SSL วันนี้: กูเกิลถูกโจมตีจากอิหร่าน, Chrome ปลอดภัย, Twitter เริ่มใช้ SSL ตลอดเวลา

By: lew

on 30/08/11 22:44 Tags:

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

พร้อมๆ กับการพูดถึงเรื่องความปลอดภัย งานนี้กูเกิลก็โฆษณาว่าผู้ใช้ Chrome นั้นได้รับการป้องกันจากฟีเจอร์ความปลอดภัยของ Chrome สองประการหลักคือ

Chrome จะจำกัดหน่วยงานออกใบรับรอง (Certification Authority - CA) สำหรับบริการของกูเกิลเองไว้เพียงกลุ่มเล็กๆ จำกัดกว่ารายชื่อ CA ปรกติ กรณีนี้ DigiNotar ไม่อยู่ในรายการที่ Chrome จะเชื่อว่าเป็นผู้ออกใบรับรองของบริการของกูเกิล โดยส่วนนี้กูเกิลทำได้เพราะเป็นผู้พัฒนาเบราเซอร์เองนั่นเอง
Chrome รองรับมาตรฐาน HSTS (HTTP Strict Transport Security) อย่างเต็มรูปแบบ โดยปรกตินั้นเมื่อเราพิมพ์ URL ของเว็บโดยไม่ระบุว่าจะใช้ HTTPS หรือไม่ เบราเซอร์จะเลือกใช้ HTTP ก่อนเสมอจากนั้นเซิร์ฟเวอร์จึงส่งข้อความ 301 กลับมาเพื่อให้เบราเซอร์เรียกใช้ HTTPS อีกครั้ง แต่หากเบราเซอร์รองรับมาตรฐาน HSTS เว็บจะสามารถแจ้งได้ว่าโดเมนนั้นๆ จะให้บริการ HTTPS เท่านั้น และเบราเซอร์จะไม่เรียกใช้ HTTP อีกเลยจนกว่าจะหมดเวลาที่กำหนดไว้ และหากเป็น Chrome ตัวเบราเซอร์จะล็อกการใช้งานบางเว็บให้ไม่เรียก HTTP ปรกติเลยแม้แต่ครั้งเดียวในบริการที่สำคัญหลายตัวเช่น PayPal, GMail, หรือ Google Encrypted เป็นต้น

มาตรฐาน HSTS นั้นน่าสนใจมากเพราะเราสามารถเพิ่มได้เองที่หน้า chrome://net-internals/#hsts เช่น ทวิตเตอร์หรือเฟชบุ๊กทำให้ Chrome ไม่ส่งข้อมูลใดๆ ที่ไม่เข้ารหัสไปยังเว็บเหล่านั้นอีกเลย

ข่าวสุดท้ายคือทวิตเตอร์นั้นกำลังจะปรับให้การเข้าใช้บริการ HTTPS เป็นมาตรฐานแบบเดียวกับที่ GMail ได้ปรับไปแล้วก่อนหน้านี้ โดยตอนนี้ทวิตเตอร์ปล่อยให้ผู้ใช้เลือกเองว่าต้องการใช้ HTTPS ตลอดเวลาหรือไม่

ถ้าใครทำงานกระทรวงไอซีทีอยู่หวังว่าท่านจะทราบแล้วว่าการบล็อกทวิตเตอร์หรือเฟชบุ๊กก่อนหน้านี้ไม่ว่าหน้าไหนๆ หรือทั้งเว็บ ไม่ว่าจะผิดพลาดหรือไม่ การเข้าผ่าน HTTPS ก็ไม่เคยได้รับผลกระทบใดๆ

ที่มา - Google Online Security Blog, Chromium Blog, Computer World

Comments

By: winggundamth

on 30/08/11 22:47 #328105 toggle

ชอบย่อหน้าสุดท้ายที่สุด

I will change the world, to the better day.

By: sikawit

on 31/08/11 23:19 #328404 Reply to:328105 toggle

By: pangza17

on 30/08/11 23:05 #328114 toggle

ผมมีเพื่อนทำงานอยู่ ไอซีที แต่มีหน้าที่บล็อกเว็บไซต์ อย่างเดียวอ่ะครับ ^ ^

ผมชื่อ @kapongpang นะ ไม่ใช่ pangza17

By: tsadvanced

on 30/08/11 23:15 #328119 toggle

ย่อหน้าสุดท้าย WIN แต่จะชี้โพรงให้กระรอกหรือเปล่า?

By: jane

on 31/08/11 0:33 #328144 toggle

https://xxxxxx.xxxxx/~norporch/html/cbox/2cbox.htm เข้าได้นะเธอว์

ความรู้ และความฉลาด ไม่ใช่สิ่งเดียวกัน จะมีประโยชน์อะไร ถ้าฉลาดแต่อยู่ในกะลา

By: LEVY

on 31/08/11 8:51 #328220 Reply to:328144 toggle

ขอร้องอย่าใช้ภาษาวิบัติเลยครับรำคาญลูกตามาก

By: bahamutkung

on 31/08/11 8:32 #328216 toggle

ICT ประเทศสารขัณฑ์มีวิธีการทำงานที่ได้ผลมากกว่านั้นอีกนะ

หาเว็บ » ค้น ip » บี้ isp เอาชื่อ(ใครก็ไม่รู้) » เอาหมาต๋าไปลากตัว » กระทืบให้รับสารภาพ

หาอ่านได้จาก ars technica นะจ๊ะ ไม่กล้าแปลลงเว็บนี้ กลัวหมาต๋ามาเคาะประตู

"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: pittaya

on 31/08/11 8:55 #328221 Reply to:328216 toggle

มีเวอร์ชันภาษาไทยแปลลงเว็บ ThaiNetizen ไว้ครับ

pittaya.com

By: LuvStry

on 31/08/11 9:15 #328234 Reply to:328216 toggle

ถึงได้ต้องค้าน พรบ.คอมฯ 50 กันไงครับ ออกมาได้ยังไงมีแต่กฏจับแพะ

Blognone = 138.1 news/w เยอะมากๆ

By: LuvStry

on 31/08/11 9:16 #328236 toggle

ผมอ่านข่าวก่อนหน้าเก็บเอาไปฝันเลยอะ ฝันว่าตัวเองกำลังโดน Phishing Gamil ดู URL ไม่ใช่ แต่ดันมี cer โอยย หลอนนน

Blognone = 138.1 news/w เยอะมากๆ

By: iammeng

on 31/08/11 10:39 #328271 toggle

ยังงงๆเรื่อง SSL กับ cer ตั้งแต่จากข่าวที่แล้วละครับ คือเหมือนยังไม่เข้าใจทั้งหมด สามารถอ่านได้ที่ไหนบ้างครับ

โมบายกระดิ่ง ♥ • ♫ • ♪•

By: Independencer

on 31/08/11 23:10 #328400 toggle

-*-

Blognone คร้าบบบบบ

"DigiNotar" นะคร้าบ ไม่ใช่ "DigiNator"

ส่วนใน Google Chrome ..ผมยังเห็นอยู่ใน Trust Root อยู่เลยนะ!! ...เลยremoveออกไปแล้ว

Twt & FB: @Independencer ||| Android Lover ||| "Gravity", Symbian App: Nokia just only Tweeting Machine! (and the best Maps on Ovi) lol~ ||| Who the Hell is Steve Jobs!? Dare!!? LMFAO~ (แอบซึน~)

By: lew

on 31/08/11 23:20 #328405 Reply to:328400 toggle

แก้แล้วครับ

ส่วน Trust Root ยังอยู่ก็ถูกแล้วนี่ครับ เค้าแค่ใส่ Cert ใบนี้เข้า Revoke List ส่วน Chrome นั้นผมบอกชัดเจนว่า Chrome จะไม่เชื่อใบรับรองให้กับบริการของกูเกิลครับ ไม่ใช่หมายความว่า Chrome ไม่เชื่อผู้ให้บริการรับรองเหล่านี้เลย

อ่านดีๆ ครับ มีอะไรไม่เข้าใจถามกันได้

LewCPE's Google+

By: Independencer

on 31/08/11 23:26 #328408 Reply to:328405 toggle

อ่า.. ผมไม่มั่นใจเท่าไหร่ว่าที่ยังมี Trust Root ตัวนี้อยู่อ่ะครับ ในIEก็ยังมี -*-

ถึงGoogleจะออกมายืนยันก็เถอะครับ

ฝั่งฝรั่ง(มาจากทางWikileaks)เขาบอกให้ remove ออก เพื่อความปลอดภัยเอาไว้ก่อนน่ะครับ... เอาออกไว้ก่อนเพื่อความชัวร์คงไม่เป็นไรมั้ง -.-"

อ่า... Diginator ยังมีอีกคำนึงครับ