Google

หนังสือพิมพ์ The Guardian รายงานว่า มีการค้นพบช่องโหว่ในเบราว์เซอร์ Chrome ที่ยอมให้ใครก็ได้ที่สามารถเข้าถึงคอมพิวเตอร์ได้สามารถดูรหัสผ่านเพื่อการล็อกอินเข้าโปรไฟล์อีเมล เว็บสังคมออนไลน์ ฯลฯ จากหน้าการตั้งค่าได้โดยที่ไม่ต้องระบุตัวตนก่อน

การเรียกดูรหัสผ่านนั้นก็ง่ายแสนง่าย โดยผู้ใช้เพียงไปที่หน้า Settings เลือกมุมมองการตั้งค่าขั้นสูง ไปที่ส่วน Passwords and forms คลิกปุ่ม Manage saved passwords เพื่อเข้าส่วนจัดการรหัสผ่านที่ถูกบันทึกไว้ ถึงแม้รหัสผ่านจะถูกซ่อนไว้ในรูปดอกจัน แต่หากผู้ใช้คลิกที่รหัสผ่านและคลิกปุ่ม Show ก็จะเห็นรหัสผ่านได้เลย

The Guardian อ้างคำพูดของ Justin Schuh หัวหน้าทีมพัฒนา Chrome ว่ากูเกิลตระหนักถึงช่องโหว่นี้แต่ไม่มีแผนจะแก้ไขมัน Tim Berners-Lee นักฟิสิกส์ผู้ออกแบบ HTML และเว็บให้สัมภาษณ์ว่าน่าผิดหวังเป็นอย่างยิ่งต่อการตอบสนองของกูเกิล

ถึงแม้ผู้บุกรุกจะต้องเข้าถึงคอมพิวเตอร์เพื่อดูรหัสผ่านของคนอื่น (เข้าถึงเครื่องโดยตรงหรือรีโมตจากระยะไกล) แต่ก็มีเครื่องคอมพิวเตอร์จำนวนมากที่ถูกแบ่งปันให้ใช้ร่วมกันในที่บ้านหรือที่ทำงาน นอกจากนั้นถึงจะกล่าวว่าใครก็ตามที่สามารถเข้าถึงคอมพิวเตอร์ได้ก็สามารถล็อกอินเข้าเว็บไซต์โดยใช้ข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์ แต่การที่สามารถมองเห็นรหัสผ่านได้โดยตรงก็ทำให้ผู้ไม่ประสงค์ดีสามารถจดรหัสไปเข้าถึงข้อมูลผู้ใช้บนโลกอินเทอร์เน็ตในภายหลังได้

ที่มา: หนังสือพิมพ์ The Guardian ผ่าน 9to5Mac

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

อ้าวเขาเรียกว่าช่องโหว่หรอครับ ผมเห็นนานละนะ มีตั้งแต่สมัย Firefox ละ
ถ้าอันนี้ถึงกับเรียกว่าช่องโหว่ ซึ่งผมเชื่อว่าหลายๆ คนใน blognone รู้ตั้งนานแล้ว
แบบนี้จะเรียกว่าอะไรดีอ่ะครับ User error แล้วบอกว่าเป็นช่องโหว่ ?

ก่อนอ่านข่าวนี้นึกว่าเป็นช่องโหว่เจาะเข้าระบบเพราะโค๊ดอะไรยังไง อ่านเสร็จเงิบครับ - -"

ผมกลับไม่คิดว่าเรื่องนี้เป็น "ช่องโหว่" แฮะ จริงๆ การที่ให้คนอื่นมาใช้เบราว์เซอร์ที่เซฟรหัสผ่านไว้เต็มเครื่อง แถมทิ้งเครื่องไว้ปล่อยให้เค้าทำอะไรก็ได้ตามใจชอบนี่ต่อให้ Chrome มันแก้ไม่ให้โชว์รหัสผ่านก็คงช่วยอะไรไม่ได้อยู่ดีแหละ

ผมคิดว่าจริงๆ แล้วเขาอาจจะหมายถึงการตั้งรหัสผ่านก่อนเขาถึงข้อมูลส่วนนั้น เหมือนอย่างใน Firefox รึเปล่าครับ

Firefox มีให้ตั้ง Master Password ได้ก็จริง แต่ก็ไม่ได้ถูกเปิดใช้งานมาเป็นค่า Default ดังนั้นถ้ามีคนมาใช้เครื่องเราได้เค้าก็สามารถดูรหัสผ่านได้เหมือนกัน ต่อให้ Chrome ทำฟังก์ชัน Master Password ออกมาผมก็คิดว่าคงไม่ได้ต่างอะไรกับ Firefox อ่ะครับ

ประเด็นของผมคือ ถ้าเซฟรหัสผ่านไว้เต็มเครื่อง แถมตั้ง Master Password ไว้ด้วย การที่ให้คนอื่นมาเล่นคอมเราโดยที่เราไม่รู้ว่าเค้าจะทำอะไรกับเครื่องบ้างนี่มันก็ยังอันตรายอยู่ดีครับ อย่าง Firefox เอง ถ้าเข้าถึงเครื่องได้ก็แค่ก็อบไฟล์ Password database ที่อยู่ใน User profile มา ต่อให้มี Master Password ก็แคร็กออกมาได้อยู่ดี

คือถ้าปล่อยให้เค้าเข้ามาถึงเครื่องได้ขนาดนั้นเรื่องข้อมูลพวกนี้มันคงไม่น่าจะป้องกันได้ครับ ทำได้มากสุดก็แค่ถ่วงเวลาให้มันแคร็กรหัสผ่านนานๆหน่อย ผมเองก็ยังคิดไม่ออกเหมือนกันว่าจะแก้ไข Chrome ยังไงให้รหัสผ่านไม่หลุดในกรณีที่มีผู้ไม่หวังดีสามารถ Physical access หรือ Full access ตัวเครื่องได้ :/

ผมเห็น The Guardian เพิ่งลงข่าวนะครับ อีกอย่างผมแทบไม่เคยใช้ Chrome เลยครับ ใช้แต่ IE ประจำ เลยไม่ทราบว่าช่องโหว่นี้มีมานานแล้ว

ป.ล. ผมไม่เคยให้เบราว์เซอร์เก็บรหัสผ่านเลยนะ อีกอย่างข่าวนี้น่าจะเป็นประโยชน์ อย่างน้อยก็คนที่ไม่รู้การใช้งาน Chrome เชิงลึกจะได้หาทางป้อนกัน อาทิ ล็อกหน้าจอคอมพิวเตอร์ทุกเครื่องเมื่อไม่ได้ใช้ ไม่ให้เบราว์เซอร์เก็บรหัสผ่าน ใช้ปลั๊กอินที่บันทึกรหัสผ่านได้และไม่ถูกเปิดเผยรหัสผ่านได้โดยง่าย หรือกระทั่งไปใช้เบราว์เซอร์อื่นที่จัดการเรื่องนี้ได้ดีกว่า

ผมทดสอบแล้วเป็นเช่นนั้นจริง ส่วนตัวผมไม่เรียกว่าอันนี้เป็นช่องโหว่ เพราะ มีปุ่มให้กด Show จริง
เป็นความตั้งใจที่จะมีอยู่แล้ว
สิ่งนี้ผมเรียกว่าความไม่ใส่ใจเรื่อง Security ของทาง Google มากกว่า
ดีที่ส่วนตัวเลิกใช้ Save Password บน Browser ไปแล้ว อิอิ

แหม๋...ทำไปได้

ถ้าลองไปอ่านคำอธิบายเต็ม ๆ แล้วจะเห็นว่าจริง ๆ ไม่ใช่ไม่ใส่ใจเรื่อง Security แต่ตรงกันข้ามครับ คือเค้าอาจจะใส่ใจมากเกินไป คำอธิบายของเค้าคือเข้าใช้ security ของตัว OS ในการแยกว่าผู้ใช้คนไหนเข้าถึงไฟล์ไหนได้หรือไม่ได้ ถ้าถึงขนาดเข้าเป็น user คนนั้นได้แล้วต่อให้ซ่อน password ตรงนี้ก็เข้าไปล้วงความลับจากทางอื่นได้อีกมากมาย เพราะฉะนั้นเค้าไม่ต้องการให้ผู้ใช้มีความคิดผิด ๆ ว่ามันมีความปลอดภัยอะไรอยู่เลยเพราะฉะนั้นไม่ควรให้คนที่ไม่ไว้ใจเข้ามาใช้ตั้งแต่แรกครับ

xemoe Thu, 08/08/2013 - 09:51

Chrome(28): แสดงรหัสผ่านได้เลย
Firefox(23): แสดงรหัสผ่านได้เลย
IE(10): แสดงรหัสผ่าน ต้องใส่รหัสของ User ที่ Logon windows ก่อน

John Thu, 08/08/2013 - 10:30

In reply to by xemoe

Safari: ต้องใส่รหัสผ่านของยูสเซอร์ก่อนเหมือนกัน
แล้วถ้าไม่ตั้งไว้นี้ ???

ข่าวนี้ผมว่าเหมือนหนังสือพิมพ์ The Guardian จะหาข่าวมาโจมตี Google มากกว่านะ
ผมมองว่าเป็น Feature มากกว่า Bug ซึ่งเพิ่มความสะดวกสบาย แต่ก็ไปแบกรับความเสี่ยงเอาไว้เอง

ใช่ครับ เห็นมานานแล้ว และผมก็ไม่เคยบันทึกรหัสผ่านไว้บน Chrome เลย เห็นอย่างคุณ line ว่าครับ น่าจะเป็นความไม่ใส่ใจเรื่อง Security ของทาง Google มากกว่า

ช่องโหว่ คุณพระ !

ห่วง Security จริงๆ ก็อย่าให้ Browser Save Password สิครับ
(มันใช่หรือที่ห่วง Security แต่อยากเก็บบันทึก Password ไว้บน PC) หรือไม่ก็ใช้โหมด Incognito แทนสิ

ส่วนตัวผมใช้ Firefox ก็มี Master Password กันเอาไว้อีกชั้น

User Error ชัดๆ

ส่วนหนึ่งก็ User Error ครับ แต่อีกส่วนก็เป็นความไม่ใส่ใจของ Google ลองนึกถึงว่าเป็นผู้ใช้ธรรมดาที่ไม่ค่อยรู้เรื่องเขาจะรู้ไหมครับว่ารหัสเว็ปต่างๆที่เก็บไว้มันไม่ปลอดภัย เพราะส่วนใหญ่ก็เก็บรหัสไว้กันเพราะมันสะดวกดี อย่าคิดแบบอิงจาก geek มากไปครับ

Password WiFi ที่ Save ไว้ ก็กด Show ได้นะครับ ก็นี่มันอยู่ในเครื่องผู้ใช้แล้ว ไม่ได้ Remote มาดู Password จากภายนอก ถ้าบุคคลภายนอกสามารถ Access User Account ของเจ้าของ PC เครื่องนั้นได้ก็ถือว่าหนักมากแล้วนะครับ

ถ้าเกิดว่าผู้ใช้ที่ไม่รู้เรื่องใช้งานในร้านเน็ตละครับ มีกันไว้ก็ดีกว่าครับ เช่นไม่สามารถเก็บรหัสผ่านได้ หรือเก็บได้แต่ไม่สามารถดูรหัสได้ ถ้าจะเก็บแบบดูรหัสผ่านได้ต้องลงชื่อเข้าใช้ใน chrome ก่อนแล้วก็เก็บแบบแยก user เพื่อให้ user อื่นไม่สามารถกดดูได้

ถ้าขนาดไปร้านเน็ตแล้วกดเซฟพาร์ดเวิร์ดนี่ก็ไม่รู้จะพูดไงแล้วนะครับ ไม่ต้องเปิดดูหรอก คนต่อไปมาใช้ก็เข้าได้เลย - -"

ลองนึกถึงคนที่ไม่รู้เรื่องพวกนี้ครับ ก็ตามที่ผมเขียนไว้ข้างบนคือไม่ล็อกอิน chrome ก็จะไม่จำรหัสมันก็จะแก้เรื่องคนที่เข้าใช้งานคนต่อไปกดแล้วเข้าเลย เพราะผมเจอหลายที่ครับในโรงพยาบาลมั่ง ในร้านเน็ตมั่งกดเข้าไป FB ใครเนี้ย

เป็นไอเดียที่ดีนะครับ ผมเข้าใจแล้วก็เห็นด้วยเลยหล่ะ

แต่มันเป็นการแก้ปัญหาที่ปลายเหตุไปนิด ซึ่งถ้าแก้ที่ต้นเหตุเลย ผู้ใช้ควรที่จะศึกษาและทำความเข้าใจเกี่ยวกับการใช้คอมในที่สาธารณะครับ (ใข้อย่างไรให้ปลอดภัย) เพราะมันมีภัยอันตรายในคอมพิวเตอร์ที่เราไม่รู้จักอยู่เยอะ ทั้ง Virus, Keylogger, Sniffing, Exploit ฯลฯ

ลำพังผม Login Facebook บนคอมพิวเตอร์หรือแทปเล็ตที่ไม่ใช่ของตัวเองผมยังรู้สึกแหยงๆ เลย ยิ่งถ้าธุรกรรมทางการเงินนี่ผมจะไม่ทำบน Device ที่มัน Untrust อย่างเด็ดขาด

ทั้งหมดนี้ก็เพื่อตัวเราเองครับ ทาง Google ก็ไม่คิดจะแก้ไขปัญหานี้ด้วย อีกทั้ง Browser ในโลกนี้ก็ไม่ได้มีเฉพาะ Chrome ดังนั้น ใช้งานอะไรก็ตามผู้ใช้ก็ต้องศึกษาทำความเข้าใจ ถ้าเป็นห่วงเรื่องความปลอดภัย ผู้ใช้ก็ต้องทำความรู้จักกับภัยคุกคาม ซึ่งนี่น่าจะเป็นวิธีที่ดีที่สุดครับ เพื่อนหญิงผม Low-Tech มาก แต่ก็ใช้โหมด In-private Browsing เป็นครับ แต่สอนให้ไม่กี่นาที

แก้ที่ตัวผู้ใช้เอง ดีที่สุด

ถ้าจะไม่รู้เรื่องขนาดนั้น คงช่วยอะไรไม่ได้แล้วล่ะครับ จะใช้คอมทั้งที ก็ควรจะต้องหัดเรียนรู้ที่จะไม่เซฟรหัสผ่าน ไม่จำ Login ไว้ในเครื่องที่ไม่ใช่ของตัวเองนะ ไม่ใช่ว่าจะโยนเป็นหน้าที่คนอื่นซะหมด

เห็นด้วยนะครับ อย่างตัวผมก็มั่นใจในนโยบายความปลอดภัยของ Google ในระดับหนึ่ง ถ้าเว็บทั่วไปที่ไม่เกี่ยวกับธุรกรรมทางการเงิน พอมีแถบให้จำพาสเวิร์ดขึ้นมาก็กด Save password แบบไม่ลังเล ยอมรับครับว่าส่วนหนึ่งเป็นความไม่หละหลวมของตัวเราเองด้วย เป็นแค่ user ธรรมดาที่นานๆ ถึงจะไปยุ่งกับ Settings สักที

Fourpoint Thu, 08/08/2013 - 10:31

firefox ก็เป็น ถ้าตั้งให้จำpass แต่ดันไม่ตั้งmaster password กดโชว์เป็นclear textได้ตามใจชอบเลย

แต่ถ้าตั้งmaster passwordแล้วมันจะถามpass อีกครั้ง(แต่ก็ทำให้ถามทุกครั้งก่อนจะใช้ระบบจำpass ด้วยเช่นกัน อาจทำให้รู้สึกรำคาญ)

อันนี้ออกแนวจงใจแบบแปลกๆ - -"

ถ้ามันจะมี Hacker เข้ามาถึงเครื่องคอมคนอื่นได้แบบนี้ มันก็ไม่ต่างอะไรกับได้คอมไปทั้งเครื่องแล้วละ ไม่ว่าจะ Remote เข้ามา หรือ เดินมากดหน้าคอมเอาตรงๆ - -"

เครื่องคอมที่บ้านผมใช้คอมคนเดียวครับ แต่ไม่เคยใช้ บริการจำรหัสผ่านเลย ตั้งแต่จำได้ในยุคแรกๆ ที่ ie เก็บรหัสไว้ใน registry ก็ไม่กล้าให้ web browser ช่วยจำรหัสให้

คือถ้าเลือกให้จำรหัสผ่านไว้ มีแสดงตรงนี้ผมคิดว่าไม่น่าจะเกี่ยวกับความไม่ใส่ใจนะครับ เพราะถึงไม่มี settings อันนี้ แต่ถ้าให้จำรหัสไว้ยังไงคนอื่นก็เข้ามา log in ได้อยู่ดี ปกติเครื่องผมเองก็ไม่เคยให้มันจำรหัสผ่านอะไรเลย ใส่ใหม่ตลอด

ผมขอร้องล่ะ Chrome อย่าเอามันออกเลย ไอปุ่ม Show Password นี่ช่วยชีวิตผมไว้หลายครั้งละ >.<

รหัสผ่านถูกบันทึกไม่เท่าไหร่ เพราะ chrome มัน encrypt password
แต่ไอ้ที่น่าตบคือมันไม่ยอมเปลี่ยน code วิธีการ encrypt password นะสิ
software decrypt พาสของ chrome เพียบ...

เจอไวรัสพวกจับ file client upload "Login Data" ทีจบแห่
แถมทำกันง่ายๆ ซะด้วยสิ -*-)

มันเป็นฟีเจอร์ครับ ไม่ใช่บั๊ก

อีกอย่างมันก็ไม่ได้บังคับให้เราต้อง save password ถ้าจะ save แปลว่า user สั่งให้ save เอง

บางเว็บที่ไม่ต้องการให้ user save password ได้ ก็มี attribute นี้ให้ใช้ (พบได้ตามเว็บ ebanking ทั่วไป)

< input type="password" autocomplete="off" />

ไปใช้ net เครื่องคนอื่น หรือร้านเน็ต ถ้ามี chrome หรือ firefox ก็ใช้โหมด Incognito ตลอด ใช้เสร็จก็ปิดทิ้งด้วย

ฝึกที่ตัวเองให้ระมัดระวังความปลอดภัยดีกว่าครับ อย่าหวังพึ่งพาเครื่องมือเลย

ผมเคยบ่นมานานมากแล้ว และใน forum ของ Chrome ก็มีคนตั้งคำถามเรื่องนี้ แน่นอนว่าทางแก้อย่าง Firefox คือให้มีตั้ง master password เพื่อป้องกันอีกชั้นหนึ่งแทน ซึ่งก็ตอบโทจย์ได้ในระดับที่น่าพอใจ แต่ดูเหมือนทางฝั่ง Chrome ไม่นำพากับการเพิ่ม master password ผมเลยไม่ใช้ระบบ saved password บน Chrome และย้ายมาใช้ LastPass แทน เพราะรองรับการ sync ระกว่าง Browser/Devices และปลอดภัยกว่าเยอะ แถมมีระบบที่รัดกุมกว่า ทั้ง master password และ 2 factor authen อีกด้วย

มันไม่ใช่ช่องโหว่ซะทีเดียว

การจดจำรหัสผ่านของเว็ป ต้องเข้าใจว่า ทุกเว็ปในโลก
Chrome ไม่สามารถจดจำรหัสแล้วเข้ารหัสทางเดียวได้เลย ( เช่น เก็บแล้ว MD5 ซะ )

เพราะว่า Chrome ยังมีความจำเป็นต้องเก็บรหัสเป็น text เพียวๆ เนื่องจากเว็ปทุกเว็ปมีมาตรฐานการล็อกอินที่ไม่เหมือนกัน
Chrome จึงทำได้แค่ เอารหัสไป fill ใส่ในช่อง Login From

ถึง Chrome จะไม่แสดงผลรหัส แต่มันก็ต้องเก็บรหัสไว้ที่ใดที่หนึ่งของเครื่อง ในรูปแบบ Text อยู่ดี
ไม่ว่าจะยังไง ถ้าเราจะให้ Browser จดจำรหัสเอาไว้ เราก็ต้องรู้เรื่องนี้ด้วย

การที่จะแก้ไข โดยเอาปุ่ม Show รหัสออกไป ไม่ได้หมายความว่า ความปลอดภัยจะสูงกว่าเดิมมากมายนัก

ทำไมหลายคนโทษ user ทำเหมือนว่าคนที่ไม่รู้ย่อมผิดไปเสียหมด ในวงการนี้คุณอาจจะรู้เยอะกว่าคนอื่นแต่ในทางกลับกันคนอื่นย่อมมีบางเรื่องที่เขารู้ดีกว่าคุณแน่นอน ผมว่ามันไม่แปลกเลยที่หลายคนจะไม่รู้เรื่อง security ขั้นพื้นฐานแบบนี้ คนอีกจำนวนมากที่มีประสบการณ์การท่องเว็บเพียงเล็กน้อยไม่ได้มานั่งเล่นหน้าคอมทุกวันแบบเรา ๆ พอเจออะไรแปลก ๆ โผล่ขึ้นมาก็กดไว้ก่อน บางคนอ่านภาษาอังกฤษไม่ออกก็กด yes กด ok อย่างเดียวก็มี (ในกรณีที่ไปเล่น Chrome เครื่องที่มี UI ภาษาอังกฤษ)

ตอนแรกที่ใช้ Chrome ผมก็งงเหมือนกันว่าเล่นแสดง plain text password กันง่าย ๆ แบบนี้เลยหรือแต่ผมก็ยังใช้ต่อไปเพราะความสะดวกและคอมพิวเตอร์ที่บ้านผมก็ใช้เพียงคนเดียว อย่างไรก็ตามผมว่ามันยังดู "มักง่าย" อยู่เหมือนกัน อาจจะไม่ถึงกับควรเรียกว่าเป็นช่องโหว่แต่ควรเรียกว่าเป็นความมักง่ายของระบบรักษาความปลอดภัยให้กับผู้ใช้ของ Google Chrome มากกว่า

บางคนอ่านภาษาอังกฤษไม่ออกก็กด yes กด ok อย่างเดียวก็มี (ในกรณีที่ไปเล่น Chrome เครื่องที่มี UI ภาษาอังกฤษ)

นี่คือความไม่รู้ และไม่ยอมเรียนรู้ (อ่านไม่ออกก็ควรเรียกใครสักคนมาช่วย) การไม่รู้ไม่แปลก แต่แปลกที่ไม่ยอมเรียนรู้

โครมทำให้การล้วงข้อมูลง่ายเป็นความผิดพลาดอย่างหนึ่ง เพราะโครมเขาให้ใช้ในเครื่องส่วนตัว และถ้าเป็นเครื่องสาธารณะโครมมีโหมด "ไม่ระบุตัวตน" ให้อยู่แล้ว (ซึ่งต่อให้คลิกให้จำรหัสไว้ มันก็จะล้างค่าให้อยู่ดี)

ปล.โครมเข้ารหัสพาสเวิร์ดครับ แต่มันก็ยังแฮกง่ายอยู่ดี

เรื่อง mode "ไม่ระบุตัวตน" นี่ไม่ต้องพูดถึงหรอกครับ ลองไปสำรวจสุ่มตรวจประชาชนดูว่ามีคนรู้จัก Chrome กี่เปอร์เซ็นต์ก่อนค่อยมาว่ากันดีกว่า จะไปคาดหวังให้คนทั่วไปรู้ลึกรายละเอียด feature ของ program ลึกแบบนั้นคงจะเป็นไปได้ยาก

ไม่ต้องไปมองไกล ลองถามคนเรียนสายศิลป์รุ่นราวคราวเดียวกันจบจากมหาวิทยาลัยมีชื่อเสียงดูก่อนก็ได้ครับว่า "รู้ไหมว่า Chrome มี mode ไม่ระบุตัวตน?" คนใช้คอมพิวเตอร์ทำงานทุกวันบางคนยังไม่รู้เรื่องนี้ก็มีครับ

ผมคิดว่าคนอื่นคงจะไม่สนใจเรื่อง feature ของ browser มากเหมือนคนแถวนี้หรอกครับ ต่างคนต่างหลากหลายอาชีพหน้าที่การงานความสนใจ บางคนก็คงมองว่า browser เอาไว้เล่น internet อย่างเดียวก็พอ เลือกอันที่เร็วที่สุด settings ไม่ต้องไปสนใจ feature ไม่ได้ใช้ เรื่องอื่นในชีวิตที่สำคัญกว่ามีอีกมาก

ผมว่าเรื่องแค่นี้ระดับ Google น่าะจะคิดหาวิธีแก้ไขและทำให้ดีกว่านี้ได้ไม่ยาก แต่การตอบแบบขอไปทีอย่างว่ารู้แต่ไม่คิดจะทำอะไรนี่ฟังแล้วรู้สึกไม่ดีเท่าไรครับ

ปล. ลองดูตัวอย่าง 2 ท่านด้านล่างได้ครับ

ถ้ามองว่าปัญหานี้เป็นปัญหาของระบบ ถ้าผมลองเทียบกับกรณีคนเสียเงินเพราะลูกๆ หลานๆ กดมั่วๆ ซื้อพวก In-App Purchases ของแอปเปิล หรือของเพลย์สโตร์

แบบนี้เป็นปัญหาของผู้ใช้หรือปัญหาของแอปเปิล/กูเกิลครับ?

ถ้าเป็นปัญหาของแอปเปิล/กูเกิล ทำไมแอปเปิล/กูเกิล ไม่เตือนผู้ใช้ว่าผูกบัตรแล้วไม่ตั้งค่าอะไรแล้วจะกดซื้อได้อัตโนมัติ
หรือเป็นปัญหาของผู้ใช้ ที่ไม่อ่านหรือเรียนรู้การตั้งค่าอะไรเลย? ซื้อไอแพดมาผูกบัตรแล้วก็จบเลย?

กรณีโครม: ลูกค้าไม่รู้ว่าถ้าเซฟรหัสแล้วจะมองเห็นรหัสผ่านได้?
กรณีแอพเปิลสโตร์/เพลย์สโตร์: ลูกค้าไม่รู้ว่าถ้าไม่ปิด In-App Purchases ใครๆ ก็กดซื้ออะไรในแอพได้?

ย้ำอีกครั้ง ผมไม่ได้ว่าโครมไม่มีปัญหา มันมี แถมเจาะง่ายกว่าใคร แต่มันก็ต้องโทษผู้ใช้ด้วย ไม่ใช่บอกว่าก็ผู้ใช้งานไม่เก่ง ไม่รู้ เป็นที่ซอฟต์แวร์

In-app purchase ของ Google เป็นอย่างไรผมไม่รู้นะแต่ของ Apple จะบังคับให้ใส่ password ยืนยันก่อนจ่ายเงินซื้อเสมอ คนที่ไม่รู้ password จะซื้อไม่ได้

เข้าใจอะไรผิดหรือเปล่าครับ ทำไมเอามาเทียบกันได้ ?

จากคำพูดที่ว่า "เรื่องอื่นในชีวิตที่สำคัญกว่ามีอีกมาก"

แปลว่าเรื่อง password คนไม่สำคัญกับคนพวกนี้หรอกครับ (ชีวิตจริงของคนพวกนี้คงจะแปะ password ไว้ข้าจอคอมนั่นแหละ)

คงไม่ต้องกด setting เข้าไปดู password ให้ยุ่งยากหรอก

โดนพื้นฐานแล้ว มันก็ควรคิดได้ว่าถ้าตั้งให้จำ password เอาไว้ ใครมาใช้เครื่องก็เข้าเว็บได้เลย อันนี้ไม่ต้องพึ่งพาความรู้ด้านเทคนิคด้วยครับ

สมมติว่า Google ตั้ง Save Password เป็น default disabled เอาไว้ แล้วดันมีคนไปเปิด (มันเป็นเครื่องสาธารณะ) แบบนี้ต้องโทษใครต่ออ่ะครับ

งดโทษแมวนะครับครับ XD

ผาก password ไว้กับคนอื่นนี่ถ้าไม่โทษ user จะให้ไปโทษใครลาะครับ ถ้าจะบอกว่า user หลายครไม่รู้ หรืออ่านภาษาอังกฤษไม่ออก (ผมไม่อยากจะพูดตรงๆว่าโง่แล้วอยากจะใช้นะครับ)

ปล. ประชาชนทำผิด แล้วอ้างว่าไม่รู้กฎหมายไม่ได้ ฉันใดก็ฉันนั้น

มันก็ใช้ง่ายดีนะ เวลาจำพาสเวิร์ดไม่ได้ผมก็มักจะมาเปิดดู เพราะบางกรณีบราวเซอร์จะไม่กรอกพาสเวิร์ดให้
บางกรณีก็ไปใช้เครื่องอื่นหรือบราวเซอร์ตัวอื่น

แค่​ให้​ผู้​อื่น​ใช้​งาน​ user ของ​เรา​ที่​login​ ไว้​มัน​ก็​ไม่​ปลอด​ภัย​แล้ว​ละ​ค่ะ​ ใช้​เครื่อง​สาธารณะ​มัน​ก็​เป็น​สามัญสำนึก​ที่​ต้อง​ไม่​บันทึก​รหัสผ่าน​ ข่าว​ออก​มา​เช่นนี้​ดูจะ​รุนแรง​ไป​หน่อย​นะค่ะ​

PandaBaka Thu, 08/08/2013 - 19:24

รหัสผ่าน Chrome มันเก็บไว้ที่นี่ C:\Users<username>\Appdata\Local\Google\Chrome\User Data\Default\Login Data

เป็น sql lite โดดๆ decrypt พาสก็ง่ายมาก google พี่แกโดนเจอะไปเป็นปีแล้วก็ไม่ยอมเปลี่ยน

ถ้าเจอเข้าเว็ปติดไวรัสแฝง spyware แอบ remote กลับขึ้น server ก็จบเห่แล้วครับ user ไม่รู้ตัวแต่โดนไปเรียบร้อยก็สมควรโดนด่าอยู่ เอาจริงๆ น่าจะเป็น browser ที่ระบบความปลอดภัยต่ำสุดแล้วมั้ง -*-)

Firefox รุ่นปัจจุบัน (Firefox 23) ก็โชว์รหัสผ่านได้ครับ ไม่เห็นมีใครบอกว่าเป็นช่องโหว่เลย ทำไมไม่บอกให้หมดทุก Browser เลยหละ กะทำลาย Chrome ชัดๆ

เพราะมันเข้าถึงได้ยากกว่า เพราะมี Master Password ในการช่องป้องกันอีกชั้นก่อนเข้าถึงรหัสผ่านจริงๆ

สำหรับ Chrome ที่มีการให้ใช้ Google Account ผูกกับตัว Browser อยู่ ซึ่งไหนๆ ก็ login แล้ว ก็ควรมีข้อกำหนดว่าต้อง login ตัว Google Account ก่อน แล้วถึงจะใช้ save password ได้ แล้วถ้าอยากดูรหัสผ่านนั้น ก็ login ด้วยตัว Google Account ก่อนสักนิด เพื่อยืนยันอีกชั้นนึงก็ยังได้นะ

รหัสผ่านหลายอย่างอยากเซฟไว้กับคอมพิวเตอร์ส่วนตัวของตัวเอง เพราะไม่ได้มีความสำคัญมา ไม่อยากจำเยอะ แต่ก็ไม่อยากให้คนอื่นรู้ แต่บางทีจำเป็นเพื่อนต้องการมาใช้คอมพิวเตอร์เราด่วนๆ เร็วๆ ไม่นาน ก้ต้องยอมให้ใช้ Master Password ของ Firefox จึงตอบโจทย์ความต้องการนี้

ถามว่าถ้าเป็นเหตุในข่าวที่ Chrome ไม่ยอมให้มี Master Password ก็คิดว่าเป็นเหตุผลที่รับได้ แต่มันไม่ตรงกับความต้องการของเรา และคนอื่นอีกหลายคน