Shopify ออกมาเตือนถึงความเปลี่ยนแปลงหนึ่งของมาตรฐาน PCI-DSS v4 ที่ออกมาตั้งแต่ปี 2022 แต่จะเริ่มบังคับ 31 มีนาคม 2025 นี้ โดยข้อ 6.4.3 บังคับเรื่องการโหลดสคริปต์บนเบราว์เซอร์ของผู้ใช้ต้องมีการตรวจสอบความถูกต้องเสมอ

ข้อบังคับนี้พยายามแก้ปัญหาการฝังสคริปต์เพื่อดูดหมายเลขบัตรเครดิต (digital skimming) ที่คนร้ายฝังสคริปต์ไว้ในเว็บร้านค้า เมื่อผู้ใชักรอกเลขบัตรลงในฟอร์มแล้วสคริปต์จะดูดหมายเลขส่งไปยังเซิร์ฟเวอร์ของตัวเอง

ข้อบังคับของ PCI-DSS v4 จึงบังคับให้ร้านค้า ต้องทำเอกสารระบุว่าสคริปต์ใดใช้เพื่อเหตุผลใดบ้าง, มีมาตรการบังคับว่าเว็บจะโหลดเฉพาะสคริปต์ที่ได้รับอนุญาตเท่านั้น และสคริปต์ที่โหลดต้องถูกต้อง

ข้อบังคับนี้ยังบังคับตั้งแต่เฟรมภายนอก (parent frame) เสมอ จากเดิมที่ผู้ให้บริการจ่ายเงินมักทำตามข้อกำหนด PCI-DSS เพียงแค่บางส่วน แล้วฝังเป็น iframe เอา แต่ในความเป็นจริงหากแฮกเกอร์แฮก parent frame ได้ก็แก้ไขเปลี่ยน iframe กลายเป็นเว็บหลอกได้อยู่ดี

เทคโนโลยีเบราว์เซอร์ทุกวันนี้มีกระบวนการตรวจสอบความถูกต้องของสคริปต์อยู่หลายตัว เช่น Content Security Policy (CSP) กำหนดนโยบายการโหลดสคริปต์ได้ และแจ้งเตือนเมื่อมีความผิดปกติ, Subresource Integrity (SRI) เปิดให้ระบบค่าแฮชของสคริปต์ที่กำลังโหลดเข้ามาเสมอ ทำให้แม้คนร้ายจะควบคุมเว็บได้บางส่วน เช่น แก้ไขไฟล์ใน CDN แต่หากค่าแฮชไม่ตรงก็จะไม่โหลดขึ้นมาทำงาน

ที่มา - Shopify