Tags:
Node Thumbnail

หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง

รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ

สรุปความปลอดภัยบนเว็บที่มีการเปลี่ยนแปลงในช่วงปีที่ผ่านมา?

แต่ก่อนที่เราจะข้ามไปดูผลสำรวจประจำปีนี้ ก็ขอสรุปเหตุการณ์สำคัญๆ ด้านความปลอดภัยบนเว็บ ที่เกิดขึ้นในช่วงปีที่ผ่านมาก่อนครับ

เมื่อเบราว์เซอร์คำนึงถึงผู้ใช้งานที่ไม่เข้าใจเรื่องทางเทคนิคมากขึ้น

หากพูดเรื่องการออกแบบความปลอดภัย ก็คงจะหลีกเลี่ยงประเด็นที่ต้องเลือกระหว่างความปลอดภัยหรือการใช้งาน (security vs usability) ไปไม่ได้ ดังเช่นมีมต่อไปนี้

No Description

รูปที่ 1: สิ่งที่ผู้ใช้รับรู้เมื่อพบเจอหน้าจอเตือนความปลอดภัย -- ภาพจาก reddit

ซึ่งส่วนสำคัญส่วนหนึ่งก็อาจมาจากการออกแบบส่วนติดต่อผู้ใช้ (user interface) ไม่ดีพอ ทำให้เบราเซอร์หลักๆ อย่าง Google Chrome และ Firefox ปรับปรุงส่วนนี้ใหม่โดยแสดงข้อความว่า "ปลอดภัย (secure)" หรือ "ไม่ปลอดภัย (not secure)" ตามท้าย แทนที่จะใช้เพียงรูปกุญแจสีเขียวเพียงอย่างเดียว

No Description

รูปที่ 2: ข้อความแสดงว่าเว็บไซต์ปลอดภัยของ Google Chrome และ Firefox

No Description

รูปที่ 3: ข้อความแสดงว่าเว็บไซต์ไม่ปลอดภัย เนื่องจากมีแบบฟอร์มที่ไม่ได้วิ่งบน HTTPS

อย่างไรก็ตาม ยังมีเว็บไซต์อีกประเภทหนึ่งที่เบราว์เซอร์เตือนว่าไม่ควรเสี่ยงเปิด ถึงแม้ว่าเว็บนั้นจะรองรับ HTTPS ก็ตาม นั่นก็เพราะว่ามีข้อผิดพลาดบางอย่างเกี่ยวกับใบรับรองของเว็บนั้นๆ

No Description

รูปที่ 4: ข้อความแสดงว่าไม่ควรเปิดเว็บไซต์ดังกล่าว เนื่องจากใบรับรองมีข้อผิดพลาด

ระลอกใหม่แห่งความปลอดภัย ใบรับรองต้องใช้ SHA-2

จุดเปลี่ยนแปลงครั้งใหญ่อีกอย่างหนึ่งในปี 2017 นี้ คือการที่เบราว์เซอร์ต่างๆ เลิกเชื่อถือ ใบรับรองที่แฮชด้วยอัลกอริทึม SHA-1 ทั้งหมด โดย Edge/IE เลิกเชื่อถือช้าที่สุดคือเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ในขณะที่ Chrome และ Firefox เลิกเชื่อถือใบรับรองแบบดังกล่าวมานานแล้ว รายละเอียดเพิ่มเติม

ในขณะที่ทำบทสำรวจนี้ ผมไม่พบว่ามีเว็บไซต์ใดที่แฮชใบรับรองแบบ SHA-1 แล้วครับ

บั๊ก Google Chrome ไม่แสดง EV ที่ออกโดย Symantec

จากกรณีที่ Symantec ออกใบรับรองโดยไม่ได้รับอนุญาตเมื่อต้นปีที่ผ่านมา ทาง Google ได้ออกมาตรการลงโทษโดยการลดอายุใบรับรองลง พร้อมทั้งวางแผนว่าจะเลิกแสดงใบรับรองแบบ EV ที่ออกโดย Symantec ในอนาคต แต่ปรากฏว่าผู้ใช้งาน Google Chrome ที่เพิ่งอัพเดทเบราว์เซอร์จำนวนมากกลับมองไม่เห็นใบรับรองแบบ EV ที่ออกโดย Symantec แล้ว ซึ่งก็เป็นเรื่องน่าประหลาดใจพอสมควรเพราะการเปลี่ยนแปลงครั้งนี้ไม่กระทบกับใบรับรองแบบ EV ที่ออกโดย Symantec ทุกใบ หลังจากการไล่หาสาเหตุดังกล่าว กลับพบว่านี่เป็นเพียงบั๊กของ Google Chrome เท่านั้น และทางต้นน้ำได้รับทราบและแก้ไขข้อผิดพลาดนี้ไปแล้ว สิ่งที่ฝั่งผู้ใช้ต้องทำก็มีเพียงแค่นั่งรอการอัพเดทเบราว์เซอร์ตามรอบเท่านั้นครับ

แต่สำหรับบทความตอนนี้ จะขอยึดถือเบราว์เซอร์ตัวอื่นสำหรับการตรวจสอบการแสดงผลใบรับรองแบบ EV ไปก่อน

รูปแบบการรองรับ HTTPS

เรายังแบ่งรูปแบบการรองรับ HTTPS ออกเป็น 6 กลุ่มด้วยกัน โดยมีรายละเอียดดังนี้

  1. ไม่รองรับ ไม่สามารถเข้าเว็บด้วย HTTPS (ไม่ว่าจะพิมพ์ https:// หรือว่าใช้เครื่องมืออย่าง HTTPS Everywhere) เพื่อใช้งานตามจุดประสงค์หลักของเว็บในกลุ่มนั้นได้
  2. รองรับไม่สมบูรณ์ ได้แก่เว็บสามารถเปิดไปยังหน้า HTTPS ได้ แต่เบราว์เซอร์ขึ้นเตือนว่าใบรับรองไม่ปลอดภัย อันอาจเนื่องมาจากใบรับรองหมดอายุ CA หมดความน่าเชื่อถือ ฯลฯ
    No Descriptionรูปที่ 5: เว็บที่ใบรับรองมีปัญหา แต่ยังสามารถกดยินยอมให้เบราว์เซอร์มองข้ามปลอดภัยเพื่อเข้าไปอ่านเนื้อหาได้
  3. รองรับบางส่วน เว็บสามารถเข้าใช้งานได้บางส่วนแต่ไม่สมบูรณ์ เช่น เว็บข่าวสามารถอ่านข้อความข่าวได้ แต่ภาพประกอบอาจไม่ขึ้น หรือเว็บสั่งสินค้าที่ต้องกดยินยอมให้เบราว์เซอร์โหลดสคริปต์ที่ไม่ปลอดภัยเพื่อให้ใช้งานต่อไปได้
    No Descriptionรูปที่ 6: เว็บที่สามารถเข้าหน้า HTTPS เพื่ออ่านเนื้อหาหรือใช้งานตามปรกติได้ แต่อาจพบว่ารูปภาพโหลดไม่ครบ
  4. รองรับแต่ไม่บังคับ เว็บที่สามารถเข้าได้ทั้งจากหน้า HTTP และ HTTPS โดยทั้งสองหน้าสามารถใช้งานได้ทัดเทียมกัน อาจมีความแตกต่างได้บ้างในส่วนที่ไม่ใช่การใช้งานหลักของเว็บ เช่น โฆษณาโหลดไม่ขึ้น
    No Descriptionรูปที่ 7: เว็บที่มีหน้า HTTPS ให้เลือกเข้า แต่ถ้าจะเข้าผ่าน HTTP ก็ย่อมได้
  5. รองรับและบังคับ เว็บประเภทนี้จะสามารถเข้าใช้งานได้ผ่าน HTTPS เพียงอย่างเดียว เมื่อเข้าด้วย HTTP เว็บอาจเปลี่ยนทางให้เป็น HTTPS โดยอัตโนมัติ หรืออาจไม่แสดงผลลัพธ์เลยก็ได้
  6. รองรับและใช้ SSL EV ระดับสูงสุดของการรองรับ HTTPS ที่มี green bar เพื่อแจ้งผู้ใช้ว่ากำลังใช้เว็บจากหน่วยงานที่ระบุจริง โดยทั่วไปนิยมใช้กับเว็บการเงิน ธนาคาร และธุรกิจ แต่เว็บทั่วไปก็สามารถใช้งานได้เช่นกัน หมายเหตุว่าเราจะจัดเว็บให้ในหมวดนี้เมื่อบังคับ HTTPS ควบคู่ไปด้วยเท่านั้น
    No Descriptionรูปที่ 8: แถบสีเขียวบนเบราว์เซอร์ต่างๆ ที่บ่งบอกว่าเว็บดังกล่าวมาจากหน่วยงานที่ระบุจริงๆ

กระบวนการสำรวจ

เช่นเดียวกับปีที่ผ่านมา เราได้แบ่งเว็บไทยออกเป็น 5 หมวด แยกตามประเภทการใช้งาน ซึ่งประกอบไปด้วย

  1. เว็บข้อมูลข่าวสาร ได้แก่เว็บข่าว ดาราบันเทิง และเว็บประชาสัมพันธ์บริษัท จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถอ่านเนื้อหาพร้อมภาพหรือวิดีโอประกอบข่าวได้
  2. เว็บอีคอมเมอร์ซ ได้แก่เว็บที่มีระบบตะกร้าสินค้าให้จับจ่ายออนไลน์ โดยไม่จำเป็นต้องมีช่องทางจ่ายเงินออนไลน์ อันประกอบไปด้วย เว็บซื้อของออนไลน์ ร้านหนังสือออนไลน์ เว็บสั่งอาหารเดลิเวอรี่ ซึ่งจะนับว่าใช้งานได้อย่างสมบูรณ์ก็ต่อเมื่อสามารถค้นหาสินค้า อ่านรายละเอียดสินค้า และเพิ่มสินค้าในตะกร้าได้
  3. เว็บธนาคาร เนื่องจากธนาคารส่วนใหญ่ใช้โดเมนแยกกันระหว่างหน้าข้อมูลกับหน้าธุรกรรมออนไลน์ เราจึงแบ่งแยกย่อยหมวดนี้ลงไปอีก คือ
    1. ข้อมูลธนาคาร สำหรับหน้าเว็บที่แสดงข้อมูลต่างๆ จากทางธนาคาร ใช้เกณฑ์การใช้งานได้สมบูรณ์แบบเดียวกับเว็บข้อมูลข่าวสาร
    2. ธุรกรรมออนไลน์ สำหรับหน้าเว็บที่มีการลงชื่อเข้าสู่ระบบ เพื่อบริหารบัญชีและทำธุรกรรมผ่านอินเทอร์เน็ต อย่างไรก็ตาม ด้วยข้อจำกัดทางด้านจำนวนบัญชีธนาคารที่ผู้สำรวจมี เกณฑ์การใช้งานได้สมบูรณ์จะนับแค่การสังเกตหน้าแรกของเว็บเท่านั้น
  4. เว็บเครือข่ายสังคม ได้แก่เว็บที่เน้นให้เกิดการสนทนากันระหว่างผู้ใช้ด้วยกันเอง จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถโพสต์กระทู้หรือตอบข้อความได้สำเร็จ
  5. เว็บหน่วยงานราชการ ได้แก่เว็บจากทางภาครัฐ เนื่องจากเว็บในหมวดนี้มีการใช้งานที่หลากหลายไม่ซ้ำกัน เช่น เว็บกองสลากฯ สำหรับตรวจหวย เว็บสรรพากรสำหรับยื่นภาษี เราจะจำกัดระดับการใช้งานได้อยู่ที่การโหลดเนื้อหามาได้ครบถ้วนเท่านั้น

ด้านเกณฑ์การเลือกเว็บมาสำรวจ เราวางแนวทางการเลือกไว้ 3 แนวทางด้วยกัน แล้วเอาผลลัพธ์จากทุกแนวทางมารวมกัน เพื่อรับประกันว่าจะได้เว็บไทยที่เป็นที่นิยมในขณะนี้

  • เลือกเว็บที่มีผู้ใช้งานมาเป็นอันดับต้นๆ โดยอิงสถิติจาก Truehits
  • เลือกเว็บจากหน้าแรกๆ เมื่อค้นคำด้วยเสิร์ชเอนจินอย่าง Google, Bing
  • เลือกเว็บที่ถูกอ้างถึงบ่อยบนเครือข่ายสังคมออนไลน์อย่าง Facebook, Twitter

ส่วนที่เปลี่ยนไปตามวันเวลา คือ เราอัพเดทเว็บเบราว์เซอร์ที่ใช้สำรวจให้ตรงตามยุคสมัย ซึ่งมีรายละเอียดดังนี้

  • Google Chrome 57.0.2987.133
  • Internet Explorer 11.953.14393.0
  • Google Chrome Android 57.0.2987.132

ผลการสำรวจ

จากเว็บไทยจำนวน 127 เว็บที่เราทำการสำรวจในระหว่างวันที่ 4-5 เมษายน 2017 ได้ผลออกมาดังนี้ (ไฟล์ข้อมูลตารางโดยละเอียด)

เว็บข้อมูลข่าวสาร

เนื่องจากสื่อยุคเก่าเริ่มไม่ตอบโจทย์ชีวิตออนไลน์ สื่อยุคใหม่จึงเกิดขึ้นเป็นจำนวนมาก ในหมวดนี้เราให้ความสนใจไปที่กลุ่มหนังสือพิมพ์และนิตยสารออนไลน์มากเป็นพิเศษ ซึ่งจะเห็นได้จากจำนวนที่เพิ่มขึ้นอย่างมากนั่นเองครับ

ตารางที่ 1: การรองรับ HTTPS ของเว็บข้อมูลข่าวสาร

No Description

อีคอมเมิร์ซ

นอกจากการเสพสื่อแล้ว การซื้อขายออนไลน์ก็ดูจะเป็นวิถีชีวิตยุคใหม่ที่มาแรงในยุคนี้ เราเพิ่มเว็บอีคอมเมิร์ชเจ้าใหม่ๆ ที่ก้าวเข้ามาแย่งส่วนแบ่งในตลาดจำนวนมาก ไม่ว่าจะเป็นเว็บที่ขายของทั่วไป หรือเว็บขายของเฉพาะทางอย่างอุปกรณ์คอมพิวเตอร์ หนังสือ หรือบริการจัดส่งอาหาร

ย้ำอีกครั้งว่าเกณฑ์การใช้งานได้อย่างสมบูรณ์ของเว็บในหมวดนี้ คือ สามารถค้นหาสินค้า อ่านข้อมูลและภาพประกอบสินค้า และเลือกสินค้าลงตระกร้าได้ ส่วนระบบจ่ายเงินนั้นเราไม่ได้เอามาพิจารณาร่วมด้วยครับ

อนึ่ง เนื่องจาก Ensogo ปิดกิจการในไทยเรียบร้อยแล้ว เราจึงตัดเว็บนี้ออกจากการสำรวจครับ

ตารางที่ 2: การรองรับ HTTPS ของเว็บอีคอมเมิร์ซ

No Description

ธนาคาร

ตารางที่ 3: การรองรับ HTTPS ของเว็บธนาคาร

No Description

จุดที่น่าสังเกต คือ ธนาคาร TISCO ไม่ได้แยกโดเมนของหน้าเว็บข้อมูลกับหน้าเว็บธุรกรรมออกจากกันดั่งเช่นธนาคารอื่นๆ ซึ่งในแง่หนึ่งก็ถือว่าเป็นเรื่องน่าชื่นชมเพราะทำให้ลูกค้าธนาคารไม่สับสนกับโดเมนอันมากมายหลากหลายที่มี อย่างไรก็ตามธนาคารดังกล่าวไม่ได้ใช้ใบรับรองแบบ EV เหมือนเจ้าอื่นครับ

เครือข่ายสังคม

น่าเสียดายว่าเว็บเครือข่ายสังคมของไทยดูเหมือนผ่านยุครุ่งโรจน์ไปแล้ว อาจเป็นเพราะการเข้ามาของเว็บอย่าง Facebook และ Instagram ที่ตอบโจทย์เกือบทั้งหมดของผู้ใช้ไปเรียบร้อยแล้ว ทำให้เราไม่สามารถเสาะหาเว็บที่เข้าข่ายมาเพิ่มในหมวดนี้ได้เยอะเท่าไรครับ

ตารางที่ 4: การรองรับ HTTPS ของเว็บเครือข่ายสังคม

No Description

หน่วยงานรัฐ

ตารางที่ 5: การรองรับ HTTPS ของเว็บหน่วยงานรัฐ

No Description

บทสรุป

No Description

รูปที่ 9: เปอร์เซ็นต์การรองรับ HTTPS แยกตามประเภทเว็บ

จากรูปที่ 9 ซึ่งแสดงถึงข้อมูลการรองรับ HTTPS ของเว็บทั้งหมดที่สำรวจในปี 2017 นี้ เราจะเห็นได้ชัดว่าเว็บกลุ่มที่ยังไม่รองรับ HTTPS เป็นปริมาณมาก ได้แก่กลุ่มหน่วยงานรัฐ เว็บข่าว และเว็บข้อมูลธนาคาร

สำหรับเว็บกลุ่มหน่วยงานรัฐ แม้จะน่าเป็นห่วงเพราะว่าเป็นเว็บที่ควรต้องสร้างความน่าเชื่อถือให้แก่ผู้ใช้งานมากที่สุด แต่ก็เข้าใจได้ว่าการปรับตัวของหน่วยงานรัฐนั้นมีความหนืดสูงกว่าหน่วยงานเอกชนหรือหน่วยงานอิสระ อนึ่ง หากดูไล่เป็นรายเว็บไปโดยนำข้อมูลเปรียบเทียบกับปีก่อน ก็อาจนับว่าเว็บกลุ่มนี้มีพัฒนาการที่น่าสนใจเลยทีเดียว

ด้านข้อมูลข่าวสารนั้น ก็มีพัฒนาการรายเว็บเทียบกับปีก่อนเป็นอย่างดีเช่นกัน และด้วยธรรมชาติของเว็บเหล่านี้ที่เน้นการเผยแพร่ข้อมูลเป็นหลัก ไม่ได้มุ่งสร้างเครือข่ายสังคมที่ให้สมาชิกมาโต้ตอบกัน การใช้ HTTP เพื่อเผยแพร่ข้อมูลอาจนับว่าเป็นเรื่องที่ยอมรับได้

ส่วนที่น่าเสียดายมากที่สุดคงหนีไม่พ้นกลุ่มเว็บข้อมูลธนาคาร ทั้งที่ภายในหน่วยงานสามารถสร้างเว็บที่มีความปลอดภัยสูงให้ผู้ใช้เชื่อใจและทำธุรกรรมทางการเงินได้ แต่กลับปล่อยให้หน้าเว็บข้อมูลให้ขึ้นเตือนว่าไม่ปลอดภัย ทิ้งใบรับรองแบบ EV ให้อยู่เพียงแค่หน้าธุรกรรมเท่านั้น

อย่างไรก็ตาม เมื่อเปรียบเทียบกับการสำรวจในปี 2016 ที่ผ่านมา จะพบว่าเว็บส่วนมากมีระดับการจัดกลุ่มที่ดีขึ้น จะมีเพียงบางเว็บที่ลืมต่ออายุใบรับรอง หรือย้ายโดเมนแล้วไม่ได้ขอใบรับรองใหม่เท่านั้นที่มีคะแนนต่ำลง หวังว่าการสำรวจครั้งนี้จะกระตุ้นให้คนทำเว็บหลายๆ คนหันมาสนใจเรื่องความปลอดภัยกันมากขึ้นครับ

Get latest news from Blognone

Comments

By: nextplease
Android
on 5 April 2017 - 12:53 #978571

น่าจะใส่เดือนผิดนะครับ

ผลการสำรวจ

จากเว็บไทยจำนวน 127 เว็บที่เราทำการสำรวจในระหว่างค่ำคืนจนถึงรุ่งสางของวันที่ 4-5 มิถุนายน 2017 ได้ผลออกมาดังนี้ (ไฟล์ข้อมูลตารางโดยละเอียด)

By: neizod
ContributorTraineeIn Love
on 5 April 2017 - 16:53 #978620 Reply to:978571
neizod's picture

เบลอครับ แก้เรียบร้อย

By: icez
ContributoriPhoneAndroidRed Hat
on 5 April 2017 - 13:19 #978576

กลุ่ม ecommerce เกือบทั้งหมด ที่รายงานเป็นกลุ่ม 1 มีปัญหาทั้งหมดเลยครับ

  • lazada เข้าใช้งานผ่าน https ได้นะครับ + ไม่ได้บังคับ https แค่ zone ข้อมูล แต่พอเข้าตะกร้าสินค้า หรือระบบสมาชิกไปก็ผ่าน https ทั้งหมด ควรจะอยู่ในกลุ่ม 3 เป็นอย่างน้อย
  • itruemart redirect ไป www.wemall.com, tops, central, powerbuy รองรับ https ได้เหมือนกับ lazada (ระบบสมาชิก / payment วิ่งผ่าน https บนโดเมนเดียวกัน) ก็ควรจะอยู่กลุ่มเดียวกัน ถึงแม้ว่าเข้าหน้า content แล้วจะโดนดีดกลับไป http แต่ติดตั้ง cert ถูกต้อง ไม่มีแจ้งเตือน ssl error ก็ไม่ควรจะถูกจัดอยู่ในกลุ่ม 1 คัรบ
By: icez
ContributoriPhoneAndroidRed Hat
on 5 April 2017 - 13:23 #978580 Reply to:978576

ถ้าดูจากเงื่อนไขของแต่ละกลุ่ม

  1. ไม่รองรับเลย ไม่สามารถเข้าด้วย HTTPS ได้เลย ไม่ว่าจะเป็นการพิมพ์โพรโทคอล https:// ไว้ที่หน้าชื่อเว็บโดยตรง หรือว่าใช้เครื่องมือบังคับ SSL เช่น HTTPS Everywhere
  2. รองรับไม่สมบูรณ์ ได้แก่เว็บสามารถเปิดไปยังหน้า HTTPS ได้ แต่เบราว์เซอร์ขึ้นเตือนว่าใบรับรองไม่ปลอดภัย อันอาจเนื่องมาจากใบรับรองหมดอายุ CA หมดความน่าเชื่อถือ ฯลฯ

ทั้งสองข้อนี้ เว็บ lazada, itruemart, wemall, tops, central, powerbuy ไม่มีเว็บไหนควรถูกจัดอยู่ในกลุ่ม 1,2 เลยนะครับ เพราะ "เข้าผ่าน https ได้", "browser ไม่ขึ้นเตือนว่า cert ไม่ปลอดภัย" แค่โดน redirect กลับ http แค่นั้นเอง

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 April 2017 - 16:01 #978612 Reply to:978580
lew's picture

เข้าแล้วโดน redirect ออกนี่ผมไม่คิดว่ามันคือ "เข้าด้วย HTTPS" ได้นะ ถ้าอ่านแล้วมองว่าเข้าได้คงต้องปรับนิยามให้ชัด ก็น่าจะเสนอได้


lewcpe.com, @public_lewcpe

By: neizod
ContributorTraineeIn Love
on 5 April 2017 - 17:25 #978626 Reply to:978580
neizod's picture

รวบตอบของคุณ icez และ lancaster ไว้ตรงนี้นะครับ

  • lazada อันนี้ผมพลาดเองครับ ตอนแรกเห็นว่ามีแค่หน้าแรกเท่านั้นที่รองรับ https แต่พอกดเปลี่ยนหน้าไปที่อื่นแล้วก็เด้งกลับเป็น http ตลอด และหน้าแสดงสินสินค้าหลายชิ้นสามารถกดเพิ่มสินค้าได้ก็เป็น http หากจะบังคับ https ให้ได้ต้องกดเข้าไปดูสินค้าชนิดนั้นแบบเดี่ยวๆ ผมแก้กลุ่มให้แล้วนะครับ
  • แก้ url ที่ redirect แล้วครับ
  • กลุ่ม "ไม่รองรับ" ผมคิดว่าผมใช้คำกำกวมไปจนทำให้คิดว่าเว็บเหล่านี้ไม่สามารถเข้าหน้า https ได้เลย ผมได้แก้นิยามแล้วว่าเป็นเว็บที่ไม่สามารถเข้าหน้า https ไปเพื่อใช้งานตามจุดประสงค์หลักของเว็บนั้นๆ ได้ครับ
  • เว็บ wemall, tops, central, powerbuy ผมไม่สามารถเข้า https ได้เลยยกเว้นหน้า login และหน้าจ่ายเงิน ซึ่งอยู่นอกเกณฑ์การสำรวจไปครับ (เว็บกลุ่มนี้ดูแค่การค้นหาสินค้า/อ่านรายละเอียด/เพิ่มสินค้าลงตระกร้าได้) ตรงนี้ผมจัดกลุ่มแบบเดิมคือ "ไม่รองรับ" นะครับ
By: lancaster
ContributoriPhoneAndroid
on 7 April 2017 - 14:19 #978927 Reply to:978626
lancaster's picture

ผมกลับมองว่าถ้าจะตรวจสอบในมุมมองว่าครบ flow อันนี้ก็ควรจะต้องตรวจในส่วน cart + login + order ด้วยนะครับ อย่างน้อยในส่วนที่สำคัญนั้นก็เป็น https คงต้องหาทางเพิ่มคำอธิบายให้ชัดเจนกว่านี้

หรือไม่ก็อาจจะต้องระบุให้ชัดเลยว่า จะตรวจสอบแค่หน้าดูสินค้า เพราะไม่งั้นมันจะกลายเป็นการ mislead ว่าเว็บพวกนี้ถ้าสั่งสินค้าแล้วอาจจะโดนขโมยเลขบัตรเพราะไม่รองรับ https (พอดีมีคนเข้าแบบนี้จริงๆ ครับ ผมโดนเพื่อนถามมาหลายคน)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 7 April 2017 - 16:25 #978973 Reply to:978927
lew's picture

เว็บที่สลับไปมาระหว่าง http/https จนผู้ใช้ชินและไม่รู้ตัวว่าจะสลับตอนไหน

ถ้าลูกค้าโดนขโมยเลขบัตรเครดิตจริงๆ เพราะถูกดัก, ถูก inject javascript, ถูกแก้ฟอร์ม, ฯลฯ ลูกค้าจะรู้ตัว?

เพื่อนที่ถามมาหลายคน ถามว่ามีใครแน่ใจบ้างว่า ณ ตอนที่ใส่เลขบัตรเครดิตได้ดูว่าเป็น https? แม้แต่โดนเมนเว็บ ณ ตอนที่กรอกเลขถูก redirect ไปไหนผมก็ยังเชื่อว่าคนที่ถามไม่มีใครแน่ใจจริงๆ

เราคงไม่บอกผู้ใช้ว่าการดูแลความปลอดภัยตัวเองให้สังเกตเสมอว่าตอนที่กำลัง checkout แล้วให้สังเกตว่าเป็น https://www.hi-value-e-commerce.com/cart/checkout แล้วสังเกต ณ ตอนนั้นว่าเป็น https จริงๆ


lewcpe.com, @public_lewcpe

By: lancaster
ContributoriPhoneAndroid
on 5 April 2017 - 13:18 #978577
lancaster's picture

พวกเว็บ ecommerce ที่ในรายงานเขียนว่าอยู่ใน "กลุ่ม 1 ไม่รองรับ https" จริงๆ แล้วพอกด order หรือเข้าส่วน payment จะรองรับถูกต้องหมดเลยนะครับ เพียงแต่หน้าแรกกับหน้าดูสินค้าจะถุก redirect เข้า http เฉยๆ

ซึ่งถ้าเทียบกับเว็บที่อยู่ใน "กลุ่ม 3 รองรับบางส่วน" แต่พอเข้าไปแล้วเจอ css/js พังทั้งหน้า ผมว่ามันแปลกๆอยู่นะครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 April 2017 - 15:53 #978611 Reply to:978577
lew's picture

ถ้านับตามฟังก์ชั่นการทำงานหลักของเว็บ เว็บข่าวที่พ้งๆ ก็ยังอ่านเนื้อหาได้นะ (ถ้าอ่านไม่ได้ก็ควรหลุดกลุ่ม 3) แต่ ecommerce ถ้าไม่รับตั้งแต่หน้าสั่งสินค้า แสดงว่าผู้ใช้ไม่สามารถสั่งสินค้าโดยใช้ HTTPS ตลอดกระบวนการได้เลย


lewcpe.com, @public_lewcpe

By: Architec
ContributorWindows PhoneAndroidWindows
on 5 April 2017 - 13:23 #978579
Architec's picture

ไม่เข้าใจ ทำไม Chrome ถึงไม่แสดง Certificate Chain เหมือนเวอร์ชั่นก่อนหน้า?

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 5 April 2017 - 13:39 #978582 Reply to:978579
Ford AntiTrust's picture

Chain น่าจะแสดงตามปรกติครับ แต่ว่ามันเข้าถึงยากขึ้น ซึ่งก็หงุดหงิดเหมือนกันว่าทำไมต้องท่าเยอะขนาดนั้น

No Description

By: lancaster
ContributoriPhoneAndroid
on 5 April 2017 - 13:40 #978583 Reply to:978582
lancaster's picture

วันหมดอายุด้วยครับ จะดูแต่ละทีนี่ลำบากชิบ T_T

By: icez
ContributoriPhoneAndroidRed Hat
on 5 April 2017 - 13:26 #978581

เว็บหน่วยงานรัฐ อยากให้เพิ่ม 2 เว็บนี้ด้วยครับ

  • www.etda.or.th - กลุ่ม 5 รองรับ บังคับ https ไม่ใช่ ev
  • www.nrca.go.th - กลุ่ม 1 ไม่รองรับ เชื่อมต่อ https ไม่ได้ (ทั้งๆ ที่เป็นเว็บของ ROOT CA แท้ๆ)
By: -Rookies-
ContributorAndroidWindowsIn Love
on 5 April 2017 - 14:41 #978593 Reply to:978581

จะฮาหรือน้ำตาไหลดีเนี่ย


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: neizod
ContributorTraineeIn Love
on 5 April 2017 - 17:25 #978627 Reply to:978581
neizod's picture

เพิ่มให้แล้วครับ

By: TeamKiller
ContributoriPhone
on 5 April 2017 - 15:32 #978603
TeamKiller's picture

หน้าตรวจสอบพัสดุ EMS มี https แต่ self signed

https://track.thailandpost.co.th

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 5 April 2017 - 18:31 #978637
Ford AntiTrust's picture

เพิ่มเติมผลทดสอบด้วย https://www.ssllabs.com/ssltest หรือ https://www.htbridge.com/ssl/ ก็ดีนะ น่าจะทำให้เห็นการติดตั้ง https ข้างต้นนั้นมีจุดโหว่อะไรบ้างหรือเปล่า

By: neizod
ContributorTraineeIn Love
on 5 April 2017 - 21:01 #978646 Reply to:978637
neizod's picture

ทดสอบกดไปเว็บนึงแล้ว คำนวณช้าเหมือนกันแฮะ แต่น่าสนใจดีครับ ไว้รอบหน้าจะลองดู

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 April 2017 - 21:18 #978649 Reply to:978637
lew's picture

รายงานคงสำรวจว่าใช้งานได้หรือไม่ได้ไปก่อนครับ เอาที่ end-user เห็นๆ ก่อนเลย

ส่วนระดับความหนาแน่น โดยส่วนตัวถ้าไม่ใช่เว็บธนาคาร หรือเว็บธุรกรรมมูลค่าสูงๆ (หุ้น, ประกัน, e-commerce) ให้เวลาปรับตัวอีกสักพัก น่าจะพอไหว


lewcpe.com, @public_lewcpe

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 6 April 2017 - 18:00 #978782 Reply to:978649
Ford AntiTrust's picture

+1

By: KuLiKo
iPhoneWindows PhoneAndroidWindows
on 6 April 2017 - 00:16 #978670

ขอบคุณสำหรับบทความครับ

By: LazarusSP1
ContributoriPhone
on 6 April 2017 - 17:02 #978774
LazarusSP1's picture

ในยุครัฐบาลทหาร น่าจะมีเทียบเว็บไซต์ ทั้ง 4 เหล่าทัพ ด้วยนะครับ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 8 April 2017 - 23:09 #979115
mr_tawan's picture

เมื่อวันก่อนได้คุยกับคนของ Tencent เขาว่าเร็ว ๆ นี้จะมีการปรับเปลี่ยนหน้าเวป sanook.com ครั้งใหญ่ อาจจะต้องมาดูกันอีกทีว่าเขาจะทำ https ด้วยหรือเปล่า


  • 9tawan.net บล็อกส่วนตัวฮับ