Wikimedia ประกาศเข้าสู่ช่วงสุดท้ายของการบังคับ HTTPS ทั้งหมด จะเสร็จในไม่กี่สัปดาห์ข้างหน้า

By: lew

on 13 June 2015 - 21:54 Tags:

Topics:

Wikipedia

Wikimedia Foundation

HTTPS

Wikimedia Foundation ผู้ดูแลเว็บไซต์ Wikipedia และเว็บอื่นๆ ในเครือจำนวนมากประกาศว่าตอนนี้การย้ายเว็บทั้งหมดไปใช้ HTTPS ตั้งแต่ปี 2013 เริ่มเข้ามาถึงช่วงสุดท้าย

นอกจากการเปิด HTTPS แล้ว ทาง Wikimedia จะเปิดใช้ HSTS เพื่อบังคับให้เบราว์เซอร์เข้าเว็บแบบ HTTPS ตลอด

ทาง Wikimedia คาดว่าจะใช้เวลาไม่กี่สัปดาห์เพื่อให้เว็บทั้งหมดบังคับใช้ HTTPS ตอนที่เขียนอยู่นี้ผมทดสอบ th.wikipedia.org พบว่ายังไม่บังคับ แต่ en.wikipedia.org บังคับแล้ว ตอนนี้ถ้าใครเข้าเว็บภาษาอังกฤษก็จะพบว่าเบราว์เซอร์ไม่ส่งข้อมูลที่ไม่เข้ารหัสออกจากเบราว์เซอร์แล้ว

ที่มา - Wikimedia Blog

Hiring! บริษัทที่น่าสนใจ

Zanroo

We provide marketing technology for better customer experience

AI & Robotics Ventures Co.,Ltd

AI & Robotics Ventures (ARV) is a venture building arm of PTTEP

Tourkrub

Tourkrub.com เราคือ Travel Tech Company ที่ Disrupt วงการทัวร์ต่างประเทศ

Comments

By: hisoft

on 13 June 2015 - 22:13 #819871

ใช้ HSTS กับบังคับ redirect เข้า HTTPS นี่ต่างกันยังไงครับ?

By: mr_tawan

on 13 June 2015 - 22:34 #819872 Reply to:819871

สองตัวนี้น่าจะไม่เกี่ยวกันนะครับ (เท่าที่อ่านใน wikipedia) คือ HSTS มันทำงานบน HTTPS ดังนั้นจะให้มันทำงานได้ก็ต้อง redirect จาก HTTP ไป HTTPS ก่อน อะไรแบบนี้มากกว่า

เท่าที่อ่าน HSTS เป็นการบอก Browser ว่า จากนี้ไปให้ใช้ HTTPS อย่างเดียวเท่านั้นนะ

9tawan.net บล็อกส่วนตัวฮับ

By: hisoft

on 13 June 2015 - 23:01 #819880 Reply to:819872

อ้อ ขอบคุณครับ

By: lew

on 13 June 2015 - 23:01 #819879 Reply to:819871

redirect ปกติ เมื่อเราพิมพ์เป็น HTTP (หรือไม่ได้ระบุโปรโตคอลด้านหน้า URL) เบราว์เซอร์จะส่งข้อมูลออกไปแบบไม่เข้ารหัส ทำให้คนดักฟังเห็น URL และข้อมูล header อื่นๆ เช่น cookie, User-Agent ซึ่งระบุตัวตนได้ หลังจากนั้นจึงได้ตอบกลับมาว่าให้ไป HTTPS แทน

HSTS จะบังคับว่าหลังจากนี้่เบราว์เซอร์จะจำไว้เสมอว่าเว็บนี้เป็น HTTPS เท่านั้น ต่อให้ผู้ใช้พิมพ์เป็น HTTP เองก็ตามที เบราว์เซอร์จะพยายามเข้า HTTPS อย่างเดียว

ในกรณีที่เป็น HSTS ถ้าใบรับรองเข้ารหัสมีความผิดพลาด เบราว์เซอร์จะไม่ยอมเชื่อมต่อ ไม่ยอมให้กดผ่าน

lewcpe.com, @wasonliw

By: hisoft

on 13 June 2015 - 23:03 #819881 Reply to:819879

แต่ครั้งแรกสุดถ้าเข้า http มันก็จะยังส่งข้อมูลออกไปบ้างใช่ไหมครับ? แต่ถ้าเป็นแบบนั้นก็น่าจะไม่มี cookie ออกไปด้วย? ขอบคุณครับ

By: lew

on 13 June 2015 - 23:05 #819884 Reply to:819881

โดยทั่วไปแล้วครั้งแรก "อาจจะ" เป็น HTTP ครับ แต่ถ้าผู้ใช้เชื่อมต่อครั้งแรกด้วย HTTPS (เช่นคลิกลิงก์มา หรือพิมพ์เอง) ก็จบ

อีกกรณีคือทางเว็บไปร้องขอให้เบราว์เซอร์จำเว็บตัวเองไว้เป็น HSTS Preload List กรณีนั้นก็จะไม่ยอมส่ง HTTP อีกเลย

lewcpe.com, @wasonliw

By: lew

on 13 June 2015 - 23:03 #819882

ประเด็นสำคัญในบ้านเรา คือหลายหน้าของ Wikipedia ยังถูกบล็อคอยู่ จากนี้ถ้าระบบนี้เต็มรูปแบบก็จะบล็อคไม่ได้แบบเดียวกับ Facebook

lewcpe.com, @wasonliw

By: hisoft

on 13 June 2015 - 23:04 #819883 Reply to:819882

หวังว่าคงไม่เจอกรณีไปทั้งเว็บแทนนะครับ

By: lew

on 13 June 2015 - 23:05 #819885 Reply to:819883

เจอ gateway ล่มแทนไงครับ

lewcpe.com, @wasonliw

By: SpeedEX

on 13 June 2015 - 23:42 #819886 Reply to:819885

นึกถึงเย็นวันนั้นเลยครับ

Main menu