Tags:
Node Thumbnail

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

พร้อมๆ กับการพูดถึงเรื่องความปลอดภัย งานนี้กูเกิลก็โฆษณาว่าผู้ใช้ Chrome นั้นได้รับการป้องกันจากฟีเจอร์ความปลอดภัยของ Chrome สองประการหลักคือ

  1. Chrome จะจำกัดหน่วยงานออกใบรับรอง (Certification Authority - CA) สำหรับบริการของกูเกิลเองไว้เพียงกลุ่มเล็กๆ จำกัดกว่ารายชื่อ CA ปรกติ กรณีนี้ DigiNotar ไม่อยู่ในรายการที่ Chrome จะเชื่อว่าเป็นผู้ออกใบรับรองของบริการของกูเกิล โดยส่วนนี้กูเกิลทำได้เพราะเป็นผู้พัฒนาเบราเซอร์เองนั่นเอง
  2. Chrome รองรับมาตรฐาน HSTS (HTTP Strict Transport Security) อย่างเต็มรูปแบบ โดยปรกตินั้นเมื่อเราพิมพ์ URL ของเว็บโดยไม่ระบุว่าจะใช้ HTTPS หรือไม่ เบราเซอร์จะเลือกใช้ HTTP ก่อนเสมอจากนั้นเซิร์ฟเวอร์จึงส่งข้อความ 301 กลับมาเพื่อให้เบราเซอร์เรียกใช้ HTTPS อีกครั้ง แต่หากเบราเซอร์รองรับมาตรฐาน HSTS เว็บจะสามารถแจ้งได้ว่าโดเมนนั้นๆ จะให้บริการ HTTPS เท่านั้น และเบราเซอร์จะไม่เรียกใช้ HTTP อีกเลยจนกว่าจะหมดเวลาที่กำหนดไว้ และหากเป็น Chrome ตัวเบราเซอร์จะล็อกการใช้งานบางเว็บให้ไม่เรียก HTTP ปรกติเลยแม้แต่ครั้งเดียวในบริการที่สำคัญหลายตัวเช่น PayPal, GMail, หรือ Google Encrypted เป็นต้น

มาตรฐาน HSTS นั้นน่าสนใจมากเพราะเราสามารถเพิ่มได้เองที่หน้า chrome://net-internals/#hsts เช่น ทวิตเตอร์หรือเฟชบุ๊กทำให้ Chrome ไม่ส่งข้อมูลใดๆ ที่ไม่เข้ารหัสไปยังเว็บเหล่านั้นอีกเลย

ข่าวสุดท้ายคือทวิตเตอร์นั้นกำลังจะปรับให้การเข้าใช้บริการ HTTPS เป็นมาตรฐานแบบเดียวกับที่ GMail ได้ปรับไปแล้วก่อนหน้านี้ โดยตอนนี้ทวิตเตอร์ปล่อยให้ผู้ใช้เลือกเองว่าต้องการใช้ HTTPS ตลอดเวลาหรือไม่

ถ้าใครทำงานกระทรวงไอซีทีอยู่หวังว่าท่านจะทราบแล้วว่าการบล็อกทวิตเตอร์หรือเฟชบุ๊กก่อนหน้านี้ไม่ว่าหน้าไหนๆ หรือทั้งเว็บ ไม่ว่าจะผิดพลาดหรือไม่ การเข้าผ่าน HTTPS ก็ไม่เคยได้รับผลกระทบใดๆ

ที่มา - Google Online Security Blog, Chromium Blog, Computer World

Get latest news from Blognone

Comments

By: winggundamth
ContributorAndroidUbuntuIn Love
on 30 August 2011 - 23:47 #328105
winggundamth's picture

ชอบย่อหน้าสุดท้ายที่สุด


I will change the world, to the better day.

By: sikawit on 1 September 2011 - 00:19 #328404 Reply to:328105
sikawit's picture

+1

By: pangza17
Symbian
on 31 August 2011 - 00:05 #328114
pangza17's picture

ผมมีเพื่อนทำงานอยู่ ไอซีที แต่มีหน้าที่บล็อกเว็บไซต์ อย่างเดียวอ่ะครับ ^ ^

By: tsadvanced
ContributorAndroid
on 31 August 2011 - 00:15 #328119
tsadvanced's picture

ย่อหน้าสุดท้าย WIN แต่จะชี้โพรงให้กระรอกหรือเปล่า?

By: jane
AndroidUbuntu
on 31 August 2011 - 01:33 #328144
jane's picture

https://xxxxxx.xxxxx/~norporch/html/cbox/2cbox.htm เข้าได้นะเธอว์

By: LEVY
AndroidSymbianWindowsIn Love
on 31 August 2011 - 09:51 #328220 Reply to:328144
LEVY's picture

ขอร้องอย่าใช้ภาษาวิบัติเลยครับรำคาญลูกตามาก

By: bahamutkung
ContributorAndroidWindowsIn Love
on 31 August 2011 - 09:32 #328216
bahamutkung's picture

ICT ประเทศสารขัณฑ์มีวิธีการทำงานที่ได้ผลมากกว่านั้นอีกนะ

หาเว็บ » ค้น ip » บี้ isp เอาชื่อ(ใครก็ไม่รู้) » เอาหมาต๋าไปลากตัว » กระทืบให้รับสารภาพ

หาอ่านได้จาก ars technica นะจ๊ะ ไม่กล้าแปลลงเว็บนี้ กลัวหมาต๋ามาเคาะประตู


"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: pittaya
WriterAndroidUbuntuIn Love
on 31 August 2011 - 09:55 #328221 Reply to:328216
pittaya's picture

มีเวอร์ชันภาษาไทยแปลลงเว็บ ThaiNetizen ไว้ครับ


pittaya.com

By: LuvStry
ContributorAndroid
on 31 August 2011 - 10:15 #328234 Reply to:328216
LuvStry's picture

ถึงได้ต้องค้าน พรบ.คอมฯ 50 กันไงครับ ออกมาได้ยังไงมีแต่กฏจับแพะ


Blognone = 138.1 news/w เยอะมากๆ

By: LuvStry
ContributorAndroid
on 31 August 2011 - 10:16 #328236
LuvStry's picture

ผมอ่านข่าวก่อนหน้าเก็บเอาไปฝันเลยอะ ฝันว่าตัวเองกำลังโดน Phishing Gamil ดู URL ไม่ใช่ แต่ดันมี cer โอยย หลอนนน


Blognone = 138.1 news/w เยอะมากๆ

By: iammeng
ContributoriPhoneAndroidWindows
on 31 August 2011 - 11:39 #328271
iammeng's picture

ยังงงๆเรื่อง SSL กับ cer ตั้งแต่จากข่าวที่แล้วละครับ
คือเหมือนยังไม่เข้าใจทั้งหมด สามารถอ่านได้ที่ไหนบ้างครับ

By: Independencer
iPhoneSymbianIn Love
on 1 September 2011 - 00:10 #328400
Independencer's picture

-*-

Blognone คร้าบบบบบ

"DigiNotar" นะคร้าบ ไม่ใช่ "DigiNator"

ส่วนใน Google Chrome ..ผมยังเห็นอยู่ใน Trust Root อยู่เลยนะ!! ...เลยremoveออกไปแล้ว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 1 September 2011 - 00:20 #328405 Reply to:328400
lew's picture

แก้แล้วครับ

ส่วน Trust Root ยังอยู่ก็ถูกแล้วนี่ครับ เค้าแค่ใส่ Cert ใบนี้เข้า Revoke List ส่วน Chrome นั้นผมบอกชัดเจนว่า Chrome จะไม่เชื่อใบรับรองให้กับบริการของกูเกิลครับ ไม่ใช่หมายความว่า Chrome ไม่เชื่อผู้ให้บริการรับรองเหล่านี้เลย

อ่านดีๆ ครับ มีอะไรไม่เข้าใจถามกันได้


lewcpe.com, @wasonliw

By: Independencer
iPhoneSymbianIn Love
on 1 September 2011 - 00:26 #328408 Reply to:328405
Independencer's picture

อ่า.. ผมไม่มั่นใจเท่าไหร่ว่าที่ยังมี Trust Root ตัวนี้อยู่อ่ะครับ ในIEก็ยังมี -*-

ถึงGoogleจะออกมายืนยันก็เถอะครับ

ฝั่งฝรั่ง(มาจากทางWikileaks)เขาบอกให้ remove ออก เพื่อความปลอดภัยเอาไว้ก่อนน่ะครับ... เอาออกไว้ก่อนเพื่อความชัวร์คงไม่เป็นไรมั้ง -.-"

อ่า... Diginator ยังมีอีกคำนึงครับ