากกว่าธนาคารแห่งประเทศไทยไหมครับ ?
ถ้าผมเข้าใจอะไรผิดไป รบกวนชี้แนะด้วยนะครับ
PS. ส่วนตัวผมใช้ chrome 99% ยกเว้นเฉพาะตอนพัฒนาระบบงานที่มี requirement ให้แสดงผลด้วย IE เท่านั้นครับ
หัวข้อเขียนถึง ธนาคาร "ใน" ประเทศไทย นะครับ ไม่ใช่ธนาคารแห่งประเทศ
ขอบคุณครับผม อ่านผิดเองครับ
ผมว่าพวกเราบางคนยังมีความเข้าใจในการทำงานของธนาคารไม่ถูกต้องนักครับ
สำหรับ geek อย่างเราๆ นั้น เรามีแนวโน้มที่จะรับความเสี่ยงได้มากกว่าวิชาชีพด้านการเงินครับ ด้านการเงิน ความผิดพลาดสตางค์เดียวก็ต้องไล่ให้เจอ จะทำลืมๆ ไปไม่ได้ ดังนั้นทีม IT ของ bank จึงจะค่อนข้าง conservative อย่างยิ่ง
ประเด็นที่เขาล็อค browser ก็เพราะการจะรองรับ browser ใดๆ เขาต้องทดสอบด้วย test script จนยืนยันว่ามันทำงานได้ถูกต้องครับ ไม่ใช่ assume เอาตามหลักการเฉยๆ คิดหรือครับว่าคน IT bank เขาจะไม่รู้ว่า browser อื่นมันก็เข้าได้ เขารู้ครับ แต่ด้วยเหตุผลด้านการบริหารความเสี่ยง browser ไหนยังไม่ได้ test ผ่าน test script จนผ่าน 100% ก็ต้องถือว่าไม่ support ทั้งสิ้นครับ
เหมือนเวลาเราตั้งกฎ firewall ไงครับ block all ก่อน แล้วเปิดใช้เฉพาะสิ่งที่เราชัวร์แล้ว
ดังนั้น เรื่องนี้เป็นนโยบายด้านความเสี่ยงที่ขึ้นอยู่กับแต่ละธนาคาร ผมว่าหากเขาเห็น market share ของ browser เปลี่ยนไป เขาก็คง test และ support browser ที่หลากหลายขึ้นเองครับ ผมว่า mobile safari นี่น่าจะ support แน่ๆ ในไม่ช้าครับ
การที่คิดไปเองว่าความปลอดภัย ขึ้นอยู่กับ Script และ Browser ที่เปน Client คือความคิดที่ผิดอย่างชัดเจนครับ
ซึ่งผู้เชี่ยวชาญไม่น่าจะเข้าใจอะไรผิดๆแบบนี้
การใช้เหตุผลแบบนี้ยิ่งทำให้ความน่าเชื่อถือลดลงครับ พูดง่ายๆคือ เหตุผลสั่วๆแบบนี้มันแสดงออกถึงความไม่โปรจริง
แล้วผมควรจะไว้ใจระบบ ของคนที่ออกแบบระบบ ให้ความปลอดภัยต่ำ ขนาดที่แค่เปลี่ยน Browser ก็มีความเสี่ยงขึ้นมาแล้ว ดีมั้ย?
ผมควรจะไว้ใจระบบของคนที่เชื่อว่า IE6 ปลอดภัย ดีมั้ย? ทั้งที่ IE6 มีช่องโหว่ระดับที่ ถ้าทำงานในวงการควรจะได้ยินข่าวจนแสบแก้วหู
ผมควรจะไว้ใจ ระบบของคนที่แยก MVC ไม่เปน จนถึงขนาดที่ Script การแสดงผลใน Client จะมีโอกาสเสี่ยงในด้านความปลอดภัย ดีรึเปล่า?
ผมควรจะไว้ใจ ระบบของคนที่ ไม่สามารถแม้แต่จะอัพเดท Browser ที่ตกรุ่นไปแล้วเกิน 5 ปี งั้นเหรอ?
ถ้าอยู่ในธนาคารระดับโลก คนที่ออกแบบระบบได้แค่นี้ ผมว่าโดนไล่ออกไปนานแล้ว
ผมไม่อยากดูถูกว่าคนที่ออกแบบระบบธนาคาร เปนมือโปร ทำระบบที่มั่นคงใช้งานได้มานับสิบปี จะมีความสามารถแค่นี้
ฉะนั้นมันก็มีคำตอบเดียว คือไม่ทำเอง เท่านั้นแหละ จะด้วยเหตุผลว่าไม่มีงบ ผู้บริหารไม่เห็นค่า หรือแค่ขี้เกียจและมักง่ายก็ตามที
My Blog
เรื่องความปลอดภัย แนะนำให้กดย้อนไปอ่านที่ความเห็นนี้ครับ
#276298
" โดยทั่วไปแล้วเซิร์ฟเวอร์ต้องมองไคลเอนต์ทุกตัวเป็น untrusted เสมอ ไม่ว่าจะคุณจะใช้ IE, FF, Chrome, etc. ก็ต้องถือว่าเป็น untrusted เสมอ ไม่มีไคลเอนต์ตัวใดเป็น trusted ได้ครับ "
แล้วสำหรับเรื่องระบบความปลอดภัย การกรองที่ฝั่ง client ถือเป็นความผิดพลาดอย่างใหญ่หลวง ยิ่งในระบบธนาคารแล้ว ไม่สมควรที่จะกรอง client เลยด้วยซ้ำครับ คือให้สิทธิ์ทุก client เท่ากันหมด (ไม่ไว้ใจเหมือนกันหมด) แล้วไปดักฝั่ง server เท่านั้น
สังเกตได้ง่ายๆ จากเกมออนไลน์ครับ hackshield / nProtect / gameguard อะไรไม่มีประโยชน์เลยซักนิด เพราะมันทำงานที่ฝั่ง client
ผมคิดว่าผมเข้าใจความคิดของคนทำงานธนาคารเหล่านี้นะครับ แต่ผมเชื่อว่าความคิดแบบนี้เกิดบนฐานของความเข้าใจมุมมองความปลอดภัยที่ผิด การป้องกันแบบนี้ไม่ได้ทำให้อะไรดีขึ้น (แต่ทำให้หลายอย่างแย่ลง)
ในมุมของความปลอดภัยแล้ว การอ้างความปลอดภัยด้วยมาตรการที่ไร้ผลเช่นนี้ทำให้สถานะการณ์ยิ่งแย่ลง เพราะผู้ออกแบบจะเกิด Moral Hazard ว่าได้ทำบางอย่างเพื่อความปลอดภัยไปแล้ว
ทุกวันนี้ในเมืองไทย Firefox และ Chrome ล้วนมีระดับการใช้งานเกิน 10% หลายธนาคารกลับไม่รองรับเบราเซอร์เหล่านี้ และปล่อยให้ลูกค้ากว่า 20% ไม่สามารถใช้งานได้ รวมถึง IE9 ที่ผ่านการ "อัพเกรด" เองก็ยังมีหลายธนาคารมีปัญหา
ผมไม่ได้เรียกร้องไม่ให้ "เตือน" ว่าการทำงานบนเบราเซอร์ที่ไม่ซัพพอร์ตอาจจะผิดพลาดนะครับ
LewCPE's Google+
น่าสนใจครับ ถ้าทำแบบเตือนแล้วให้กดไปต่อได้โดยยอมรับความเสี่ยงเองก็น่าจะโอเคเหมือนกัน
ตอบแบบสรุปจากด้านบนให้เหลือสั้นๆ:
การเขียนเว็บที่ต้องมานั่งทดสอบการทำงานต่าง browser กันนี่เป็นอะไรที่ผิดพลาดอย่างร้ายแรงครับ
ถ้าทดสอบแค่ ui สวยไม่สวย นั่นโอเคครับ เพราะมันต่างกันบ้าง แต่การทำงานเบื้องหลังมันเหมือนกันหมดอยู่แล้วครับถ้าไม่ไปเขียน javascript มั่วๆ
นี่แหละครับคือ assumption แต่สำหรับการทำงานในระดับ enterprise นั้น untested = unsupported ไม่ใช่บอกว่าฉันเขียน script ดี ไม่มั่ว ไม่น่ามีปัญหาแล้วจะปล่อยออก production ได้เลยครับ ต่อให้เขียนเป๊ะๆ แล้วก็ต้องผ่านกระบวนการ test ครับ
ลงช่ือครับใช้ mac ครับ = ='
Moss 's blog
ลงชื่อด้วยครับ
ยุวัฒน์ เชื้อสาธุชน
ผมเดาว่า ที่หลาย ๆ ธนาคารในสมัยก่อน มีการ block browser ค่ายต่าง ๆ เป็นเพราะ javascript
ทีมงาน ไม่มีปัญญาเขียนให้เป็นกลาง พอที่จะทำงานได้ทุก browser พอเปิดดูด้วย browser อื่นแล้วคลิกไม่ไปบ้าง error บ้าง เกิดไม่ block ไว้ก่อน ผู้ใช้สั่งโอนเงิน โอนไม่ไป เด้ง error message ออกมา ธนาคารโดนด่าอีก
ครั้นจะไม่ block ก็ต้องเสียเวลาทดสอบ javascript กับหลาย ๆ browser อีก เสียเวลา block ให้หมดเลยดีกว่า
คิดว่าคงไม่ใช่เรื่องความปลอดภัยหรอก ธนาคารคงไม่ non-sense ถึงขนาดคิดว่า IE ปลอดภัยสุดในสามโลก
แต่กลัวผู้ใช้จะได้รับประสบการณ์ใช้งานที่เลวร้ายเมื่อใช้กับ browser อื่นมากกว่า
ขอสนับสนุนครับ