Tags:
Node Thumbnail

Wikimedia Foundation ผู้ดูแลเว็บไซต์ Wikipedia และเว็บอื่นๆ ในเครือจำนวนมากประกาศว่าตอนนี้การย้ายเว็บทั้งหมดไปใช้ HTTPS ตั้งแต่ปี 2013 เริ่มเข้ามาถึงช่วงสุดท้าย

นอกจากการเปิด HTTPS แล้ว ทาง Wikimedia จะเปิดใช้ HSTS เพื่อบังคับให้เบราว์เซอร์เข้าเว็บแบบ HTTPS ตลอด

ทาง Wikimedia คาดว่าจะใช้เวลาไม่กี่สัปดาห์เพื่อให้เว็บทั้งหมดบังคับใช้ HTTPS ตอนที่เขียนอยู่นี้ผมทดสอบ th.wikipedia.org พบว่ายังไม่บังคับ แต่ en.wikipedia.org บังคับแล้ว ตอนนี้ถ้าใครเข้าเว็บภาษาอังกฤษก็จะพบว่าเบราว์เซอร์ไม่ส่งข้อมูลที่ไม่เข้ารหัสออกจากเบราว์เซอร์แล้ว

ที่มา - Wikimedia Blog

No Description

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 13 June 2015 - 22:13 #819871
hisoft's picture

ใช้ HSTS กับบังคับ redirect เข้า HTTPS นี่ต่างกันยังไงครับ?

By: mr_tawan
ContributoriPhoneAndroidWindows
on 13 June 2015 - 22:34 #819872 Reply to:819871
mr_tawan's picture

สองตัวนี้น่าจะไม่เกี่ยวกันนะครับ (เท่าที่อ่านใน wikipedia) คือ HSTS มันทำงานบน HTTPS ดังนั้นจะให้มันทำงานได้ก็ต้อง redirect จาก HTTP ไป HTTPS ก่อน อะไรแบบนี้มากกว่า

เท่าที่อ่าน HSTS เป็นการบอก Browser ว่า จากนี้ไปให้ใช้ HTTPS อย่างเดียวเท่านั้นนะ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: hisoft
ContributorWindows PhoneWindows
on 13 June 2015 - 23:01 #819880 Reply to:819872
hisoft's picture

อ้อ ขอบคุณครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 June 2015 - 23:01 #819879 Reply to:819871
lew's picture

redirect ปกติ เมื่อเราพิมพ์เป็น HTTP (หรือไม่ได้ระบุโปรโตคอลด้านหน้า URL) เบราว์เซอร์จะส่งข้อมูลออกไปแบบไม่เข้ารหัส ทำให้คนดักฟังเห็น URL และข้อมูล header อื่นๆ เช่น cookie, User-Agent ซึ่งระบุตัวตนได้ หลังจากนั้นจึงได้ตอบกลับมาว่าให้ไป HTTPS แทน

HSTS จะบังคับว่าหลังจากนี้่เบราว์เซอร์จะจำไว้เสมอว่าเว็บนี้เป็น HTTPS เท่านั้น ต่อให้ผู้ใช้พิมพ์เป็น HTTP เองก็ตามที เบราว์เซอร์จะพยายามเข้า HTTPS อย่างเดียว

ในกรณีที่เป็น HSTS ถ้าใบรับรองเข้ารหัสมีความผิดพลาด เบราว์เซอร์จะไม่ยอมเชื่อมต่อ ไม่ยอมให้กดผ่าน


lewcpe.com, @public_lewcpe

By: hisoft
ContributorWindows PhoneWindows
on 13 June 2015 - 23:03 #819881 Reply to:819879
hisoft's picture

แต่ครั้งแรกสุดถ้าเข้า http มันก็จะยังส่งข้อมูลออกไปบ้างใช่ไหมครับ? แต่ถ้าเป็นแบบนั้นก็น่าจะไม่มี cookie ออกไปด้วย? ขอบคุณครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 June 2015 - 23:05 #819884 Reply to:819881
lew's picture

โดยทั่วไปแล้วครั้งแรก "อาจจะ" เป็น HTTP ครับ แต่ถ้าผู้ใช้เชื่อมต่อครั้งแรกด้วย HTTPS (เช่นคลิกลิงก์มา หรือพิมพ์เอง) ก็จบ

อีกกรณีคือทางเว็บไปร้องขอให้เบราว์เซอร์จำเว็บตัวเองไว้เป็น HSTS Preload List กรณีนั้นก็จะไม่ยอมส่ง HTTP อีกเลย


lewcpe.com, @public_lewcpe

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 June 2015 - 23:03 #819882
lew's picture

ประเด็นสำคัญในบ้านเรา คือหลายหน้าของ Wikipedia ยังถูกบล็อคอยู่ จากนี้ถ้าระบบนี้เต็มรูปแบบก็จะบล็อคไม่ได้แบบเดียวกับ Facebook


lewcpe.com, @public_lewcpe

By: hisoft
ContributorWindows PhoneWindows
on 13 June 2015 - 23:04 #819883 Reply to:819882
hisoft's picture

หวังว่าคงไม่เจอกรณีไปทั้งเว็บแทนนะครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 13 June 2015 - 23:05 #819885 Reply to:819883
lew's picture

เจอ gateway ล่มแทนไงครับ


lewcpe.com, @public_lewcpe

By: SpeedEX
AndroidWindowsIn Love
on 13 June 2015 - 23:42 #819886 Reply to:819885

นึกถึง​เย็นวันนั้นเลยครับ