ควรแจ้งผู้ใช้งานคนอื่นมั้ย หรือควรรอ ถ้ารอต้องรอนานขนาดไหน ผมติดต่อคนดูแลไปแล้วครับ แจ้งแล้วว่าไม่ควรเก็บ plain text แถมตัวเปลี่ยนพาสเวิร์ดใช้ไม่ได้ด้วย
ถ้าเป็นคนที่ใช้พาสเวิร์ดเดียวกับทุกเว็บ แล้วโดนดูดข้อมูลไปนี่จบเลย
ถ้าไม่มั่นใจก็ไม่ต้องเสี่ยงครับ ถ้าจำเป็น ก็สมัครอีเมล์อีกอัน และใช้รหัสผ่านใหม่ไปครับ บางทีผู้ดูแลระบบ ไม่ใช่ คนพัฒนาก็มีเยอะแยะครับ
ในไทยยังไม่มีความชัดเจนเรื่องการตรวจสอบระบบว่ามีความปลอดภัยรึเปล่า
ขอบคุณครับ ประเด็นคือแอคเคาท์ที่สมัครไปแล้วนี่สิ ถ้า DB โดนดูดนี่ออกมาหมดเลยนะครับ ทั้งเมล์ทั้ง password ที่เป็น plain text
ผมลองยิง sql injection ง่ายๆ มั่วๆ ยังออกมาเป็นยวงเลยครับ
ถ้าผมเป็น user แล้วมีคนแจ้งให้ทราบว่าเว็บใดไม่มีการเข้ารหัสนี่ผมจะยินดีเป็นอย่างยิ่งเลย เพราะเคยพลาดไปเผลอใช้พาสเวิร์ดระดับกลางที่ใช้มานานหลายปีกับเว็บที่ไม่น่าเชื่อถือ ขอบคุณ Twitter ที่สมัครทิ้งไว้แต่ไม่เคยใช้ ส่งมาเตือนว่ามีการ log in ที่มีความผิดปกติ เข้าไปเช็คดู โอ้ แม่มใช้ Tor แน่ๆ(แหงล่ะ!) IP แต่ละ session มาจากทั่วโลกเลย สักพัก Etsy ก็ส่งมาเตือน แต่ไม่มีรายละเอียดให้ดูถึงขั้นแบบทวิตเตอร์ ไม่รู้มันเอาไปลอง log in เว็บอะไรอีกบ้าง มีส่งมาแค่สองเว็บนี้ ตามแก้กันปวดหัวเลย เพราะนอกจากแยกพาสเวิร์ดระดับสูงใช้กับตัวอีเมล์กับพวกโซเชียลที่มีข้อมูลส่วนตัวแล้ว ส่วนใหญ่ใช้พาสเวิร์ดระดับกลางตัวเดียวกันนี้เกือบหมด มันเล่นเอาไปล็อกอินซะมัน EA Origin Stream ส่ง 2-way verification มาให้วุ่นเลย
ปล.ที่พลาดเพราะ ปกติเว็บความปลอดภัยต่ำส่วนใหญ่มันจะไม่บังคับ password strength ทำให้ใช้ชุดพาสเวิร์ดระดับต่ำได้ แต่มันดันมีบางเว็บดันบังคับ password strength เลยเผลอไปใช้พาสเวิร์ดระดับกลางซะได้ ประมาทก็พลาดไป
ทุกวันนี้ขนาดแค่เว็บไหนไม่มี https ผมยังตั้งเป็น notsafe/nohttps เตือนไปเลย เพราะถ้าถึงขั้น plain text ก็จะได้รู้กันไป
นี่แหละครับที่น่ากลัว คือคนมันยิงทุกเว็บ แต่ผู้ดูแลมักคิดว่า "ใครจะมาสนใจยิงเว็บกู" แล้วก็ทำเว็บที่มีความปลอดภัยต่ำออกมา
ตอนผมโทรแจ้ง เค้าบอกว่าหลุดก็ไม่เป็นไร ไม่มีข้อมูลทางการเงิน ผมเลยบอกแต่มีอีเมล์กับพาสเวิร์ดนะครับ ถ้าเอาไปเข้าอีเมล์ได้จะสั่งรีเซ็ตพาสเวิร์ดเพย์พาลยังได้เลย
โอ้ แม่เจ้า หวังว่าจะเป็นเว็บดีไซน์ห่วยๆ และไม่มี nohttps นะ ไม่งั้นใครเผลอใช้พาสเวิร์ดหลักนี่มีซวย เพราะที่น่ากลัวกว่าคือเว็บที่ดูน่าเชื่อถือแต่ดันเก็บ plain text
ผมเชื่อว่ามีคนใช้เยอะพอควรนะ ดีไซน์ดีกลางๆ / HTTP ดีว่าส่วนเก็บเงินใช้เป็น service ของธนาคารครับ
ผมว่าถ้าเขาตอบกลับมาประมาณว่า ไม่แก้ไขแน่นอนแบบนี้ ก็น่าจะป่าวประกาศแจ้งเตือนประชาชีได้เลยนะครับ
เค้าบอกว่าจะตรวจสอบดู แต่ผมไม่รู้ว่าเค้าจะตรวจสอบจริงมั้ย
ผมเลยคิดว่ามันคงต้องมี step ของมันรึเปล่า (ไม่แน่ใจ) แบบว่า ขั้นที่ 1 - 2 - 3 อะไรแบบนี้ครับ
ถ้าไม่มั่นใจก็ไม่ต้องเสี่ยงครับ ถ้าจำเป็น ก็สมัครอีเมล์อีกอัน และใช้รหัสผ่านใหม่ไปครับ บางทีผู้ดูแลระบบ ไม่ใช่ คนพัฒนาก็มีเยอะแยะครับ
ในไทยยังไม่มีความชัดเจนเรื่องการตรวจสอบระบบว่ามีความปลอดภัยรึเปล่า
ขอบคุณครับ ประเด็นคือแอคเคาท์ที่สมัครไปแล้วนี่สิ ถ้า DB โดนดูดนี่ออกมาหมดเลยนะครับ ทั้งเมล์ทั้ง password ที่เป็น plain text
ผมลองยิง sql injection ง่ายๆ มั่วๆ ยังออกมาเป็นยวงเลยครับ
ถ้าผมเป็น user แล้วมีคนแจ้งให้ทราบว่าเว็บใดไม่มีการเข้ารหัสนี่ผมจะยินดีเป็นอย่างยิ่งเลย เพราะเคยพลาดไปเผลอใช้พาสเวิร์ดระดับกลางที่ใช้มานานหลายปีกับเว็บที่ไม่น่าเชื่อถือ ขอบคุณ Twitter ที่สมัครทิ้งไว้แต่ไม่เคยใช้ ส่งมาเตือนว่ามีการ
log in ที่มีความผิดปกติ เข้าไปเช็คดู โอ้ แม่มใช้ Tor แน่ๆ(แหงล่ะ!) IP แต่ละ session มาจากทั่วโลกเลย สักพัก Etsy ก็ส่งมาเตือน แต่ไม่มีรายละเอียดให้ดูถึงขั้นแบบทวิตเตอร์ ไม่รู้มันเอาไปลอง log in เว็บอะไรอีกบ้าง มีส่งมาแค่สองเว็บนี้ ตามแก้กันปวดหัวเลย เพราะนอกจากแยกพาสเวิร์ดระดับสูงใช้กับตัวอีเมล์กับพวกโซเชียลที่มีข้อมูลส่วนตัวแล้ว ส่วนใหญ่ใช้พาสเวิร์ดระดับกลางตัวเดียวกันนี้เกือบหมด มันเล่นเอาไปล็อกอินซะมัน EA Origin Stream ส่ง 2-way verification มาให้วุ่นเลย
ปล.ที่พลาดเพราะ ปกติเว็บความปลอดภัยต่ำส่วนใหญ่มันจะไม่บังคับ password strength ทำให้ใช้ชุดพาสเวิร์ดระดับต่ำได้ แต่มันดันมีบางเว็บดันบังคับ password strength เลยเผลอไปใช้พาสเวิร์ดระดับกลางซะได้ ประมาทก็พลาดไป
ทุกวันนี้ขนาดแค่เว็บไหนไม่มี https ผมยังตั้งเป็น notsafe/nohttps เตือนไปเลย เพราะถ้าถึงขั้น plain text ก็จะได้รู้กันไป
นี่แหละครับที่น่ากลัว คือคนมันยิงทุกเว็บ แต่ผู้ดูแลมักคิดว่า "ใครจะมาสนใจยิงเว็บกู" แล้วก็ทำเว็บที่มีความปลอดภัยต่ำออกมา
ตอนผมโทรแจ้ง เค้าบอกว่าหลุดก็ไม่เป็นไร ไม่มีข้อมูลทางการเงิน ผมเลยบอกแต่มีอีเมล์กับพาสเวิร์ดนะครับ ถ้าเอาไปเข้าอีเมล์ได้จะสั่งรีเซ็ตพาสเวิร์ดเพย์พาลยังได้เลย
โอ้ แม่เจ้า หวังว่าจะเป็นเว็บดีไซน์ห่วยๆ และไม่มี nohttps นะ ไม่งั้นใครเผลอใช้พาสเวิร์ดหลักนี่มีซวย เพราะที่น่ากลัวกว่าคือเว็บที่ดูน่าเชื่อถือแต่ดันเก็บ plain text
ผมเชื่อว่ามีคนใช้เยอะพอควรนะ ดีไซน์ดีกลางๆ / HTTP ดีว่าส่วนเก็บเงินใช้เป็น service ของธนาคารครับ
ผมว่าถ้าเขาตอบกลับมาประมาณว่า ไม่แก้ไขแน่นอนแบบนี้ ก็น่าจะป่าวประกาศแจ้งเตือนประชาชีได้เลยนะครับ
เค้าบอกว่าจะตรวจสอบดู แต่ผมไม่รู้ว่าเค้าจะตรวจสอบจริงมั้ย
ผมเลยคิดว่ามันคงต้องมี step ของมันรึเปล่า (ไม่แน่ใจ) แบบว่า ขั้นที่ 1 - 2 - 3 อะไรแบบนี้ครับ