Tags:
Node Thumbnail

หนังสือพิมพ์ The Guardian รายงานว่า มีการค้นพบช่องโหว่ในเบราว์เซอร์ Chrome ที่ยอมให้ใครก็ได้ที่สามารถเข้าถึงคอมพิวเตอร์ได้สามารถดูรหัสผ่านเพื่อการล็อกอินเข้าโปรไฟล์อีเมล เว็บสังคมออนไลน์ ฯลฯ จากหน้าการตั้งค่าได้โดยที่ไม่ต้องระบุตัวตนก่อน

การเรียกดูรหัสผ่านนั้นก็ง่ายแสนง่าย โดยผู้ใช้เพียงไปที่หน้า Settings เลือกมุมมองการตั้งค่าขั้นสูง ไปที่ส่วน Passwords and forms คลิกปุ่ม Manage saved passwords เพื่อเข้าส่วนจัดการรหัสผ่านที่ถูกบันทึกไว้ ถึงแม้รหัสผ่านจะถูกซ่อนไว้ในรูปดอกจัน แต่หากผู้ใช้คลิกที่รหัสผ่านและคลิกปุ่ม Show ก็จะเห็นรหัสผ่านได้เลย

The Guardian อ้างคำพูดของ Justin Schuh หัวหน้าทีมพัฒนา Chrome ว่ากูเกิลตระหนักถึงช่องโหว่นี้แต่ไม่มีแผนจะแก้ไขมัน Tim Berners-Lee นักฟิสิกส์ผู้ออกแบบ HTML และเว็บให้สัมภาษณ์ว่าน่าผิดหวังเป็นอย่างยิ่งต่อการตอบสนองของกูเกิล

ถึงแม้ผู้บุกรุกจะต้องเข้าถึงคอมพิวเตอร์เพื่อดูรหัสผ่านของคนอื่น (เข้าถึงเครื่องโดยตรงหรือรีโมตจากระยะไกล) แต่ก็มีเครื่องคอมพิวเตอร์จำนวนมากที่ถูกแบ่งปันให้ใช้ร่วมกันในที่บ้านหรือที่ทำงาน นอกจากนั้นถึงจะกล่าวว่าใครก็ตามที่สามารถเข้าถึงคอมพิวเตอร์ได้ก็สามารถล็อกอินเข้าเว็บไซต์โดยใช้ข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์ แต่การที่สามารถมองเห็นรหัสผ่านได้โดยตรงก็ทำให้ผู้ไม่ประสงค์ดีสามารถจดรหัสไปเข้าถึงข้อมูลผู้ใช้บนโลกอินเทอร์เน็ตในภายหลังได้

ที่มา: หนังสือพิมพ์ The Guardian ผ่าน 9to5Mac

Get latest news from Blognone

Comments

By: Priesdelly
ContributorAndroidWindows
on 8 August 2013 - 09:32 #608040
Priesdelly's picture

อ้าวเขาเรียกว่าช่องโหว่หรอครับ ผมเห็นนานละนะ มีตั้งแต่สมัย Firefox ละ
ถ้าอันนี้ถึงกับเรียกว่าช่องโหว่ ซึ่งผมเชื่อว่าหลายๆ คนใน blognone รู้ตั้งนานแล้ว
แบบนี้จะเรียกว่าอะไรดีอ่ะครับ User error แล้วบอกว่าเป็นช่องโหว่ ?

ก่อนอ่านข่าวนี้นึกว่าเป็นช่องโหว่เจาะเข้าระบบเพราะโค๊ดอะไรยังไง อ่านเสร็จเงิบครับ - -"


Follow the white rabbit. | Priesdelly's Blog

By: gondolaz
AndroidUbuntuWindows
on 8 August 2013 - 12:18 #608150 Reply to:608040
gondolaz's picture

+1 ครับ ช่องโหว่.... โอ้ โนววว

By: Bigta
ContributoriPhoneAndroidUbuntu
on 8 August 2013 - 18:51 #608263 Reply to:608040
Bigta's picture

ผมกลับไม่คิดว่าเรื่องนี้เป็น "ช่องโหว่" แฮะ จริงๆ การที่ให้คนอื่นมาใช้เบราว์เซอร์ที่เซฟรหัสผ่านไว้เต็มเครื่อง แถมทิ้งเครื่องไว้ปล่อยให้เค้าทำอะไรก็ได้ตามใจชอบนี่ต่อให้ Chrome มันแก้ไม่ให้โชว์รหัสผ่านก็คงช่วยอะไรไม่ได้อยู่ดีแหละ

By: playpotonjom
iPhoneAndroidUbuntuWindows
on 8 August 2013 - 19:46 #608276 Reply to:608263

ผมคิดว่าจริงๆ แล้วเขาอาจจะหมายถึงการตั้งรหัสผ่านก่อนเขาถึงข้อมูลส่วนนั้น เหมือนอย่างใน Firefox รึเปล่าครับ

By: Bigta
ContributoriPhoneAndroidUbuntu
on 8 August 2013 - 20:33 #608286 Reply to:608276
Bigta's picture

Firefox มีให้ตั้ง Master Password ได้ก็จริง แต่ก็ไม่ได้ถูกเปิดใช้งานมาเป็นค่า Default ดังนั้นถ้ามีคนมาใช้เครื่องเราได้เค้าก็สามารถดูรหัสผ่านได้เหมือนกัน ต่อให้ Chrome ทำฟังก์ชัน Master Password ออกมาผมก็คิดว่าคงไม่ได้ต่างอะไรกับ Firefox อ่ะครับ

ประเด็นของผมคือ ถ้าเซฟรหัสผ่านไว้เต็มเครื่อง แถมตั้ง Master Password ไว้ด้วย การที่ให้คนอื่นมาเล่นคอมเราโดยที่เราไม่รู้ว่าเค้าจะทำอะไรกับเครื่องบ้างนี่มันก็ยังอันตรายอยู่ดีครับ อย่าง Firefox เอง ถ้าเข้าถึงเครื่องได้ก็แค่ก็อบไฟล์ Password database ที่อยู่ใน User profile มา ต่อให้มี Master Password ก็แคร็กออกมาได้อยู่ดี

คือถ้าปล่อยให้เค้าเข้ามาถึงเครื่องได้ขนาดนั้นเรื่องข้อมูลพวกนี้มันคงไม่น่าจะป้องกันได้ครับ ทำได้มากสุดก็แค่ถ่วงเวลาให้มันแคร็กรหัสผ่านนานๆหน่อย ผมเองก็ยังคิดไม่ออกเหมือนกันว่าจะแก้ไข Chrome ยังไงให้รหัสผ่านไม่หลุดในกรณีที่มีผู้ไม่หวังดีสามารถ Physical access หรือ Full access ตัวเครื่องได้ :/

By: cku
iPhoneWindows PhoneBlackberrySymbian
on 8 August 2013 - 09:31 #608041

ช่องโหว่นี้ผมพบมันมานานแล้ว
รู้รหัสผ่านคนที่ใช้คอมเครื่องเดียวกันหมดเลย นึกว่ารู้กันแล้วซะอีก

By: nuntawat
WriterAndroidWindowsIn Love
on 8 August 2013 - 09:39 #608047 Reply to:608041
nuntawat's picture

ผมเห็น The Guardian เพิ่งลงข่าวนะครับ อีกอย่างผมแทบไม่เคยใช้ Chrome เลยครับ ใช้แต่ IE ประจำ เลยไม่ทราบว่าช่องโหว่นี้มีมานานแล้ว

ป.ล. ผมไม่เคยให้เบราว์เซอร์เก็บรหัสผ่านเลยนะ อีกอย่างข่าวนี้น่าจะเป็นประโยชน์ อย่างน้อยก็คนที่ไม่รู้การใช้งาน Chrome เชิงลึกจะได้หาทางป้อนกัน อาทิ ล็อกหน้าจอคอมพิวเตอร์ทุกเครื่องเมื่อไม่ได้ใช้ ไม่ให้เบราว์เซอร์เก็บรหัสผ่าน ใช้ปลั๊กอินที่บันทึกรหัสผ่านได้และไม่ถูกเปิดเผยรหัสผ่านได้โดยง่าย หรือกระทั่งไปใช้เบราว์เซอร์อื่นที่จัดการเรื่องนี้ได้ดีกว่า

By: cku
iPhoneWindows PhoneBlackberrySymbian
on 8 August 2013 - 11:05 #608108 Reply to:608047

เบราเซอร์น่ะเก็บได้ครับ แต่ปัญหาคือ Google เก็บรหัสผ่านเป็น Plaintext ไม่มีการเข้ารหัสเลย
ผมนี่งงมาก

By: line
ContributoriPhoneAndroidRed Hat
on 8 August 2013 - 09:33 #608044
line's picture

ผมทดสอบแล้วเป็นเช่นนั้นจริง ส่วนตัวผมไม่เรียกว่าอันนี้เป็นช่องโหว่ เพราะ มีปุ่มให้กด Show จริง
เป็นความตั้งใจที่จะมีอยู่แล้ว
สิ่งนี้ผมเรียกว่าความไม่ใส่ใจเรื่อง Security ของทาง Google มากกว่า
ดีที่ส่วนตัวเลิกใช้ Save Password บน Browser ไปแล้ว อิอิ

แหม๋...ทำไปได้


seeking for New Frontier...

By: Iamz
AndroidWindows
on 8 August 2013 - 21:46 #608313 Reply to:608044

ถ้าลองไปอ่านคำอธิบายเต็ม ๆ แล้วจะเห็นว่าจริง ๆ ไม่ใช่ไม่ใส่ใจเรื่อง Security แต่ตรงกันข้ามครับ คือเค้าอาจจะใส่ใจมากเกินไป คำอธิบายของเค้าคือเข้าใช้ security ของตัว OS ในการแยกว่าผู้ใช้คนไหนเข้าถึงไฟล์ไหนได้หรือไม่ได้ ถ้าถึงขนาดเข้าเป็น user คนนั้นได้แล้วต่อให้ซ่อน password ตรงนี้ก็เข้าไปล้วงความลับจากทางอื่นได้อีกมากมาย เพราะฉะนั้นเค้าไม่ต้องการให้ผู้ใช้มีความคิดผิด ๆ ว่ามันมีความปลอดภัยอะไรอยู่เลยเพราะฉะนั้นไม่ควรให้คนที่ไม่ไว้ใจเข้ามาใช้ตั้งแต่แรกครับ

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 8 August 2013 - 09:50 #608051
PaPaSEK's picture

ขอฉีกไปที่ mail client อย่าง Thunderbird ก็มีฟีเจอร์นี้นะครับ

edit - Firefox ก็มีนะ

....... It's not exploited, It's a feature!

By: xemoe
AndroidUbuntu
on 8 August 2013 - 09:51 #608053

Chrome(28): แสดงรหัสผ่านได้เลย
Firefox(23): แสดงรหัสผ่านได้เลย
IE(10): แสดงรหัสผ่าน ต้องใส่รหัสของ User ที่ Logon windows ก่อน

By: snowbellza
iPhoneWindows PhoneAndroidSymbian
on 8 August 2013 - 10:07 #608067 Reply to:608053
snowbellza's picture

IE(10): แสดงรหัสผ่าน ต้องใส่รหัสของ User ที่ Logon windows ก่อน

แล้วถ้าตอนเข้า Windows ไม่ได้ตั้งรหัสผ่านไว้ล่ะ

By: johnny.sayasane
ContributorWindows PhoneSymbianWindows
on 8 August 2013 - 12:44 #608162 Reply to:608067
johnny.sayasane's picture

อันนั้นก็ขึ้นกับเจ้าของเครื่องละครับ ==


ສະບາຍດີ :)

By: John
iPhoneWindows PhoneAndroidSymbian
on 8 August 2013 - 10:30 #608082 Reply to:608053
John's picture

Safari: ต้องใส่รหัสผ่านของยูสเซอร์ก่อนเหมือนกัน
แล้วถ้าไม่ตั้งไว้นี้ ???

By: kadeep
AndroidUbuntuWindows
on 8 August 2013 - 09:54 #608056
kadeep's picture

เห็นตั้งแต่ปีมะโว้

By: Priesdelly
ContributorAndroidWindows
on 8 August 2013 - 10:01 #608062
Priesdelly's picture

ข่าวนี้ผมว่าเหมือนหนังสือพิมพ์ The Guardian จะหาข่าวมาโจมตี Google มากกว่านะ
ผมมองว่าเป็น Feature มากกว่า Bug ซึ่งเพิ่มความสะดวกสบาย แต่ก็ไปแบกรับความเสี่ยงเอาไว้เอง


Follow the white rabbit. | Priesdelly's Blog

By: games2532
ContributoriPhoneWindows PhoneAndroid
on 8 August 2013 - 10:04 #608064

เพิ่งรู้สึกเหรอเนื่ย..

มันเป็นฟังก์ชั่นที่่ดีตอนที่ลืมรหัสผ่านเข้าเว็บนะ.. TT__TT

By: snowbellza
iPhoneWindows PhoneAndroidSymbian
on 8 August 2013 - 10:05 #608065
snowbellza's picture

ใช่ครับ เห็นมานานแล้ว และผมก็ไม่เคยบันทึกรหัสผ่านไว้บน Chrome เลย เห็นอย่างคุณ line ว่าครับ น่าจะเป็นความไม่ใส่ใจเรื่อง Security ของทาง Google มากกว่า

By: Perl
ContributoriPhoneUbuntu
on 8 August 2013 - 10:21 #608077
Perl's picture

ช่องโหว่ คุณพระ !

ห่วง Security จริงๆ ก็อย่าให้ Browser Save Password สิครับ
(มันใช่หรือที่ห่วง Security แต่อยากเก็บบันทึก Password ไว้บน PC) หรือไม่ก็ใช้โหมด Incognito แทนสิ

ส่วนตัวผมใช้ Firefox ก็มี Master Password กันเอาไว้อีกชั้น

User Error ชัดๆ

By: Orion
Windows PhoneAndroidWindows
on 8 August 2013 - 10:34 #608090 Reply to:608077
Orion's picture

ส่วนหนึ่งก็ User Error ครับ แต่อีกส่วนก็เป็นความไม่ใส่ใจของ Google ลองนึกถึงว่าเป็นผู้ใช้ธรรมดาที่ไม่ค่อยรู้เรื่องเขาจะรู้ไหมครับว่ารหัสเว็ปต่างๆที่เก็บไว้มันไม่ปลอดภัย เพราะส่วนใหญ่ก็เก็บรหัสไว้กันเพราะมันสะดวกดี อย่าคิดแบบอิงจาก geek มากไปครับ

By: Perl
ContributoriPhoneUbuntu
on 8 August 2013 - 10:42 #608091 Reply to:608090
Perl's picture

Password WiFi ที่ Save ไว้ ก็กด Show ได้นะครับ ก็นี่มันอยู่ในเครื่องผู้ใช้แล้ว ไม่ได้ Remote มาดู Password จากภายนอก ถ้าบุคคลภายนอกสามารถ Access User Account ของเจ้าของ PC เครื่องนั้นได้ก็ถือว่าหนักมากแล้วนะครับ

By: Orion
Windows PhoneAndroidWindows
on 8 August 2013 - 10:53 #608099 Reply to:608091
Orion's picture

ถ้าเกิดว่าผู้ใช้ที่ไม่รู้เรื่องใช้งานในร้านเน็ตละครับ มีกันไว้ก็ดีกว่าครับ เช่นไม่สามารถเก็บรหัสผ่านได้ หรือเก็บได้แต่ไม่สามารถดูรหัสได้ ถ้าจะเก็บแบบดูรหัสผ่านได้ต้องลงชื่อเข้าใช้ใน chrome ก่อนแล้วก็เก็บแบบแยก user เพื่อให้ user อื่นไม่สามารถกดดูได้

By: Golflaw
ContributoriPhoneAndroidWindows
on 8 August 2013 - 11:06 #608109 Reply to:608099
Golflaw's picture

ถ้าขนาดไปร้านเน็ตแล้วกดเซฟพาร์ดเวิร์ดนี่ก็ไม่รู้จะพูดไงแล้วนะครับ ไม่ต้องเปิดดูหรอก คนต่อไปมาใช้ก็เข้าได้เลย - -"


A smooth sea never made a skillful sailor.

By: Orion
Windows PhoneAndroidWindows
on 8 August 2013 - 11:14 #608114 Reply to:608109
Orion's picture

ลองนึกถึงคนที่ไม่รู้เรื่องพวกนี้ครับ ก็ตามที่ผมเขียนไว้ข้างบนคือไม่ล็อกอิน chrome ก็จะไม่จำรหัสมันก็จะแก้เรื่องคนที่เข้าใช้งานคนต่อไปกดแล้วเข้าเลย เพราะผมเจอหลายที่ครับในโรงพยาบาลมั่ง ในร้านเน็ตมั่งกดเข้าไป FB ใครเนี้ย

By: Perl
ContributoriPhoneUbuntu
on 8 August 2013 - 12:16 #608147 Reply to:608114
Perl's picture

เป็นไอเดียที่ดีนะครับ ผมเข้าใจแล้วก็เห็นด้วยเลยหล่ะ

แต่มันเป็นการแก้ปัญหาที่ปลายเหตุไปนิด ซึ่งถ้าแก้ที่ต้นเหตุเลย ผู้ใช้ควรที่จะศึกษาและทำความเข้าใจเกี่ยวกับการใช้คอมในที่สาธารณะครับ (ใข้อย่างไรให้ปลอดภัย) เพราะมันมีภัยอันตรายในคอมพิวเตอร์ที่เราไม่รู้จักอยู่เยอะ ทั้ง Virus, Keylogger, Sniffing, Exploit ฯลฯ

ลำพังผม Login Facebook บนคอมพิวเตอร์หรือแทปเล็ตที่ไม่ใช่ของตัวเองผมยังรู้สึกแหยงๆ เลย ยิ่งถ้าธุรกรรมทางการเงินนี่ผมจะไม่ทำบน Device ที่มัน Untrust อย่างเด็ดขาด

ทั้งหมดนี้ก็เพื่อตัวเราเองครับ ทาง Google ก็ไม่คิดจะแก้ไขปัญหานี้ด้วย อีกทั้ง Browser ในโลกนี้ก็ไม่ได้มีเฉพาะ Chrome ดังนั้น ใช้งานอะไรก็ตามผู้ใช้ก็ต้องศึกษาทำความเข้าใจ ถ้าเป็นห่วงเรื่องความปลอดภัย ผู้ใช้ก็ต้องทำความรู้จักกับภัยคุกคาม ซึ่งนี่น่าจะเป็นวิธีที่ดีที่สุดครับ เพื่อนหญิงผม Low-Tech มาก แต่ก็ใช้โหมด In-private Browsing เป็นครับ แต่สอนให้ไม่กี่นาที

แก้ที่ตัวผู้ใช้เอง ดีที่สุด

By: lancaster
ContributorUbuntuWindows
on 8 August 2013 - 15:07 #608195 Reply to:608114

ถ้าจะไม่รู้เรื่องขนาดนั้น คงช่วยอะไรไม่ได้แล้วล่ะครับ จะใช้คอมทั้งที ก็ควรจะต้องหัดเรียนรู้ที่จะไม่เซฟรหัสผ่าน ไม่จำ Login ไว้ในเครื่องที่ไม่ใช่ของตัวเองนะ ไม่ใช่ว่าจะโยนเป็นหน้าที่คนอื่นซะหมด

By: nrml
ContributorIn Love
on 8 August 2013 - 11:00 #608103 Reply to:608090
nrml's picture

เห็นด้วยนะครับ อย่างตัวผมก็มั่นใจในนโยบายความปลอดภัยของ Google ในระดับหนึ่ง ถ้าเว็บทั่วไปที่ไม่เกี่ยวกับธุรกรรมทางการเงิน พอมีแถบให้จำพาสเวิร์ดขึ้นมาก็กด Save password แบบไม่ลังเล ยอมรับครับว่าส่วนหนึ่งเป็นความไม่หละหลวมของตัวเราเองด้วย เป็นแค่ user ธรรมดาที่นานๆ ถึงจะไปยุ่งกับ Settings สักที

By: venus00tar
iPhoneAndroidUbuntu
on 9 August 2013 - 00:17 #608348 Reply to:608077
venus00tar's picture

User Error ผมก็ว่างั้น ผมเจอครั้งแรกกับ Firefox หลังจากนั้นผมก็ลองหาวิธีดูของ IE, Chrome ก็ดูได้เหมือนกัน

By: Fourpoint
Windows PhoneAndroidSymbian
on 8 August 2013 - 10:31 #608084

firefox ก็เป็น ถ้าตั้งให้จำpass แต่ดันไม่ตั้งmaster password กดโชว์เป็นclear textได้ตามใจชอบเลย

แต่ถ้าตั้งmaster passwordแล้วมันจะถามpass อีกครั้ง(แต่ก็ทำให้ถามทุกครั้งก่อนจะใช้ระบบจำpass ด้วยเช่นกัน อาจทำให้รู้สึกรำคาญ)

By: nextman13
AndroidBlackberryUbuntuWindows
on 8 August 2013 - 11:48 #608131 Reply to:608084

+1

By: natthavat28
iPhoneWindows PhoneAndroidIn Love
on 8 August 2013 - 10:34 #608089

อันนี้ออกแนวจงใจแบบแปลกๆ - -"

ถ้ามันจะมี Hacker เข้ามาถึงเครื่องคอมคนอื่นได้แบบนี้ มันก็ไม่ต่างอะไรกับได้คอมไปทั้งเครื่องแล้วละ ไม่ว่าจะ Remote เข้ามา หรือ เดินมากดหน้าคอมเอาตรงๆ - -"

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 8 August 2013 - 10:42 #608092
xenatt's picture

เครื่องคอมที่บ้านผมใช้คอมคนเดียวครับ แต่ไม่เคยใช้ บริการจำรหัสผ่านเลย ตั้งแต่จำได้ในยุคแรกๆ ที่ ie เก็บรหัสไว้ใน registry ก็ไม่กล้าให้ web browser ช่วยจำรหัสให้


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: Perl
ContributoriPhoneUbuntu
on 8 August 2013 - 10:45 #608094 Reply to:608092
Perl's picture

ผมไม่เคยให้ IE Remember อะไรเลย ยิ่งยุคสมัยที่พวก Spyware สามารถฝัง Toolbar ลง IE ได้ง่ายๆ

ผมก็ไม่คิดจะใช้งาน IE อีกเลย

By: bangdew
iPhoneWindows PhoneAndroidBlackberry
on 8 August 2013 - 10:46 #608095

คือถ้าเลือกให้จำรหัสผ่านไว้ มีแสดงตรงนี้ผมคิดว่าไม่น่าจะเกี่ยวกับความไม่ใส่ใจนะครับ เพราะถึงไม่มี settings อันนี้ แต่ถ้าให้จำรหัสไว้ยังไงคนอื่นก็เข้ามา log in ได้อยู่ดี ปกติเครื่องผมเองก็ไม่เคยให้มันจำรหัสผ่านอะไรเลย ใส่ใหม่ตลอด

By: neonicus
Android
on 8 August 2013 - 10:58 #608102

ของผมจำเป็นต้องให้มันจำครับ
เพราะผมมีpassword 2ชุดหลัก 8ชุดย่อย แล้วแตกแขนงตามอักษรตัวที่xของแต่ละwebsite,user

By: nessuchan
iPhoneAndroidWindows
on 8 August 2013 - 11:13 #608113
nessuchan's picture

ผมขอร้องล่ะ Chrome อย่าเอามันออกเลย ไอปุ่ม Show Password นี่ช่วยชีวิตผมไว้หลายครั้งละ >.<

By: ตะโร่งโต้ง
WriterAndroidWindows
on 8 August 2013 - 14:38 #608189 Reply to:608113
ตะโร่งโต้ง's picture

จริงมากๆ ครับ


ช่างไฟสมัครเล่น (- -")

By: sunback
Contributor
on 8 August 2013 - 11:16 #608116
sunback's picture

ใช้ Lastpass จ่ะ

By: rukia
iPhone
on 8 August 2013 - 11:19 #608117
rukia's picture

บางทีอาจไม่ต้องกดดูรหัสผ่านในโปรแกรมหรอก ข้างจอก็มีแปะอยู่ 555

By: ammarptn
AndroidUbuntuWindows
on 8 August 2013 - 11:46 #608128

เป็นบัคที่มีปุ่มให้บัคทำงานเสร็จสรรพ นักพัฒนากูเกิ้ลโครมช่างล้ำลึกยิ่งนัก

By: NgOrXz
iPhoneAndroidWindows
on 8 August 2013 - 11:57 #608136
NgOrXz's picture

มันจะเข้าไปตรงนั้นได้มันต้องรู้รหัสผ่าน windows แล้วอะ มัน user error ชัดๆ

By: rulaz07
ContributoriPhoneAndroidBlackberry
on 8 August 2013 - 12:06 #608141

เห็นว่าเป็น User Error เหมือนกัน

By: kswisit
ContributoriPhoneAndroidIn Love
on 8 August 2013 - 12:06 #608142

ผมลืมประจำ พอลืมเมื่อไหร่ก็เข้าไปกด show ดู


^
^
that's just my two cents.

By: Eka-X
ContributoriPhoneAndroidIn Love
on 8 August 2013 - 12:10 #608146

เพราะรู้แบบนี้เลยไม่ให้เบราว์เซอร์ใดๆ เก็บรหัสไว้เลย เก็บทุกอย่างไว้ใน 1password หมด

By: PandaBaka
iPhoneAndroidWindows
on 8 August 2013 - 12:17 #608149
PandaBaka's picture

รหัสผ่านถูกบันทึกไม่เท่าไหร่ เพราะ chrome มัน encrypt password
แต่ไอ้ที่น่าตบคือมันไม่ยอมเปลี่ยน code วิธีการ encrypt password นะสิ
software decrypt พาสของ chrome เพียบ...

เจอไวรัสพวกจับ file client upload "Login Data" ทีจบแห่
แถมทำกันง่ายๆ ซะด้วยสิ -*-)

By: kamthorn
ContributorAndroidUbuntu
on 8 August 2013 - 12:26 #608154

มันเป็นฟีเจอร์ครับ ไม่ใช่บั๊ก

อีกอย่างมันก็ไม่ได้บังคับให้เราต้อง save password ถ้าจะ save แปลว่า user สั่งให้ save เอง

บางเว็บที่ไม่ต้องการให้ user save password ได้ ก็มี attribute นี้ให้ใช้ (พบได้ตามเว็บ ebanking ทั่วไป)

< input type="password" autocomplete="off" />

ไปใช้ net เครื่องคนอื่น หรือร้านเน็ต ถ้ามี chrome หรือ firefox ก็ใช้โหมด Incognito ตลอด ใช้เสร็จก็ปิดทิ้งด้วย

ฝึกที่ตัวเองให้ระมัดระวังความปลอดภัยดีกว่าครับ อย่าหวังพึ่งพาเครื่องมือเลย


-- blog

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 8 August 2013 - 12:37 #608160
Ford AntiTrust's picture

ผมเคยบ่นมานานมากแล้ว และใน forum ของ Chrome ก็มีคนตั้งคำถามเรื่องนี้ แน่นอนว่าทางแก้อย่าง Firefox คือให้มีตั้ง master password เพื่อป้องกันอีกชั้นหนึ่งแทน ซึ่งก็ตอบโทจย์ได้ในระดับที่น่าพอใจ แต่ดูเหมือนทางฝั่ง Chrome ไม่นำพากับการเพิ่ม master password ผมเลยไม่ใช้ระบบ saved password บน Chrome และย้ายมาใช้ LastPass แทน เพราะรองรับการ sync ระกว่าง Browser/Devices และปลอดภัยกว่าเยอะ แถมมีระบบที่รัดกุมกว่า ทั้ง master password และ 2 factor authen อีกด้วย

By: ตะโร่งโต้ง
WriterAndroidWindows
on 8 August 2013 - 14:39 #608190
ตะโร่งโต้ง's picture

อย่างนี้ต้องเรียกว่าเป็น "ช่องโหว่ของฟีเจอร์" สินะคับ?


ช่างไฟสมัครเล่น (- -")

By: heart
ContributoriPhone
on 8 August 2013 - 14:53 #608192
heart's picture

มันไม่ใช่ช่องโหว่ซะทีเดียว

การจดจำรหัสผ่านของเว็ป ต้องเข้าใจว่า ทุกเว็ปในโลก
Chrome ไม่สามารถจดจำรหัสแล้วเข้ารหัสทางเดียวได้เลย ( เช่น เก็บแล้ว MD5 ซะ )

เพราะว่า Chrome ยังมีความจำเป็นต้องเก็บรหัสเป็น text เพียวๆ เนื่องจากเว็ปทุกเว็ปมีมาตรฐานการล็อกอินที่ไม่เหมือนกัน
Chrome จึงทำได้แค่ เอารหัสไป fill ใส่ในช่อง Login From

ถึง Chrome จะไม่แสดงผลรหัส แต่มันก็ต้องเก็บรหัสไว้ที่ใดที่หนึ่งของเครื่อง ในรูปแบบ Text อยู่ดี
ไม่ว่าจะยังไง ถ้าเราจะให้ Browser จดจำรหัสเอาไว้ เราก็ต้องรู้เรื่องนี้ด้วย

การที่จะแก้ไข โดยเอาปุ่ม Show รหัสออกไป ไม่ได้หมายความว่า ความปลอดภัยจะสูงกว่าเดิมมากมายนัก

By: zerocool
ContributoriPhoneAndroid
on 8 August 2013 - 15:47 #608205
zerocool's picture

ทำไมหลายคนโทษ user ทำเหมือนว่าคนที่ไม่รู้ย่อมผิดไปเสียหมด ในวงการนี้คุณอาจจะรู้เยอะกว่าคนอื่นแต่ในทางกลับกันคนอื่นย่อมมีบางเรื่องที่เขารู้ดีกว่าคุณแน่นอน ผมว่ามันไม่แปลกเลยที่หลายคนจะไม่รู้เรื่อง security ขั้นพื้นฐานแบบนี้ คนอีกจำนวนมากที่มีประสบการณ์การท่องเว็บเพียงเล็กน้อยไม่ได้มานั่งเล่นหน้าคอมทุกวันแบบเรา ๆ พอเจออะไรแปลก ๆ โผล่ขึ้นมาก็กดไว้ก่อน บางคนอ่านภาษาอังกฤษไม่ออกก็กด yes กด ok อย่างเดียวก็มี (ในกรณีที่ไปเล่น Chrome เครื่องที่มี UI ภาษาอังกฤษ)

ตอนแรกที่ใช้ Chrome ผมก็งงเหมือนกันว่าเล่นแสดง plain text password กันง่าย ๆ แบบนี้เลยหรือแต่ผมก็ยังใช้ต่อไปเพราะความสะดวกและคอมพิวเตอร์ที่บ้านผมก็ใช้เพียงคนเดียว อย่างไรก็ตามผมว่ามันยังดู "มักง่าย" อยู่เหมือนกัน อาจจะไม่ถึงกับควรเรียกว่าเป็นช่องโหว่แต่ควรเรียกว่าเป็นความมักง่ายของระบบรักษาความปลอดภัยให้กับผู้ใช้ของ Google Chrome มากกว่า


That is the way things are.

By: sunback
Contributor
on 8 August 2013 - 17:04 #608222 Reply to:608205
sunback's picture

บางคนอ่านภาษาอังกฤษไม่ออกก็กด yes กด ok อย่างเดียวก็มี (ในกรณีที่ไปเล่น Chrome เครื่องที่มี UI ภาษาอังกฤษ)

นี่คือความไม่รู้ และไม่ยอมเรียนรู้ (อ่านไม่ออกก็ควรเรียกใครสักคนมาช่วย) การไม่รู้ไม่แปลก แต่แปลกที่ไม่ยอมเรียนรู้

โครมทำให้การล้วงข้อมูลง่ายเป็นความผิดพลาดอย่างหนึ่ง เพราะโครมเขาให้ใช้ในเครื่องส่วนตัว และถ้าเป็นเครื่องสาธารณะโครมมีโหมด "ไม่ระบุตัวตน" ให้อยู่แล้ว (ซึ่งต่อให้คลิกให้จำรหัสไว้ มันก็จะล้างค่าให้อยู่ดี)

ปล.โครมเข้ารหัสพาสเวิร์ดครับ แต่มันก็ยังแฮกง่ายอยู่ดี

By: zerocool
ContributoriPhoneAndroid
on 8 August 2013 - 19:14 #608267 Reply to:608222
zerocool's picture

เรื่อง mode "ไม่ระบุตัวตน" นี่ไม่ต้องพูดถึงหรอกครับ ลองไปสำรวจสุ่มตรวจประชาชนดูว่ามีคนรู้จัก Chrome กี่เปอร์เซ็นต์ก่อนค่อยมาว่ากันดีกว่า จะไปคาดหวังให้คนทั่วไปรู้ลึกรายละเอียด feature ของ program ลึกแบบนั้นคงจะเป็นไปได้ยาก

ไม่ต้องไปมองไกล ลองถามคนเรียนสายศิลป์รุ่นราวคราวเดียวกันจบจากมหาวิทยาลัยมีชื่อเสียงดูก่อนก็ได้ครับว่า "รู้ไหมว่า Chrome มี mode ไม่ระบุตัวตน?" คนใช้คอมพิวเตอร์ทำงานทุกวันบางคนยังไม่รู้เรื่องนี้ก็มีครับ

ผมคิดว่าคนอื่นคงจะไม่สนใจเรื่อง feature ของ browser มากเหมือนคนแถวนี้หรอกครับ ต่างคนต่างหลากหลายอาชีพหน้าที่การงานความสนใจ บางคนก็คงมองว่า browser เอาไว้เล่น internet อย่างเดียวก็พอ เลือกอันที่เร็วที่สุด settings ไม่ต้องไปสนใจ feature ไม่ได้ใช้ เรื่องอื่นในชีวิตที่สำคัญกว่ามีอีกมาก

ผมว่าเรื่องแค่นี้ระดับ Google น่าะจะคิดหาวิธีแก้ไขและทำให้ดีกว่านี้ได้ไม่ยาก แต่การตอบแบบขอไปทีอย่างว่ารู้แต่ไม่คิดจะทำอะไรนี่ฟังแล้วรู้สึกไม่ดีเท่าไรครับ

ปล. ลองดูตัวอย่าง 2 ท่านด้านล่างได้ครับ


That is the way things are.

By: sunback
Contributor
on 8 August 2013 - 19:54 #608274 Reply to:608267
sunback's picture

ถ้ามองว่าปัญหานี้เป็นปัญหาของระบบ ถ้าผมลองเทียบกับกรณีคนเสียเงินเพราะลูกๆ หลานๆ กดมั่วๆ ซื้อพวก In-App Purchases ของแอปเปิล หรือของเพลย์สโตร์

แบบนี้เป็นปัญหาของผู้ใช้หรือปัญหาของแอปเปิล/กูเกิลครับ?

ถ้าเป็นปัญหาของแอปเปิล/กูเกิล ทำไมแอปเปิล/กูเกิล ไม่เตือนผู้ใช้ว่าผูกบัตรแล้วไม่ตั้งค่าอะไรแล้วจะกดซื้อได้อัตโนมัติ
หรือเป็นปัญหาของผู้ใช้ ที่ไม่อ่านหรือเรียนรู้การตั้งค่าอะไรเลย? ซื้อไอแพดมาผูกบัตรแล้วก็จบเลย?

กรณีโครม: ลูกค้าไม่รู้ว่าถ้าเซฟรหัสแล้วจะมองเห็นรหัสผ่านได้?
กรณีแอพเปิลสโตร์/เพลย์สโตร์: ลูกค้าไม่รู้ว่าถ้าไม่ปิด In-App Purchases ใครๆ ก็กดซื้ออะไรในแอพได้?

ย้ำอีกครั้ง ผมไม่ได้ว่าโครมไม่มีปัญหา มันมี แถมเจาะง่ายกว่าใคร แต่มันก็ต้องโทษผู้ใช้ด้วย ไม่ใช่บอกว่าก็ผู้ใช้งานไม่เก่ง ไม่รู้ เป็นที่ซอฟต์แวร์

By: zerocool
ContributoriPhoneAndroid
on 9 August 2013 - 04:51 #608407 Reply to:608274
zerocool's picture

In-app purchase ของ Google เป็นอย่างไรผมไม่รู้นะแต่ของ Apple จะบังคับให้ใส่ password ยืนยันก่อนจ่ายเงินซื้อเสมอ คนที่ไม่รู้ password จะซื้อไม่ได้

เข้าใจอะไรผิดหรือเปล่าครับ ทำไมเอามาเทียบกันได้ ?


That is the way things are.

By: Faln
AndroidBlackberry
on 9 August 2013 - 15:23 #608661 Reply to:608407

ปัญหาท่านแก้ง่ายๆ ด้วยการ "รู้" ครับ

By: wichate
Android
on 9 August 2013 - 00:11 #608346 Reply to:608267

จากคำพูดที่ว่า "เรื่องอื่นในชีวิตที่สำคัญกว่ามีอีกมาก"

แปลว่าเรื่อง password คนไม่สำคัญกับคนพวกนี้หรอกครับ (ชีวิตจริงของคนพวกนี้คงจะแปะ password ไว้ข้าจอคอมนั่นแหละ)

คงไม่ต้องกด setting เข้าไปดู password ให้ยุ่งยากหรอก

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 8 August 2013 - 17:58 #608255 Reply to:608205
PaPaSEK's picture

โดนพื้นฐานแล้ว มันก็ควรคิดได้ว่าถ้าตั้งให้จำ password เอาไว้ ใครมาใช้เครื่องก็เข้าเว็บได้เลย อันนี้ไม่ต้องพึ่งพาความรู้ด้านเทคนิคด้วยครับ

สมมติว่า Google ตั้ง Save Password เป็น default disabled เอาไว้ แล้วดันมีคนไปเปิด (มันเป็นเครื่องสาธารณะ) แบบนี้ต้องโทษใครต่ออ่ะครับ

งดโทษแมวนะครับครับ XD

By: wichate
Android
on 9 August 2013 - 00:04 #608343 Reply to:608205

ผาก password ไว้กับคนอื่นนี่ถ้าไม่โทษ user จะให้ไปโทษใครลาะครับ ถ้าจะบอกว่า user หลายครไม่รู้ หรืออ่านภาษาอังกฤษไม่ออก (ผมไม่อยากจะพูดตรงๆว่าโง่แล้วอยากจะใช้นะครับ)

ปล. ประชาชนทำผิด แล้วอ้างว่าไม่รู้กฎหมายไม่ได้ ฉันใดก็ฉันนั้น

By: sunback
Contributor
on 8 August 2013 - 16:43 #608210
By: mk-
Symbian
on 8 August 2013 - 16:02 #608211
mk-'s picture

มันก็ใช้ง่ายดีนะ เวลาจำพาสเวิร์ดไม่ได้ผมก็มักจะมาเปิดดู เพราะบางกรณีบราวเซอร์จะไม่กรอกพาสเวิร์ดให้
บางกรณีก็ไปใช้เครื่องอื่นหรือบราวเซอร์ตัวอื่น

By: tonhady
Red HatUbuntu
on 8 August 2013 - 16:09 #608213
tonhady's picture

มันมีนานแล้ว งั้นก็ไปเรียกร้องให้ครบทุกค่ายเลยครับงั้นหน่ะ - -

By: nrml
ContributorIn Love
on 8 August 2013 - 16:23 #608218 Reply to:608213
nrml's picture

มันมีนานแล้วแต่ไม่ใช่ว่าทุกคนบนโลกใบนี้จะเห็นและรู้ว่ามันมีอยู่นะครับ

By: wanz9mon
Android
on 8 August 2013 - 16:51 #608229

แค่​ให้​ผู้​อื่น​ใช้​งาน​ user ของ​เรา​ที่​login​ ไว้​มัน​ก็​ไม่​ปลอด​ภัย​แล้ว​ละ​ค่ะ​ ใช้​เครื่อง​สาธารณะ​มัน​ก็​เป็น​สามัญสำนึก​ที่​ต้อง​ไม่​บันทึก​รหัสผ่าน​ ข่าว​ออก​มา​เช่นนี้​ดูจะ​รุนแรง​ไป​หน่อย​นะค่ะ​

By: keen
iPhoneAndroidUbuntu
on 8 August 2013 - 17:57 #608254
keen's picture

ไม่เคยรู้นะนี่ 555

By: SleeperMoNKeY
iPhoneAndroid
on 8 August 2013 - 17:58 #608256

ผมเพิ่งรู้อ่ะ (-__-"

By: PandaBaka
iPhoneAndroidWindows
on 8 August 2013 - 19:24 #608269
PandaBaka's picture

รหัสผ่าน Chrome มันเก็บไว้ที่นี่ C:\Users\\Appdata\Local\Google\Chrome\User Data\Default\Login Data

เป็น sql lite โดดๆ decrypt พาสก็ง่ายมาก google พี่แกโดนเจอะไปเป็นปีแล้วก็ไม่ยอมเปลี่ยน

ถ้าเจอเข้าเว็ปติดไวรัสแฝง spyware แอบ remote กลับขึ้น server ก็จบเห่แล้วครับ user ไม่รู้ตัวแต่โดนไปเรียบร้อยก็สมควรโดนด่าอยู่ เอาจริงๆ น่าจะเป็น browser ที่ระบบความปลอดภัยต่ำสุดแล้วมั้ง -*-)

By: Charin Tapang
ContributorAndroidRed HatUbuntu
on 9 August 2013 - 00:30 #608353 Reply to:608269
Charin Tapang's picture

Firefox รุ่นปัจจุบัน (Firefox 23) ก็โชว์รหัสผ่านได้ครับ ไม่เห็นมีใครบอกว่าเป็นช่องโหว่เลย ทำไมไม่บอกให้หมดทุก Browser เลยหละ กะทำลาย Chrome ชัดๆ


Charin Tapaeng on G+

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 9 August 2013 - 02:26 #608398 Reply to:608353
Ford AntiTrust's picture

เพราะมันเข้าถึงได้ยากกว่า เพราะมี Master Password ในการช่องป้องกันอีกชั้นก่อนเข้าถึงรหัสผ่านจริงๆ

สำหรับ Chrome ที่มีการให้ใช้ Google Account ผูกกับตัว Browser อยู่ ซึ่งไหนๆ ก็ login แล้ว ก็ควรมีข้อกำหนดว่าต้อง login ตัว Google Account ก่อน แล้วถึงจะใช้ save password ได้ แล้วถ้าอยากดูรหัสผ่านนั้น ก็ login ด้วยตัว Google Account ก่อนสักนิด เพื่อยืนยันอีกชั้นนึงก็ยังได้นะ

By: ploysics
ContributorAndroidUbuntuWindows
on 9 August 2013 - 01:17 #608386
ploysics's picture

รหัสผ่านหลายอย่างอยากเซฟไว้กับคอมพิวเตอร์ส่วนตัวของตัวเอง เพราะไม่ได้มีความสำคัญมา ไม่อยากจำเยอะ แต่ก็ไม่อยากให้คนอื่นรู้ แต่บางทีจำเป็นเพื่อนต้องการมาใช้คอมพิวเตอร์เราด่วนๆ เร็วๆ ไม่นาน ก้ต้องยอมให้ใช้ Master Password ของ Firefox จึงตอบโจทย์ความต้องการนี้

ถามว่าถ้าเป็นเหตุในข่าวที่ Chrome ไม่ยอมให้มี Master Password ก็คิดว่าเป็นเหตุผลที่รับได้ แต่มันไม่ตรงกับความต้องการของเรา และคนอื่นอีกหลายคน