By: lew 
on 6 April 2011 - 22:50
Tags:
Topics:
ในช่วงเวลาห้าปีนับจากการออก Internet Explorer 7 เป็นต้นมา ตลาดเบราเซอร์บ้านเรามีความเปลี่ยนแปลงเป็นจำนวนมาก ไปในทิศทางเดียวกันตลาดโลก เบราเซอร์เช่น Firefox, Chrome, Safari, หรือกระทั่ง Internet Explorer รุ่นใหม่ๆ ได้รับความนิยมมากขึ้นอย่างรวดเร็ว
แต่บริการที่สำคัญอย่างบริการธนาคารออนไลน์ของไทย กลับมีประวัติการไม่ยอมให้บริการกับเบราเซอร์อื่นนอกจาก ยี่ห้อ และรุ่นที่ได้กำหนดไว้ล่วงหน้า ส่งผลให้คนจำนวนมากไม่สามารถเปลี่ยนเบราเซอร์ได้ตามต้องการ ทั้งที่หลายครั้ง การเปลี่ยนไปใช้งานเบราเซอร์อื่นไม่ได้มีผลใดๆ ต่อการใช้งาน
แนวทางการตรวจเบราเซอร์ด้วย User Agent เป็นการจำกัดการใช้งานอย่างไม่จำเป็น ในทางปฎิบัติแนวทางนี้ไม่ได้รับประกันใดๆ ว่าเบราเซอร์ที่เข้ามาใช้บริการจะเป็นยี่ห้อและรุ่นที่กำหนดไว้จริง อีกทั้งเบราเซอร์ในช่วงหลายปีมานี้ก็เริ่มมีพฤติกรรมการทำงานที่เหมือนกันมากขึ้นเรื่อยๆ
ผมเขียนจดหมายฉบับนี้ ถึงผู้มีอำนาจตัดสินใจในการออกแบบเว็บบริการธนาคาร ขอให้ยกเลิกการตรวจสอบยี่ห้อและรุ่นของเบราเซอร์ เพื่อให้ผู้ใช้สามารถเลือกใช้เบราเซอร์ ได้อย่างอิสระ ด้วยเหตุผลดังนี้
- ผู้ใช้ในไทยมีพฤติกรรมการใช้เบราเซอร์ที่หลากหลายมากขึ้น ณ วันนี้เอง Chrome ก็ยังไม่สามารถเข้าเว็บของหลายๆ ธนาคารได้ ทั้งมีผู้ใช้ในไทยสูงกว่า 10%
- เบราเซอร์ทุกยี่ห้อมีแนวทางการออกรุ่นใหม่เร็วขึ้นเรื่อยๆ และระบบอัพเดตมักทำงานโดยอัตโนมัติโดยหลายครั้งผู้ใช้ไม่ได้สั่งการด้วยตัวเอง ธนาคารมักไม่สามารถเริ่มรายการที่รองรับได้ทัน ทำให้ผู้ใช้ที่เพียงอัพเดตระบบ กลับไม่สามารถเข้าถึงบริการได้
- การเข้าถึงบริการเหล่านี้ ไม่ได้มาจากพีซีเพียงอย่างเดียวอีกต่อไป ทุกวันนี้มีอุปกรณ์ที่หลากหลายที่ควรจะเข้าถึงบริการของธนาคารได้เช่น แท็บเล็ต, โทรศัพท์มือถือ, โทรทัศน์, หรืออุปกรณ์อื่นๆ ที่เข้าถึงเว็บได้อีกจำนวนมาก อุปกรณ์เหล่านี้หลายครั้งมีเบราเซอร์เป็นของตัวเอง ที่สามารถเข้าใช้งานเว็บของธนาคารได้หากไม่ถูกจำกัดด้วยการตรวจสอบที่ไม่จำเป็นนี้
สำหรับความกังวลว่าบริการจะไม่สามารถทำงานได้อย่างสมบูรณ์หากไม่ได้ผ่านการตรวจสอบอย่างถูกต้อง ธนาคารอาจจะแสดงข้อความเตือนเมื่อมีการใช้งานจากเบราเซอร์ที่อยู่นอกรายการที่ได้รับการทดสอบแล้ว การทำเช่นนี้จะเปิดโอกาสให้อุปกรณ์จำนวนมากสามารถเข้าถึงบริการของธนาคารได้อย่างเต็มที่
ด้วยความนับถือ
วสันต์ ลิ่วลมไพศาล
อิสริยะ ไพรีพ่ายฤทธิ์
ผู้ดูแลเว็บไซต์ Blognone.com
note: สำหรับสมาชิกท่านอื่นๆ สามารถลงชื่อเพื่อสนับสนุนจดหมายฉบับนี้ได้ครับ ผมจะหาทางเพื่อส่งข้อความนี้ไปให้ถึงผู้มีอำนาจตัดสินใจจริงๆ ต่อไป
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ปกติผมใช้บริการเฉพาะ Online Banking ซึ่งผมใช้บริการของ 3 ธนาคาร ได้แก่ Kbank,Krungsri,SCB
ใช้เฉพาะ Online Banking เท่านั้นนะครับ ผมสามารถใช้ Firefox ร่วมกับ Services ของทั้ง 3 ธนาคารนี้ได้อย่างปกติครับผม
ปล.แต่สำหรับของ Krungsri ผมอยากให้ยกเลิกการตรวจสอบประเภทของ Mobile ครับ เพราะผมใช้ WP7 ซึ่งใช้ Browser IE7 Mobile มันไม่ยอมให้เข้าหน้าเพจแบบ Mobile ครับ มันให้ผมเข้าแบบเวอร์ชัน Full Desktop อย่างเดียวเลย.. (ซึ่งทำให้ลำบากที่จะต้องย่อขยายหน้าจออยู่บ่อยๆ) ซึ่งผมเองมองว่าปัจจุบันนี้ Browser บนโทรศัพท์นั้นมีศักยภาพมากพอที่จะรันฟังก์ชันต่างๆได้ในระดับหนึ่งแล้ว จึงไม่มีประโยชน์ที่จะต้องจะจำกัดประเภทของ Browser ครับ
Kbank ถ้าใช้ Firefox บน Ubuntu สามารถทำงานได้ แต่แสดงผลเพี้ยนครับ
ตัวผมเองไม่ได้ผลกระทบโดยตรงจากเรื่องนี้ (เว็บของ SCB ใช้กับ Opera ได้ไม่มีปัญหา) แต่ผมเห็นด้วยเรื่องการยกเลิก User Agent เพราะมันเป็นเหมือนตัวฉุดรั้งการพัฒนาของ e-Banking ในประเทศ (รวมถึง e-Services บนเว็บของทุกหน่วยงานอื่นๆด้วย) ทางกระทรวง ICT น่าจะลงมามีบทบาทตรงจุดนี้ได้นานแล้ว
ศรวิษ เสียงแจ้ว
+1
เพิ่มเติม อยากให้ปรับปรุงเรื่องการตั้งชื่อและรหัสผ่านด้วยครับ อย่างกสิกร จำกัดแค่ 10 ตัวอักษร มากกว่านี้ไม่ได้ กรุงศรี บังคับการตั้งชื่อตัวเลขกับตัวอักษรเท่านั้น แต่ไม่บังคับรหัสผ่าน มาแปลกกว่าชาวบ้านเลย ของธนาคารอื่นผมไม่ทราบ
ชัยธัช วรวรรณ
ปกติระบบธุรกรรมการเงิน ก็ควรที่จะยินยอมให้ผู้ใช้มีการตั้ง Password แบบซับซ้อนได้ (Case-Sensitive,ตัวเลข,อักขระ)
เพื่อความปลอดภัยของระบบและผู้ใช้เอง แต่เห็นด้วยเต็มๆที่ Krungsri นี่มาแปลกเลยครับ
ใช้อักขระผสมตัวอักษรไม่ได้.. ปวดตับเลยครับ ใครมันเป็นคนดีไซน์ระบบเนี่ย จะได้ไปบอกลูกหลาน นี่เรื่องความปลอดภัยของผู้ใช้ล้วนๆเลยครับ
กสิกรก็ตั้งรหัสผ่านได้เฉพาะตัวอักษรและตัวเลขเท่านั้นครับ
ผมใช้ * ได้นะครับ ตัวอื่นไม่รุ้
เวลาดูสาวชอบดูสาวขาวๆ Sex Sex เวลาดู Notebook ชอบแบบ"ถึกๆดำๆ"
Twitter : @Zerntrino
G+ : Zerntrino Plus
ผู้พัฒนาระบบเป็นคนแก่ครับ เลยกลัวว่า user ที่มีอายุจะทำรหัสผ่านตัวเองไม่ได้ ฮ่าๆ
ถูกอย่างที่สุดควรยกเลิกได้แล้ว ใช้ Safari จาก iPhone เข้า BankOnline เปลี่ยนเป็น Mobile หมดเลยน่าหงุดหงิดมาก
สนับสนุนอีกเสียงครับ
เพิ่มเติม.. เรื่องรหัสผ่านครับอีกของธนาคารคือ SCB บังคับให้รหัสผ่านสำหรับ ebank ไว้แค่ 6 ตัวอักษร (อักษร+ตัวเลข) ผมว่ามันปลอดภัยน้อยเกินไปมากๆ..
ธิติวุฒิ มุกติกานันทกุล
ของ SCB เป็น 6-8 ตัวอักษรครับ แต่ก็ประหลาดอยู่ดี
LinkedIn
แล้วบางที่ตรวจสอบ password เราต้อนตั้ง
จะกรอกภาษาหรืออักขละอื่นลงไปก็ไม่ได้ ต้องเป็นตัวอักษรภาษาอังกฤษและตัวเลขเท่านั้น :(
ทำไมมันต้องตรวจสอบด้วบ
อยากให้หาโปรแกรมเมอร์เก่งๆไปแก้ใขเว็บด้วยคับ เท่าที่ผมเห็น ของกรุงเทพกับไทยพาณิชย์ ฝีมือน่าจะอยู่ราวๆนักศึกษาจบได้ปีเดียว ผมไม่เข้าใจเลยว่าระดับธนาคารทำไมไม่หาคนเก่งๆไปทำ หรือให้คนเหล่านั้นทำเพราะเข้าใจว่าเขาเก่งแล้ว
กรุงเทพฯเค้าปรับแล้วครับ ลองเข้าดูอีกที ตอนนี้น่าจะเข้าด้วยอะไรก็ได้แล้ว
ที่ธนาคารต้องเข้มงวดเรื่อง browser ส่วนหนึ่งมาจากมันเป็นเรื่องเงินครับ ถ้าเงินหายไปยังไงธนาคารก็เป็นจำเลยก่อน ดังนั้นธนาคารจึงต้องป้องกันตัวเองครับ
แค่เช็ค User Agent แทบไม่ช่วยให้ปลอดภัยขึ้นหรอกคับ เพราะมันเป็นเรื่องเงินนะแหละคับ ผมเลยอยากให้เอาคนเก่งๆเข้าไปทำ
เรื่องเงินเรื่องใหญ่ครับ เขาต้องตรวจสอบ code ว่ามันต้องไม่มีปัญหา "จริงๆ"
หลังฉากไม่ได้ทำโดยนักศึกษาแน่ๆ เพราะไงแม้เว็บจะเป็นระบบใหม่ แต่ core business
ของธนาคารอาจจะเป็นระบบโบราณโคตรๆ ซึ่งมันต้องคุยให้รู้เรื่อง
ผมได้คุยกับคนของ บ. ที่ได้ออกแบบ thame ของธนาคารแห่งหนึ่ง
เขาบอกว่าส่งงานไปเป็นปีแล้ว โดนตรวจแล้วตรวจอีกกว่าจะขึ้นเว็บได้
เห็นว่าต้องแจ้ง กลต. กับแบงค์ชาติด้วย ไม่รู้จริงหรือเปล่า?
I need healing.
ผมว่าทุกคนทราบดีครับว่าไม่ใช่ฝีมือนักศึกษาจบใหม่
แต่ตอนใช้งานบางทีผมก็แอบคิดนะ
ผมว่าติแบบนี้ไม่เกิดประโยชน์นะครับ เหมือนเอาแต่ด่าอย่างเดียวน่าจะบอกด้วยว่าไม่ดีตรงไหน บอกแบบนี้ไม่น่าจะมีใครแก้ให้ถูกใจได้ครับ
ส่วนตัวผมใช้แต่ของ SCB ก็พอใจในระดับนึงนะครับ ทั้งเวอร์ชันปกติและสำหรับมือถือ แต่ก็เห็นด้วยเรื่องรหัสผ่านควรจะซับซ้อนได้มากกว่านี้
ไม่ดีตรงที่ไม่เอาคนเก่งๆมาทำนะแหละคับ ซึ่ง ผมก็ไม่รู้ความจริงหรอก ว่าคนทำเขาเก่งหรือไม่เก่ง แต่ในความรู้สึกผม เขาธรรมดา จุดที่ทำให้ผมคิดว่าคนทำไม่ใช่คนเก่งอะไรก็ การล็อค User Agent การห้ามคลิกขวา การใช้ iframe การกำหนดวิธีตั้งรหัสผ่าน ชื่อไฟล์ UI ฯลฯ ต่างจาก paypal ที่เวลาผมใช้ทำให้ผมรู้สึกว่า คนทำคือคนเก่ง
คนที่ดูแลเรื่องนี้จบดอกเตอร์ด้าน Security จากอเมริกาครับ ผมว่าเก่งพอนะ
(-____-'')
ยิงโป้งเดียวทำเอาคนแถวนี้ปากเก่งไม่ออกกันเลยทีเดียว v__v
ยิ่งรู้สึกสิ้นหวัง -_-'
Security เก่งขนาดไหน แต่ ui ux ต่ำเรี่ยดินขนาดนี้ก็นะ
ยิ่งออกแบบ UI ด้วยเทคโนโลยีล้ำลึกเท่าไหร่
ยิ่งต้องพะวงเรื่อง Security ที่สูงขึ้นเท่านั้นนะครับ
การออกแบบธรรมดาแต่ครอบคลุมความปลอดภัยทุกด้านผมว่าได้ผลดีกว่านะครับ
UI สวยไม่สวย เกี่ยวอะไรกับ Security ครับ
การออกแบบพวกนี้ใช้แค่รูปกับ css ก็สวยได้แล้ว ไม่ต้องใช้เทคโนโลยีล้ำลึกอะไรเลย
นั่นมันเป็นข้ออ้างครับ เรื่อง security มันไม่เกี่ยวกับ ui สักนิด
ยิ่งแย่กว่าเดิมอีกครับ Doctor ด้าน Security ไม่รู้จักแยก MVC
ทำระบบ Security สูงล้ำ แต่ใครแก้ UI ต้องนั่งตรวจแล้วตรวจอีก แบบนี้ผมไม่เรียกว่าระบบที่ดีนะ
ฟังพูดแล้วอยากอุทานขึ้นมาว่า "ด็อกเตอร์เลยทีเดียว"
ตึงโป๊ะ!
ผมว่าสถาบันการเงินส่วนใหญ่ มีเงินและมีคนเก่งๆอยู่ในมือพอสมควรครับ ขึ้นอยู่ว่าเค้าให้ความสำคัญกับอะไรมากกว่าครับ ตอนนี้เค้าอาจจะให้ความสำคัญกับสิ่งอื่นที่ผู้ใช้อย่างเราๆยังมองไม่เห็น (เช่นพวกการตรวจสอบการทำงานประหลาดๆ หรือการให้ความปลอดภัยกับฝั่ง Backend)
ซึ่งสิ่งที่คุณ lew กำลังจะทำคือการบอกให้ผู้เกี่ยวข้องได้รับทราบถึงปัญหา ซึ่งควรจะได้แก้ไขและให้ความสำคัญ(ระดับนโยบาย) ซึ่งถ้าได้ผล ผมว่าธนาคารต่างๆน่าจะมีอะไรดีๆให้เราเห็นในอีกซักพักนึง (ถ้าผมไม่ได้มองโลกในแง่บวกไปนะ)
ต้องเข้าในว่า ebanking ความปลอดภัยมันสำคัญที่สุด
ทุกธนาคารยอมตัด 100 featureทิ้ง ดีกว่าปล่อย 1 feature ที่มีช่องโหว่ออกไป
ของกสิกรไทย ใช้ Opera Mobile ลุยเข้าไปได้ทั้งจากเว็บและผ่าน App เลย
ผมว่ากสิกรคงก้าวหน้าสุดๆ ในประเทศแล้วมั้ง
I need healing.
+1
ทำดีแล้วยกย่อง
ของกสิกร l ibanking แล้ว เปลี่ยนเน็ตจาก wifi เป็น gprs แล้ว session ไม่หลุด (ปกติมันควรจะหลุดรึเปล่า)
ผมว่าควรจะหลุดนะครับ การเช็ค ip+session เป็นการป้องกันอีกทาง
ของเขาเยี่ยมก็งี้แหละ ผมก็ยังฝากเงินเลย
Coder | Designer | Thinker | Blogger
ควรจะรวมไปถึงสายการบิน และเว็บไซต์ของรัฐบาลด้วยมั้ยเนี้ย??
ปล. บางธนาคารยังให้ส่งข้อมูลบัญชีโดยใช้แผ่น floppy อยู่เลย
+1 SCB ส่งรายการเงินเดือน รับแต่ Floppy อย่างเดียว
+1 SCIB ด้วยครับ ไม่ยอมพัฒนาสักที -*-
ผมมีปัญหากับ KBank ครับ เพราะ KBank จะสนับสนุนทุกบราวเซอร์แค่ตัว K-Cyberbankin แต่ตัว K-Cash Connect (ตัวที่ทำธุรกรรมยอดเยอะๆ) จะต้องใช้ IE เท่านั้นเลยครับ
เมื่อช่วงค่ำ มีคนแจ้งว่า ต้องใช้ IE อย่างเดียว แต่ มันไม่รู้จัก IE9!!
iPAtS
ถ้าแค่ส่วน K-Cyber Banking เนี่ย เป็นมิตรสุด (เทียบกับทุกเจ้าในไทย) แล้วครับ แทบจะเป็น html ล้วนเลย มี javascript นิดหน่อยเอง
เจอ post ทุกคลิกของ scb เข้าไปนี่ webkit ถึงกับมึน
+1 K-Cyber Banking ค่อนข้างยืดหยุ่นที่สุด ใช้ได้ทุกบราวเซอร์ และเตือนเรื่องความปลอดภัยเสมอๆเมื่อมีปัญหา แต่ App ใน Smartphone และอุปกรณ์อื่นๆ ยังคงต้องปรับปรุง และ test ให้ดีก่อนออกมาให้ใช้
ขอสนับสนุน จดหมายเปิดผนึกนี้ครับ
ผมใช้ Chrome ใช้งานของ SCB ได้ปกติดีครับ
ขอบ่นนอกประเด็นนิดหน่อย แต่กะเกี่ยวกับเรื่องเว็บธนาคารนี่แหละ...
อยากให้สนใจด้าน WebAccessibility เพิ่มด้วยอีกอย่าง ไม่ต้องเลิศหรู แค่ระดับต่ำสุดก็ได้ เพราะ online เป็นไม่กี่ช่องทางที่ผู้พิการจะสามารถเข้าถึงบริการต่างๆ ของธนาคารได้... มันสะดวกกว่าตู้ ATM มากนัก
@ Virusfowl
I'm not a dev. not yet a user.
เห็นด้วยอย่างยิ่งที่สุด
สนับสนุนครับ
จักรกฤช วงศ์สระหลวง
LinkedIn
ผมเห้นด้วยบางส่วน แล้วก็ไม่เห็นด้วยบางส่วนครับ
ส่วนที่เห็นด้วยคือธนาคารควรต้องพยายามปรับตัวตามสภาพการใช้งานปัจจุบันของผู้ใช้ให้ทัน
แต่ที่ไม่เห้นด้วยคือการร้องขอให้ธนาคารปล่อยเสรี ไม่ควบคุมอะไรเลย
ผมเคยคุยกับรองประธานฝ่ายสารสนเทศของธนาคารกรุงเทพฯ ทำให้ทราบว่าผู้ที่ดูแลเรื่องนี้ทราบกันดีว่าสภาพตลาดเปลี่ยนไปครับและมี Browser หลากหลายให้ใช้ในตลาด รวมทั้งหลากหลายอุปกรณ์ด้วย แต่ด้วยความที่ธนาคารมีหน้าที่หลักคือรักษาเงินฝากของประชาชนให้ปลอดภัยที่สุด จึงมีความจำเป็นที่ต้องรอบคอบ เพราะหากเกิดกรณีเงินหายไปเพราะอะไรก็ตามจากการใช้งานผ่านอินเตอร์เนท ธนาคารจะเป็นคนแรกที่ต้องรับผิดชอบ ทั้งๆที่ความผิดนั้นอาจจะไม่ได้เกิดมาจากธนาคารเอง
ไหนๆก็เป็นข้อเสนอจากกลุ่มผู้ใช้เทคโนโลยีอยู่แล้ว ผมจึงคิดว่าเราควรมองในมุมธนาคารด้วยหรือไม่ว่าการปล่อยเสรีนั้นจะเกิดความเสี่ยงอะไรบ้างต่อผู้ใช้งาน และนำเสนอทางแก้ไขและป้องกันด้วย จึงเป็นข้อเสนอที่เป็นได้ในทางปฏิบัติ
การพยายามผักดันให้เกิดเสรี โดยไม่มีการป้องกันความเสี่ยงที่เกิดขึ้น เป็นไปได้ยากมากที่จะได้รับการตอบสนองรวดเร็วในทางปฏิบัติและออกจะเป็นการผลักภาระในการจัดการกับความเสี่ยงให้ธนาคารรับผิดชอบเพิ่มขึ้นด้วยครับ
ถ้ามองตามกฏ 80:20 ผมคิดว่า ธนาคารเลือกถูกแล้วที่จะดูแล 80 แล้วปล่อยให้กลุ่ม 20 ลำบากหน่อย แต่ทั้งนี้ทั้งนั้นธนาคารต้องมั่นใจด้วยว่าตัวเองเลือกถูกว่าใครคือ กลุ่ม 80 ใครคือกลุ่ม 20
ความความเคารพ
ปรกติแล้วกฎ 80:20 นี้มักให้ 20% เป็นส่วนที่ได้รับความสำคัญมิใช่หรือครับ?
btw ลงชื่อครับ ณัฐวุฒิ เพ็ชรมาก
ไม่ใช่ครับ
การออกแบบอะไรก็ตาม ควรพิจารณาให้กลุ่ม 80 ทำงานง่ายที่สุดเพราะเป็นคนใช้งานส่วนใหญ่ และให้กลุ่ม 20 สามารถใช้งานได้ แต่อาจจะไม่สะดวกหน่อย การออกแบบอะไรก็ตามที่มุ่งเนั้นให้กลุ่ม 20 สะดวกสบายนั้น จะทำให้กลุ่ม 80 ประสบความลำบากในการใช้งานครับ (เอาไปใช้ได้เกือบครอบจักรวาลครับ)
ปกติการออกแบบที่มีปัญหรือเสียเวลาโดยไม่จำเป็นนั้น จะพยายามที่จะแก้ปัญหาให้กลุ่ม 20% เกินไป (ย้ำว่าเกินไปนะครับ) จนกระทบกลุ่ม 80%
คนละเรื่องกับที่บอกว่ากลุ่ม 20% มีน้ำหนักมากกว่า 80% ครับ คิดง่ายว่า ถ้ารัฐจัดสรรงบประมาณ 80% ไปดูแลกลุ่ม 20% มันก็ไม่ถูกต้องใช่ไหมครับ (แต่กลุ่ม 20% จะคิดว่าถูกต้องอยู่แล้ว เพราะ เงินก้อนนั้นก็มาจากกลุ่มเค้าน่ะล่ะ :P)
ของคุณ neizod ถูกแล้วครับ
ของคุณ lawender ถูกในแง่เหตุผลครับ แต่ที่ว่ามามันไม่ใช่กฏ 80:20 นะครับ
อย่าลืมว่า เว็บธนาคารกรุงเทพโดนโจมตี(แฮก) มากที่สุดนะครับ...
เพราะอะไรคงไม่ต้องบอก...
เป้าหมายการโจมตีที่ผ่านมาไม่ใช่โจมตี "เว็บ" นะครับ
แต่เค้าใช้วิธีสร้าง phishing page หลอกให้คนเชื่อแล้วเข้าไปกรอก user/pass ต่างหาก
ซึ่งปัญหานี้ การกรอง browser จะยิ่งเป็นผลเสีย
โดยเฉพาะการกรอง แล้วยังปล่อยให้ IE 6 เข้าได้ เพราะมันไม่มีระบบการกรอง phishing !!!
ผมสงสัยต่อ "ความรอบคอบ" ของธนาคารครับ
IE6 มีประวัติอันยาวนานถึงช่องโหว่ความปลอดภัย เป็นเป้าโจมตีของมัลแวร์และไวรัสจำนวนมาก ที่ผ่านมาธนาคารซึ่งพยายามควบคุมทุกอย่าง ได้ใช้การควบคุมนี้ ช่วยเหลือลูกค้าอย่างไรกันบ้าง?
lewcpe.com, @wasonliw
ควรจะบล็อกเฉพาะ IE6 ด้วยซ้ำ
@Lew ครับ
ผมเห็นด้วยว่าธนาคารปรับตัวตามตลาดไม่ทัน และต้องเร่ง "ความเร็ว" ในการตาม Technology Browser มากกว่านี้ครับ การจำกัด Browser จริงๆแล้วมันก็เป็นการสะท้อนให้เห็นอย่างชัดเจนถึง "ความล้มเหลว" ในการปรับตัวของภาคธนาคารครับ อันนี้ผมว่าทุกคนยอมรับครับ
แต่ผมคิดว่ามันคนละประเด็นกับการเรียกร้องให้เปิดเสรีหรือ "อิสระ" เพื่อแก้ปัญหาการปรับตัวไม่ทันของธนาคาร ทางออกมันน่าจะเป้นอย่างอื่นครับ ที่ผมทราบมาคือ การจะอนุญาตนั้น ธนาคารจะต้องยื่นเรื่องไปทางแบงค์ชาติด้วยครับ ไม่ได้สามารถทำได้โดยพลการ และอย่างที่บอกครับว่าการรักษาความปลดภัยของทรัพย์สินของผู้ฝากเงิน เป็นหน้าที่หลักของธนาคารครับ
ถ้าพูดจริงๆแล้ว Internet Banking เป็นเพียงช่องทางนึงในการเข้าถึงบริการของธนาคาร ซึ่งผู้ใช้งานช่องทางนี้ ก็มีไม่มากเท่ากับผู้ที่ใช้บริการผ่าน ATM หรือสาขา ดังนั้นที่ผ่านมาธนาคารจึงปรับตัวช้ามากในตลาดนี้ เพราะคิดว่ามันเป็นแค่ทางเลือก (แต่ก่อนอาจจะมองว่าเป็นแค่ Fashion เท่านั้น) แต่ในวันนี้ มันกำลังจะกลายเป็นช่องทางหลักอีกทางหนึ่งแล้ว ดังนั้นผมถึงบอกว่าผมเห็นด้วยที่ธนาคารต้องปรับตัวให้ทันให้ได้
การเสนอให้มี "อิสระ" โดยผลักภาระไปให้ผู้ใช้รับความเสี่ยงทางด้านความปลอดภัยเอง โดยการขึ้น "ข้อความเตือน" นั้น ผมคิดว่า ถ้าธนาคารทำแบบนี้จริง ถือว่าไม่มีความรับผิดชอบอย่างยิ่งครับ
ผมว่าข้อเสนอของ Blognone มันกว้างเกินไป และสุ่มเสี่ยงที่จะสร้างปัญหาด้านความปลอดภัย ครับ
"การไม่เช็ค user-agent" ไม่น่าจะแปลว่า "ไม่ปลอดภัย" นะครับ และไม่ได้แปลว่า "อิสระ" ทุกประการด้วย ก็แค่เปิดกว้างให้เบราว์เซอร์ทำงานได้ทุกตัวเท่านั้น
ยังมีวิธีการอื่นๆ อีกมากที่จะช่วยให้การทำธุรกรรมปลอดภัยยิ่งขึ้น เช่น การ verify ตัวตนผ่าน SMS ที่หลายๆ ธนาคารใช้อยู่, การเชื่อมต่อผ่าน SSL ตลอดเวลา, การแสดงรายการ session ที่ล็อกอินอยู่ในขณะนั้นว่ามาจากที่ไหนบ้าง (อย่างที่ Google/Facebook ทำอยู่)
ผมว่าสิ่งที่เศร้ามาก (และน่าจะเกิดขึ้นแล้ว) คือผู้บริหารธนาคารซื้อ iPad มาแล้วปรากฏว่าล็อกอินเข้าระบบของธนาคารตัวเองไม่ได้ครับ
ประโยคสุดท้าย เล่นเอาสำลักกาแฟเลยทีเดียว :)
มีเพื่อนฝึกงานที่ scb บอกว่าใช้คอมของธนาคารดันเปิดเว็บ scb ไม่ได้ (เหมือนโดนบล็อกไว้)
ผมมองในเชิง technical นะครับ การ lock เช่นนี้ไม่ช่วยอะไร ความเสี่ยงทางด้านความปลอดภัยที่ผู้ใช้ต้องรับภาระ ยังคงอยู่ และไม่ลดลง
ผมสามารถแสดงได้โดยง่ายกว่าการ lock เช่นนี้ไม่สามารถลดความเสี่ยง ได้อย่างไร ด้วยการปลอมเบราเซอร์ที่ "มุ่งร้าย" ให้เป็นเบราเซอร์ที่อยู่ในรายการที่ธนาคารรองรับได้โดยง่าย
ถ้ามีกรณีที่ "หนักแน่น" ว่าการกระทำเช่นนี้ช่วยผู้ใช้ได้จริง ผมยินดีให้พื้นที่เว็บนี้กับทางธนาคารมาชี้แจงกับผู้ใช้ครับ
lewcpe.com, @wasonliw
ผมขอเดาว่าไม่ใช่ด้านความปลอดภัยหรอกครับ
คนที่ทำระบบขึ้นมาไม่มีความเป็นมืออาชีพมากว่าครับ คือเขียนให้มันทำงานได้กับเบราว์เซอร์แค่ตัวเดียวพอ เพราะการเขียนระบบให้ทำงานได้ครบทุกเบราว์เซอร์ไม่ใช่เรื่องง่ายๆ ต้องมีใจรักและมีความเป็นมืออาชีพ (รับผิดชอบต่อหน้าที่ของตนเอง) ด้วยครับ
อย่างกรณีของ Tesco Visa Card ซึ่งใช้ระบบ E-Service ของกรุงศรีฯ ช่วงปีก่อนที่ผมใช้งานนั้นไม่ได้มีการ filter ที่ user-agent แต่อย่างใด เพราะมันหนักกว่านั้นครับ ใช้ Chrome ดูเว็บแล้วมันเพี้ยนหมด เพราะ CSS + JavaScript ทำงานไม่ได้ พอลอง Viewcode ดูก็รู้ว่าหยาบมากๆ เพราะ Code ทำงานได้กับ IE เท่านั้นและแทบจะไม่ Support W3C เลยด้วย (ทั้ง CSS และ JavaScript)
ระบบ E-Bank ที่ผมชอบคือของกสิกรครับ CSS มีเพี้ยนบ้างแต่ก็ใช้ได้ครบทุกเบราว์เซอร์ Code ก็เขียนมาค่อนข้างดี
+1 ใช่ครับ เพราะเดี่ยวนี่การใช้เบราเซอร์ในประเทศไทยหันมาใช้ Firefox Chrome และเบราเซอร์อื่นๆ หรือ IE เวอร์ชั่นที่สูงขึ้นไป และในบางทีเบราเซอร์ในเวอร์ชั่นที่กำหนดอาจจะมีช่องโหว่ บั๊ก หรือข้อผิดพลาดต่างๆ จึงอยากให้ทางธนาคารหยุดการจำกัดเบราเซอร์ที่ใช้ เพื่อจะได้ให้ผู้ใช้เบราเซอร์อื่นๆ สามารถใช้บริการออนไลน์ได้อย่างเท่าเทียมกัน
ผมใช้ symbian เวลาเข้าเว็บธนาคารผ่าน Browser ของตัวมือถือเอง ชอบล๊อคอินไม่ผ่าน
ไม่รู้เกิดจากอะไร -*-
สนับสนุนครับ
ในฐานะโปรแกรมเมอร์อ่อน ๆ อย่างผม
ที่พอจะได้ผ่านระบบเหล่านี้มาบ้าง
ก็รู้สึกดีจังจะได้มีงานทำเพิ่มอีกหล่ะ
ที่เคยทำมา กว่าระบบจะผ่านได้ test แล้ว test อีก
แล้วมีตรวจ sourcecode ด้วย
ถ้าต้องรองรับ ทุก browser รวมถึงมือถือด้วย
เราก็คงจะได้ทดสอบและตรวจสอบ กันมากขึ้นอีก
จะได้เก่งขึ้นอีก
สนับสนุนครับ
;pizad_sura
ขอสนับสนุนด้วยครับ ถึงจะไม่ได้ใช้ e-banking ที่ไทย แต่เท่าที่เคยใช้มาสามธนาคาร ใช้ browser หลักๆ (IE, Firefox, Chrome) นี่ก็ใช้ได้หมด ไม่ได้มีปัญหาอะไร ทำไมธนาคารไทยจะทำบ้างไม่ได้
โดยส่วนตัวใช้งาน e-banking ของ SCB และ KBANK ก็รู้สึกโอเคกับระบบของทั้งสอง
ส่วนที่รู้สึกขัดใจก็แค่รหัสผ่านที่บังคับให้ยาวไม่เกิน xx ตัวอักษร ทำให้รู้สึกไม่ปลอดภัยในการใช้งานเท่าที่ควร (ถึงจะ ssl แล้วก็เถอะ)
สำหรับตัวเนื้อหาของจดหมาย อาจจะต้องเป็นทางการมากกว่านี้?
ผมก็ไม่แน่ใจนะครับว่าจดหมายเปิดผนึกนี่ต้องใช้คำ การอ้างอิง และบริบทให้เป็นทางการขนาดไหน
แต่ผมคิดว่าถ้ามีบริบทเหมือนเอกสารทางการอื่นๆ ก็จะดีนะครับ ดูขลังดี มีพลัง
ผมสงสัยขอถามนิดนึงครับ อยากทราบว่าธนาคารของต่างประเทศมีระบบการตรวจเบราเซอร์อย่างไร?
สุดท้ายก็ขอลงชื่อสนับสนุนด้วยครับ เอกชัย มุ่งงาม
เท่าที่เคยใช้เหมือนจะไม่ตรวจอะไรนะครับ มีแค่เงื่อนไขพิเศษสำหรับ IE รุ่นเก่าๆ (สำหรับ css javascript) แต่หลักๆ แล้วทุกอย่างเป็น html ธรรมดา ผมก็ไม่เข้าใจว่าทำไมต้องตรวจ เพราะยังไงข้อมูลทุกอย่างก็ต้องถูกส่งไปตรวจสอบกับ server ของธนาคารเอง
เท่าที่เคยใช้มาสามธนาคาร ไม่เจอปัญหากับเบราว์เซอร์ครับ
ที่แปลกใจอีกอย่างคือ ที่เคยใช้มา ไม่มีใช้ OTP ผ่านมือถือเลยแฮะ (ทำให้บางทีรู้สึกรำคาญเรื่อง OTP ผ่านมือถืออยู่บ้าง แม้ว่ามันจะปลอดภัยดีก็ตาม)
ตัวอย่างจากปสก.ส่วนตัว Bank of America ใช้ได้อย่างเป็นปกติทั้งบน Firefox3/4, Chrome9/10 และ IE8/9 ครับ
ixohoxi's
ลงชื่อสนับสนุน
สนับสนุนครับ และเห็นด้วยเรื่องรหัสผ่านที่มีความซับซ้อนน้อยเกินไป รหัสจีเมล์ยังซับซ้อนกว่ารหัสอีแบงค์กิ้งเลย -*-
สนับสนุนครับ เห็นด้วยเต็มๆ เห็นด้วยว่ากสิกรดูดีสุด ส่วนบัวหลวงไม่ประทับใจเอามากๆ
My Blog
เห็นด้วยครับ หลายๆเว็บไซต์มีปัญหามาก ไม่ใข่แค่เว็บธนาคารเท่านั้น
รวมไปจนถึงเว็บราชการบางส่วนด้วย ที่กำหนดการเข้าใช้งานโดยไม่มีเหตุผล
สนับสนุนจดหมายเปิดผนึกฉบับนี้ครับ ควรมีการเปลี่ยนแปลงอย่างเร่งด่วนที่สุด
สนับสนุนด้วยคน
ก็ใช่เบราว์เซอร์อื่นนอกเหนือจาก IE จะปลอดภัยกว่าเสมอไป
แม้แต่โครมเองก็ยังโดนLizaMoonเจาะทะลุ sandbox มาแล้ว
อยากให้เพิ่มเรื่อง Web Accessibility ด้วยครับ ไม่ต้องหรู แต่ใช้ง่าย เช่น ตัวหนังสือใหญ่หน่อย
ส่วนตัว ใช้ Kbank, krungsri, bangkokbank น่าปวดหัวในเรื่องต่างๆกันไป
Kbank บ่อยครั้งที่ OTP มาช้า จนลืมไปแล้ว
krungsri พอเปลี่ยนใหม่แล้วตัวหนังสือเล็กลง...
bangkokbank เมื่อก่อนใช้ได้แต่ IE แต่เดี๋ยวนี้ FF ก็ใช้ได้แล้ว แต่ใช้ๆอยู่เหมือนว่าบางทีเมนูมันเอ๋อๆ ไม่รู้เป็นคนเดียวรึเปล่า
ผมใช้ scb kbank bbl ส่วนตัวแล้วไม่มีปัญหา มัน chk agent ก็เปลี่ยน browser "จบ" แล้วสำหรับผม
ถ้าเข้า mobile ก็มี mobile site เปิดให้บริการอยู่ ทุกอย่าง Smooth มากๆ
อยากให้เลือกได้ ว่าจะเปิด หรือปิด otp เพราะผมชอบเปิดมากกว่า
แล้วก็บอกเค้าว่า ถ้าเกิดสั่ง enable otp แล้ว การที่เงินจะโอนออกจาก ธนาคาร ควรให้ผ่าน otp ทุกๆรายการอะครับ เพราะบางแบงค์ พวกเติมเงิน มันจะไม่ต้อง otp ครับ ซึ่ง ผมไม่ค่อยชอบเท่าใหร่ เดี๋ยวโดนคนอื่นเก็บพาสไปนี่คงจนพอดี
อ่อ แล้วก็ อยากให้แบงค์ แจ้งให้ชัดๆ อะครับ เรื่องค่าธรรมเนียมของบริการต่างๆ ครับ เพราะว่าผมเคยเห็นบางเว็บไม่ได้เขียนว่าจะเก็บค่าโอน แต่ว่า พอกดโอนไปปุ๊บ มันก็เก็บมาซะแล้ว ผมไม่แน่ใจว่าผมไม่เห็น(เพราะไม่ได้ดูให้ดี)เองหรือเปล่า แต่บางทีมันเซงๆ นะ แบบ ทำไมไม่บอกก่อนวะ ว่าเสียตัง ไม่งั้นก็เดินไปกดตังออกจากตู้แล้วยัดเข้าตู้ฝากเงินข้างบ้านก็ได้ ประหยัดด้วย
เห็นด้วยครับ แต่ควรจะมีเอกสารเซ็นลายลักษณ์อักษรไปด้วยว่า ว่าเจ้าตัวยินยอมให้ใช้ Browser อื่นได้ครับ
ผมลงชื่อด้วยคนละกัน - วุฒิพงศ์ วงศ์สกุลเดช
Usability หลายแบงค์แย่ Security หลายแบงค์ยังดูหละหลวม การจัดการอย่าง Krungthai ยังต้อง Pop-Up หน้าออกมา ซึ่งก็เป็นช่องโหว่ได้เช่นกัน
ควรจะใ้ห้คนที่เป็นงานได้วางระบบงานแล้วมั้งครับ ทำให้ Usability มันดีหน่อยครับ
ปล.ผมคิดว่า SCB ทำได้ดีครับ K-Bank ยัง Usability ต่ำกว่า แต่ก็ดีไม่แพ้กันครับ แต่นี่เป็นความคิดเห็นเฉพาะส่วนที่ใช้นะครับ แต่ผมว่าควรจะยกเครื่องได้แล้วครับ
ขอบคุณครับ สวัสดีครับ
มันเป็นที่เรื่องธุรกิจรึเปล่าครับ
แบบว่าถ้ายอมให้ browser อื่นเข้าได้ ก็เหมือนว่ายอมรับว่า support
แล้วก็ต้องทำระบบทั้งหมดให้ support จริง ๆ ซึ่งก็ต้อง test กันมากขึ้นหลายเท่า
ธนาคารท้องถิ่นที่ต่างประเทศ (ญี่ปุ่นและสหรัฐฯ) ก็มีลักษณะคล้าย ๆ กัน
คือจะแจ้งเตือนก่อนว่า browser นี้นั้นเข้าไม่ได้นะ แต่สุดท้ายก็จะยอมให้ใช้ไป แต่ใช้ได้จริงรึเปล่า ไม่รับผิดชอบ
ผมไม่แน่ใจกฎหมายไทยว่าทำอย่างนั้นได้รึเปล่า
ผมใช้ KTB กับ KBank (K ทั้งคู่เลยวุ้ย) ด้วย Chrome ได้อย่างไม่มีปัญหาทั้งคู่
แต่เห็นด้วยครับ
Shut up and ヽ༼ຈل͜ຈ༽ノ raise your dongers ヽ༼ຈل͜ຈ༽ノ
จดหมายครั้งต่อไปขอหมาวิทยาลัยนะครับ ^^"
จุฬาฯ นี่ตอนลงทะเบียนมีแต่ IE เท่าน้ั้นจริงๆ
จุฬาฯ นี่ไม่เข้าใจ เหมือนจะแก้บรรทัดเดียวหายเลยนะสำหรับ reg ไม่ยอมแก้ซักที
ตอนนี้แนะนำให้ลง userscript ไปก่อนครับ ใช้ได้ทั้ง ff และ chrome เลย
May the Force Close be with you. || @nuttyi
+111 เห็นด้วย
ของ safari ก็มีเป็น extension ครับ
ถูกใจจริงๆ เรื่องการลงทะเบียนของจุฬาฯ เดี๋ยวพฤษภาคมก็ต้องลงอีกแล้ว
น่าจะส่งจดหมายถึง รองอธิการบดีฯ จะได้เรื่องหรือเปล่าก็ไม่รู้
ขนาดเข้าโครงการอบรม(บุคคลภายนอก)ของบางคณะ ยังให้รอรับบัตรประจำตัวนิสิตกับรหัสผ่านเข้าใช้เน็ตตอนเดือนพฤษภาเลย อ้างว่าต้องทำพร้อมกับนิสิตใหม่
แต่เดือนพฤษภามันอบรมเดือนสุดท้ายนี่สิ จะเอามาทำอะไรกันเดือนนั้น เสียค่าอบรมตั้งแพง - -"
พิมพ์ผิดแฮะ "มหาวิทยาลัย" นะครับ
BBL กับ SCB ใช้ Chrome, Firefox ได้แล้ว
แต่ BBL ทำ sorting by date เหมือน IE ไม่ได้
เหลือธนาคารไหนที่ไม่ทำเหรอครับ??
ไม่ค่อยเกี่ยวกับ User Agent เท่าไหร่ แต่
KTB Online login เข้าไปแล้วก็หลุดออกมา ขึ้น Session expire บ่อยมากๆ
KTC Click เก็บ password ของผู้ใช้ไว้เป็น plaintext แน่ๆ แล้วก็เอาไปใช้เป็น password ของ statement pdf ที่ส่งมาให้ทุกเดือน และไม่สามารถเปลี่ยน password ได้อีกด้วย
ลงชื่อด้วยคนครับ
พูดแล้วอาย ที่ทำงานผมใช้ vb script ช่วยตรวจสอบข้อมูลก่อนส่ง login
เห็นด้วยอีกเสียงครับ
ผมเข้าใจว่า ถ้าเปิดแล้ว คุณอาจจะคิดว่า ต้องมานั่งทำคู่มืออธิบายการใช้งานเบราเซอร์แต่ละชนิด (อันนี้ผมเคยเจอจริงๆนะ แต่นั่นก็ห้าหกปีก่อน) โดยเฉพาะพวก troubleshooting ประเภทต้องอนุญาต Pop-up อะไรทำนองนี้
คือไม่ว่านะครับ แค่เตือนว่า เบราเซอร์ที่คุณใช้เราไม่สนับสนุนอย่างเป็นทางการ แต่เราจะไม่ห้ามคุณเข้าใช้งาน แต่จะเข้าไปใช้ก็ได้ไม่ว่ากัน แต่ประสบการณ์อาจจะไม่ดีเท่า อย่าบ่นล่ะ อย่าโทรมาล่ะ
แต่ก็อีกล่ะ สารพัดจาวาสคริปต์หรือ VBScript หรือกับ DOM ที่มันจะพลาดคลาดเคลื่อนในแต่ละยี่ห้อและรุ่นของเบราเซอร์ โดยเฉพาะของ IE 6 มา IE 7 นี่ ขั้นวิกฤตเลยทีเดียว
ถึงจะไม่เกี่ยวข้องกับหัีวข้อโดยตรง แต่ขอฝากปัญหาเรื่อง Security (ของเรา) บน eService ของ AIS ไว้อันนึงสิครับ eService บริการดีๆจาก AIS แต่อาจจะไม่ดีสำหรับเรา ?
ไม่เคยได้ใช้เลย ไม่มีเงินในธนาคาร ซวยไป
ลงชื่อสนับสนุนครับ
+1 สนับสนุนครับ ตอนนี้ย้ายธุรกรรมทุกอย่างมาที่ ธ.กสิกร เพราะพอเคยมีปัญหาแล้วโทรไปสอบถามแล้วได้รับคำตอบว่าสนับสนุนการทำงานของ firefox ที่ใช้ประจำ นั่นก็นานมาแล้ว คิดว่าตอนนี้น่าจะสนับสนุนการทำงานของทุกบราวเซอร์แล้ว
สนับสนุนครับ
+1 สนับสนุนอีกเสียงครับ
ใครทำระบบให้ธนาคารมาอธิบายให้น้องๆ ใน blognone ฟังกันหน่อยครับ ว่าสาเหตุมันคืออะไร
ส่วนตัวเคยทำงานที่ SCB เป็น PHP Programmer สมัย 10 ปีก่อน
ก็เห็นว่าหน่วยงาน IT ของ แบงค์มีหลายส่วนครับ ซึ่งบางส่วนที่มีหน้าที่รับผิดชอบเกี่ยวกับ transaction ของธนาคารจะต้องผิดพลาดให้น้อยที่สุด ดังนั้นหน่วยงานเหล่านี้ จะมีหัวหน้าทีมเป็นพนักงานเก่าแก่ (เดาว่าอยู่มาไม่น้อยกว่า 10 ปี ถ้าอยู่มาถึงเดี๋ยวนี้ ก็ 20 กว่าปีแล้วล่ะ)
หน่วยงานที่ผมเคยอยู่ ถึงแม้ว่าจะมีหัวหน้าแผนกเป็นด็อกเตอร์รุ่นใหม่ แต่ได้ทำโปรเจ็คใหม่ๆที่ไม่เกี่ยวกับฟังก์ชั่นหลักของธนาคารครับ
แต่แน่นอนว่า เมื่อเวลาผ่านไปก็ต้องมีการเปลี่ยนแปลงบุคลากรไปบ้าง แต่โครงสร้างองค์กรที่ปกครองโดยคนรุ่นเก่าก็ยังคงอยู่ จึงทำให้แนวความคิดใหม่ๆสำเร็จได้ลำบากครับ
ซ๊าาาาาาาธุ จะได้หมดยุคโบราณสักที ไม่กล้าใช้บริการธนาคารก็เพราะ ie นี่แหละ ถ้าเปลี่ยนจริงจะหนักก็ตรงเจ้าหน้าที่ไอทีธนาคารนี่แหละ
สนับสนุนหนึ่งเสียงครับ
ขอเพิ่มเรื่อง password ด้วยได้ป่าว
-ยกเลิกกำหนดความยาวสูงสุดของรหัสผ่าน
-ถ้าจะกำหนด ใน login form ช่วยจำกัดจำนวนตัวอักษรให้เท่าที่กำหนดด้วย เพราะใส่เกินแล้วแจ้งว่า password ผิด
+1 จำไม่ได้ว่าที่ไหน ตั้งรหัสไป 58 ตัว ล็อกอินไม่ได้ ต้องค่อย ๆ ลดมาทีละตัว ทีละตัว เรื่อย ๆ จนกว่าจะผ่าน T-T
ส่วนตัวผมไม่ค่อยได้ใช้ ระบบ e-banking มากเท่าไรหนักแต่ผมก็อยากเหํนการใช้ระบบ e-banking ของทุกๆ ธนาคารในประเทศไทย มีการพัฒนาตามเทคโนโลยีเพื่อตอบสนองกับกลุ่มลูกค้าได้มาขึ้น
พูดกันง่ายๆคือถ้ามีเทคโนโลยีที่ดีขึ้นแล้ว แต่ถูกจำกัดให้ใช้แต่เทคโนโลยีเดิมๆ แล้วมนุษย์เราจะพัฒนาสิ่งใหม่ๆไปทำไมกัน
งงกับที่ตัวเองพูด อย่างไงก็ขอสนับสนุบครับ ขอบวกซัก 100
สนับสนุนครับ
เรื่องเว็บ mobile ด้วย เดี๋ยวนี้ smart phone ทำอะไรได้มากแล้ว อยากจะเข้า full site กลับเข้าไม่ได้ โดนเด้งไปหน้า mobile น่าจะกดเลือกได้ด้วย
อคติทำให้คนรับเหตุผลด้านเดียว
ลงชื่ออีกเสียงครับ และสนับสนุนความเห็นอีกหลายคน ที่ออกแนวทางว่า "อย่าดักดาน"
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
รับรองข่าวนี้เรตติ้งสูงปรี๊ดนำแอปเปิ้ล
+1 ครับ เห็นด้วยในประเด็นที่ i-banking ควรจะ support browser ที่หลากหลาย ไม่ใช่แค่จำกัดแค่ IE อย่างเดียว (ที่ต้องยก IE เป็นตัวอย่าง ก็เพราะจากประสบการณ์ ถ้าใช้ browser อื่นแล้วไม่ได้ มันจะใช้ IE ได้ ฮา)
สำหรับงวดนี้ที่ browser แต่ละค่ายมีการอัพเดตเวอร์ชันใหม่ออกมาในเวลาไล่เลี่ยกัน ผมพบว่าแบงค์กรุงเทพไม่สามารถใช้งานกับ Chrome ได้ แต่ทางธนาคารก็แก้ไขให้หลังจากนั้นเพียงไม่กี่วัน จุดนึ้ต้องขอชมเชยทางธนาคารที่ปรับตัวได้เร็วทันใจดีครับ ส่วน KBank กับ SCB ไม่พบปัญหาอะไร
ปล. ผมใช้ Chrome เป็นหลักและไม่ได้เข้า i-banking ทุกวัน
ขอแชร์อีกนิดละกัน ...
เท่าที่ผมใช้งานระบบธนาคารผ่านอินเตอร์มา ... เวปธนาคารไทยแท้แทบทุกเวปมีปัญหากับ Browser ที่ไม่ใช่ IE ซึ่งก็ตรงกับที่ข้างบนว่าไว้ล่ะครับ
ในทางกลับกัน เวปธนาคารอย่าง Standard Chartered (ประเทศไทย) ดันใช้กับ Browser อย่าง Chrome หรือ Firefox ได้ ... ก็เลยเป็นเหตุผลที่ผมใช้บริการธนาคารนี้แหละ อิอิ (เป็นเหตุผลร่วมกับการใช้บัตร ATM กับตู้ไหนก็ได้ (ซึ่งมีมาก่อน ธ.ทหารไทยนะ เท่าที่รู้))
เท่าที่นึกออก ของ HSBC ก็ใช้งานกับ Firefox ได้ไม่มีปัญหาเช่นกัน แต่ว่าต้องใช้ Token ในการ Authenticate ด้วย ผมเดาว่าเป็นของ RSA นะ
ขอสนับสนุนอีกคนครับ ปัญหานี้ต้องได้รับการแก้ไขครับ
ขอยกมือสนับสนุนอีกเสียงครับ
เพราะผมก็เป็นหนึ่งของผู้ที่ประสบกับปัญหาดังกล่าวมากเลย จนน่าลำคาญ
ส่วนตัวผมไม่ซีเรียสกับเรื่อง browser ครับ ความปลอดภัยเท่านั้นที่ต้องการสูงสุด
ต่อให้ถูกจำกัดมากกว่านี้ก็ยอม เพราะอย่าลืมว่านี่คือ ธนาคาร นะครับไม่ใช่เว็บฝากรูปฟรี
และจากการใช้ส่วนตัวทั้ง 3 ธนาคารคือ Kbank, Krungsri, SCB
ยอมรับได้และค่อนข้างชอบในความเรียบง่าย อาจเป็นเพราะผมไม่ได้เรื่องมากหรืออีโก้สูงเกินไปมั้งครับ ^^
ถ้าคุณใช้ mac/linux
รับรองว่าคุณจะซีเรียสเรื่องนี้แน่ๆ
Ok ครับ ถ้ากรณีนี้ยอมรับได้ ต้องขออภัยด้วยสำหรับ case นี้
มันไม่ใช่ว่าคนอื่นเรื่องมากหรืออีโก้สูงหรอกครับ
คุณไม่เข้าใจเองว่าคุณกำลังเดินอยู่ในทุ่งระเบิด
การออกแบบด้านความปลอดภัยของระบบที่ทำงานผ่านเน็ตเวิร์กไม่ได้ขึ้นอยู่กับไคลเอนต์ครับ แต่ต้องเป็นที่เซิร์ฟเวอร์เท่านั้น โดยทั่วไปแล้วเซิร์ฟเวอร์ต้องมองไคลเอนต์ทุกตัวเป็น untrusted เสมอ ไม่ว่าจะคุณจะใช้ IE, FF, Chrome, etc. ก็ต้องถือว่าเป็น untrusted เสมอ ไม่มีไคลเอนต์ตัวใดเป็น trusted ได้ครับ
เอาจริงๆ แล้วการจะหลอกเซิร์ฟเวอร์ว่าใช้เบราว์เซอร์ตัวใด ก็เป็นแค่การแก้ไขข้อความ plain text 1 บรรทัดใน HTTP header เท่านั้น
การที่ธนาคารจะยกเรื่องความปลอดภัยมาเป็นข้ออ้างไม่ให้ใช้เบราว์เซอร์ตัวอื่นนั้นถือว่าไม่สมเหตุสมผลอย่างยิ่ง แต่ถ้าอ้างว่าไม่มีปัญญาเขียนเว็บให้ตรงตามมาตรฐาน W3C อันนี้จะอนุโลมให้ได้ว่าธนาคารมักง่าย
LinkedIn
+1000 ตรงประเด็นสุดครับ
คืองานนี้ธนาคารเค้าคงไม่เดือดร้อนหรอกครับแต่คนเดือดร้อนผมว่าโปรแกรมเมอร์ ผมว่าเราช่วยกันส่งความช่วยเหลือหรือแนวทางช่วยเค้าเหล่านั้นดีมั๊ยครับ ว่าทำอย่างไรถึงจะแก้ปัญหาได้ เพราะมันก็นะปัญหา browser มันเป็นปัญหาโลกแต่ของ web programmer จริงๆ
ยอดมากครับ ตรงใจสุดๆ
กลับมาอ่านทวนอีกทีแล้ว +9999
แชร์ประสบการณ์
ใช้อยู่สองธนาคาร kbank กับ krungsri เวลาจะใช้งานใช้ ie + windows ตลอด ไม่กล้าใช้ os และ broeser อื่น เพราะกลัวมีปัญหา
ถ้าใช้แค่ฟังชั่นหลักๆ ดูยอด โอนเงิน ผมใช้โครมไม่มีปัญหาครับสำหรับสองธนาคารนี้
KBank ใช้ Firefox ได้ไม่มีปัญหาครับ ใช้โอนไปโอนมาบ่อย :-)
LinkedIn
Totally agree .
+1 ครับ
+1
Ton-Or
คือปัญหาก็คือถ้าเข้ากับ browser ต่างกันจะทำงานไม่ถูกต้องหรือไม่แสดงผลตามต้องการใช่มั๊ย แล้ว คือเราต้องการให้เค้ายกเลิกตรวจแล้วยอมให้เราใช้เว็ปแบบบิดๆเบี้ยวๆหรือครับ แล้วเราค่อยไปเรียกร้องต่อว่าให้เค้าทำให้เราใช้งานได้ทุก browser ทำไมเราไม่เรียกร้องและให้ข้อเสนอกับเค้าว่าควรทำตาม w3c หละครับ งง เพราะถ้าให้เค้ายกเลิกการตรวจแล้วเราเข้าใช้กับ browser ที่เค้าไม่ได้รองรับแล้วทำงานไม่ได้ค่ามันก็เท่ากันไม่ใช่รึ
ประเด็นคือทำตาม W3C มันไม่ได้เลวร้าย แต่ต้องใช้แรงนิดหน่อย
อีกประเด็นคือเว็บของธนาคารหลายๆ เจ้า ที่จำกัดบราวเซอร์เอาไว้ ถึงจะปลดการจำกัดออกก็ไม่ทำให้แสดงผลเพี้ยนจากเดิมมากนัก การเรียกร้องครั้งนี้จึงมีเป้าหมายตรง function ที่ควรจะใช้ได้มากกว่าเรื่องหน้าตาครับ
ส่วนทำให้สวยงามถูกใจผู้ใช้งานนั้นสุดแต่ธนาคารจะลงมือปรับแก้ :)
แน่นอนทำดีคนก็ใช้กันมากขึ้น win-win ทั้งคู่
==========================================
ส่วนกรณีปัญหาของเรื่องนี้ผมไม่ลงชื่อเพราะยังไม่มีปัญหากับการใช้งานข้าม Platform จึงยังไม่เข้าใจทั้งหมด ขอผ่านครับ :)
แล้วคิดว่ากรณีนี้มันจะเกิดขึ้นได้หรือครับ?
ช่วย ๆ กัน +1 ครับ
เห็นด้วย การสร้างให้เป้นมาตรฐานกลาง มีแต่ส่งผลดี ลูกค้ามากขึ้น คนใช้งานมากขึ้น แต่การจำกัด browser ทำให้ใครๆหลายคนใช้งานไ่ม่ได้ รวมถึงชาว Mac User และ Linux User ซึ่งรวมกันแล้วก็มีจำนวนมากพอสมควร
หากว่าธนาคารไหนทำให้เวบเป้นมาตรฐานกลางไม่ได้ แสดงให้เห้นอย่างชัดเจนว่าบุคคลากร ไม่มีประสิทธิภาพมากพอ ตั่งแต่ฝ่าย IT ซึ่งไม่สามารถรองรับได้ จนถึง ผู้บริหารที่ไม่มีความสามารถผลักดัน และอาจจะขาดวิศัยทัศน์อย่างมาก ถ้าจะบอกว่า เทคโนโลยีมันทำไม่ได้ หรือไม่ปลอดภัยหล่ะก็คงไม่ได้แล้ว เพราะว่าในต่างประเทศเค้าก็ทำเวบเป็นมาตรฐานกลางกันทั้งนั้น อยู่ที่ว่า ธนาคารมีความมุ่งมั่นที่จะพัฒนาหรือเปล่า
สงสัยต้องให้ bot (ธนาคารแห่งประเทศไทย) บังคับให้ทำแล้วล่ะมั้ง ไม่โดนบังคับก็ไม่เริ่มทำกันหรอก เหมือนที่ตลาดหลักทรัพย์บังคับให้ส่งงบการเงินในรูปแบบใหม่ (กลายเป็นต้องมานั่งทำงบการเงินหลาย format ไว้ให้ผู้สอบบัญชีแบบนึง ให้ผู้บริหารแบบนึง ให้ตลาดหลักทรัพย์แบบนึง ให้ธปท.แบบนึง)
เท่าที่ผมเข้าใจ ธนาคารแห่งประเทศไทย ไม่ได้มีการให้บริการ "ธนาคาร online" ครับ น่าจะมีเฉพาะ website เพื่อแสดงข่าวสาร เช่น อัตราแลกเปลี่ยน, ประกาศรับสมัคร พนักงาน เพียงแค่นั้น
นอกจากนี้เท่าที่ผมลองเข้าด้วย chrome / firefox ก็ดูเหมือนจะเข้าได้โดยไม่มีปัญหาครับ ส่วน safari บน iOS เท่าที่เคยลอง อาจจะอ่านยากหน่อย (เพราะจอเล็ก แต่ก็ไม่ได้ render เป็น mobile version จึงคาดว่าน่าจะไม่ได้ทำ UA-sniffing) แต่ก็ยังไม่ถึงกับเข้าไม่ได้
จากข้อมูลข้างต้น การตรวจสอบ UA-string ของผู้ใช้ น่าจะเกี่ยวข้องกับ website ของ ธนาคารพาณิชย์ มากกว่าครับ ซึ่งไม่แน่ใจว่า ธนาคารแห่งประเทศไทย มีอำนาจที่จะบังคับธนาคารพาณิชย์ ให้ดำเนินการในกรณีนี้ได้หรือไม่
ดังนั้น จดหมายเปิดผนึกฉบับนี้ น่าจะจ่าหน้าถึง "สมาคมธนาคารไทย" หรือ ธนาคารใดธนาคารหนึ่งน่าจะไปถึงผู้รับผิดชอบมากกว่าธนาคารแห่งประเทศไทยไหมครับ ?
ถ้าผมเข้าใจอะไรผิดไป รบกวนชี้แนะด้วยนะครับ
PS. ส่วนตัวผมใช้ chrome 99% ยกเว้นเฉพาะตอนพัฒนาระบบงานที่มี requirement ให้แสดงผลด้วย IE เท่านั้นครับ
หัวข้อเขียนถึง ธนาคาร "ใน" ประเทศไทย นะครับ
ไม่ใช่ธนาคารแห่งประเทศ
ขอบคุณครับผม อ่านผิดเองครับ
ผมว่าพวกเราบางคนยังมีความเข้าใจในการทำงานของธนาคารไม่ถูกต้องนักครับ
สำหรับ geek อย่างเราๆ นั้น เรามีแนวโน้มที่จะรับความเสี่ยงได้มากกว่าวิชาชีพด้านการเงินครับ ด้านการเงิน ความผิดพลาดสตางค์เดียวก็ต้องไล่ให้เจอ จะทำลืมๆ ไปไม่ได้ ดังนั้นทีม IT ของ bank จึงจะค่อนข้าง conservative อย่างยิ่ง
ประเด็นที่เขาล็อค browser ก็เพราะการจะรองรับ browser ใดๆ เขาต้องทดสอบด้วย test script จนยืนยันว่ามันทำงานได้ถูกต้องครับ ไม่ใช่ assume เอาตามหลักการเฉยๆ คิดหรือครับว่าคน IT bank เขาจะไม่รู้ว่า browser อื่นมันก็เข้าได้ เขารู้ครับ แต่ด้วยเหตุผลด้านการบริหารความเสี่ยง browser ไหนยังไม่ได้ test ผ่าน test script จนผ่าน 100% ก็ต้องถือว่าไม่ support ทั้งสิ้นครับ
เหมือนเวลาเราตั้งกฎ firewall ไงครับ block all ก่อน แล้วเปิดใช้เฉพาะสิ่งที่เราชัวร์แล้ว
ดังนั้น เรื่องนี้เป็นนโยบายด้านความเสี่ยงที่ขึ้นอยู่กับแต่ละธนาคาร ผมว่าหากเขาเห็น market share ของ browser เปลี่ยนไป เขาก็คง test และ support browser ที่หลากหลายขึ้นเองครับ ผมว่า mobile safari นี่น่าจะ support แน่ๆ ในไม่ช้าครับ
การที่คิดไปเองว่าความปลอดภัย ขึ้นอยู่กับ Script และ Browser ที่เปน Client คือความคิดที่ผิดอย่างชัดเจนครับ
ซึ่งผู้เชี่ยวชาญไม่น่าจะเข้าใจอะไรผิดๆแบบนี้
การใช้เหตุผลแบบนี้ยิ่งทำให้ความน่าเชื่อถือลดลงครับ พูดง่ายๆคือ เหตุผลสั่วๆแบบนี้มันแสดงออกถึงความไม่โปรจริง
แล้วผมควรจะไว้ใจระบบ ของคนที่ออกแบบระบบ ให้ความปลอดภัยต่ำ
ขนาดที่แค่เปลี่ยน Browser ก็มีความเสี่ยงขึ้นมาแล้ว ดีมั้ย?
ผมควรจะไว้ใจระบบของคนที่เชื่อว่า IE6 ปลอดภัย ดีมั้ย?
ทั้งที่ IE6 มีช่องโหว่ระดับที่ ถ้าทำงานในวงการควรจะได้ยินข่าวจนแสบแก้วหู
ผมควรจะไว้ใจ ระบบของคนที่แยก MVC ไม่เปน
จนถึงขนาดที่ Script การแสดงผลใน Client จะมีโอกาสเสี่ยงในด้านความปลอดภัย ดีรึเปล่า?
ผมควรจะไว้ใจ ระบบของคนที่ ไม่สามารถแม้แต่จะอัพเดท Browser ที่ตกรุ่นไปแล้วเกิน 5 ปี งั้นเหรอ?
ถ้าอยู่ในธนาคารระดับโลก คนที่ออกแบบระบบได้แค่นี้ ผมว่าโดนไล่ออกไปนานแล้ว
ผมไม่อยากดูถูกว่าคนที่ออกแบบระบบธนาคาร เปนมือโปร ทำระบบที่มั่นคงใช้งานได้มานับสิบปี จะมีความสามารถแค่นี้
ฉะนั้นมันก็มีคำตอบเดียว คือไม่ทำเอง เท่านั้นแหละ
จะด้วยเหตุผลว่าไม่มีงบ ผู้บริหารไม่เห็นค่า หรือแค่ขี้เกียจและมักง่ายก็ตามที
เรื่องความปลอดภัย แนะนำให้กดย้อนไปอ่านที่ความเห็นนี้ครับ
#276298
" โดยทั่วไปแล้วเซิร์ฟเวอร์ต้องมองไคลเอนต์ทุกตัวเป็น untrusted เสมอ ไม่ว่าจะคุณจะใช้ IE, FF, Chrome, etc. ก็ต้องถือว่าเป็น untrusted เสมอ ไม่มีไคลเอนต์ตัวใดเป็น trusted ได้ครับ "
แล้วสำหรับเรื่องระบบความปลอดภัย การกรองที่ฝั่ง client ถือเป็นความผิดพลาดอย่างใหญ่หลวง ยิ่งในระบบธนาคารแล้ว ไม่สมควรที่จะกรอง client เลยด้วยซ้ำครับ คือให้สิทธิ์ทุก client เท่ากันหมด (ไม่ไว้ใจเหมือนกันหมด)
แล้วไปดักฝั่ง server เท่านั้น
สังเกตได้ง่ายๆ จากเกมออนไลน์ครับ hackshield / nProtect / gameguard อะไรไม่มีประโยชน์เลยซักนิด เพราะมันทำงานที่ฝั่ง client
ผมคิดว่าผมเข้าใจความคิดของคนทำงานธนาคารเหล่านี้นะครับ แต่ผมเชื่อว่าความคิดแบบนี้เกิดบนฐานของความเข้าใจมุมมองความปลอดภัยที่ผิด การป้องกันแบบนี้ไม่ได้ทำให้อะไรดีขึ้น (แต่ทำให้หลายอย่างแย่ลง)
ในมุมของความปลอดภัยแล้ว การอ้างความปลอดภัยด้วยมาตรการที่ไร้ผลเช่นนี้ทำให้สถานะการณ์ยิ่งแย่ลง เพราะผู้ออกแบบจะเกิด Moral Hazard ว่าได้ทำบางอย่างเพื่อความปลอดภัยไปแล้ว
ทุกวันนี้ในเมืองไทย Firefox และ Chrome ล้วนมีระดับการใช้งานเกิน 10% หลายธนาคารกลับไม่รองรับเบราเซอร์เหล่านี้ และปล่อยให้ลูกค้ากว่า 20% ไม่สามารถใช้งานได้ รวมถึง IE9 ที่ผ่านการ "อัพเกรด" เองก็ยังมีหลายธนาคารมีปัญหา
ผมไม่ได้เรียกร้องไม่ให้ "เตือน" ว่าการทำงานบนเบราเซอร์ที่ไม่ซัพพอร์ตอาจจะผิดพลาดนะครับ
lewcpe.com, @wasonliw
น่าสนใจครับ ถ้าทำแบบเตือนแล้วให้กดไปต่อได้โดยยอมรับความเสี่ยงเองก็น่าจะโอเคเหมือนกัน
ตอบแบบสรุปจากด้านบนให้เหลือสั้นๆ:
การเขียนเว็บที่ต้องมานั่งทดสอบการทำงานต่าง browser กันนี่เป็นอะไรที่ผิดพลาดอย่างร้ายแรงครับ
ถ้าทดสอบแค่ ui สวยไม่สวย นั่นโอเคครับ เพราะมันต่างกันบ้าง แต่การทำงานเบื้องหลังมันเหมือนกันหมดอยู่แล้วครับถ้าไม่ไปเขียน javascript มั่วๆ
นี่แหละครับคือ assumption แต่สำหรับการทำงานในระดับ enterprise นั้น untested = unsupported ไม่ใช่บอกว่าฉันเขียน script ดี ไม่มั่ว ไม่น่ามีปัญหาแล้วจะปล่อยออก production ได้เลยครับ ต่อให้เขียนเป๊ะๆ แล้วก็ต้องผ่านกระบวนการ test ครับ
ลงช่ือครับใช้ mac ครับ = ='
ลงชื่อด้วยครับ
ยุวัฒน์ เชื้อสาธุชน
ผมเดาว่า ที่หลาย ๆ ธนาคารในสมัยก่อน
มีการ block browser ค่ายต่าง ๆ
เป็นเพราะ javascript
ทีมงาน ไม่มีปัญญาเขียนให้เป็นกลาง
พอที่จะทำงานได้ทุก browser
พอเปิดดูด้วย browser อื่นแล้วคลิกไม่ไปบ้าง
error บ้าง
เกิดไม่ block ไว้ก่อน
ผู้ใช้สั่งโอนเงิน โอนไม่ไป เด้ง error message ออกมา
ธนาคารโดนด่าอีก
ครั้นจะไม่ block
ก็ต้องเสียเวลาทดสอบ javascript กับหลาย ๆ browser อีก
เสียเวลา block ให้หมดเลยดีกว่า
คิดว่าคงไม่ใช่เรื่องความปลอดภัยหรอก
ธนาคารคงไม่ non-sense ถึงขนาดคิดว่า IE ปลอดภัยสุดในสามโลก
แต่กลัวผู้ใช้จะได้รับประสบการณ์ใช้งานที่เลวร้ายเมื่อใช้กับ browser อื่นมากกว่า
ขอสนับสนุนครับ