Tags:
Node Thumbnail

เมื่อเดือนมีนาคมรัฐบาลโอบามาประกาศแนวทางให้เว็บของหน่วยงานรัฐบาลกลางทั้งหมดต้องเป็น HTTPS ภายในสองปีโดยนำร่างแนวทางการอัพเกรดขึ้น GitHub เพื่อให้ประชาชนส่งข้อเสนอเข้ามา ตอนนี้ร่างทั้งหมดก็ลงถึงช่วงใช้งานจริง โดย Tony Scott CIO ของรัฐบาลกลางได้ลงนามเป็นบันทึกถึงผู้บริหารของหน่วยงานภายใต้รัฐบาลกลางทั้งหมดให้เตรียมอัพเกรดไปใช้ HTTPS ภายในสิ้นปี 2016

หลักการของร่างประกาศนี้ไม่เปลี่ยนไปจากเมื่อเดือนมีนาคมนัก เว็บรัฐบาลยังคงแบ่งออกเป็นสี่ระดับ ได้แก่ เว็บสร้างใหม่ต้องเป็น HTTPS เท่านั้น, เว็บเดิมที่มีข้อมูลส่วนตัวต้องให้ความสำคัญก่อน, เว็บที่เหลือจะมีเวลาถึง 31 ธันวาคม 2016, และยกเว้นให้กับเว็บในอินทราเน็ต

Tags:
Node Thumbnail

ส่วนประกอบที่สำคัญสำหรับ SSL นั้นมีสองส่วนหลักๆ คือ กุญแจสาธารณะ และลายเซ็นดิจิทัล ซึ่งในปัจจุบันนิยมใช้ค่าแฮชของ SHA-1 มาเข้ารหัสด้วยกุญแจ RSA จาก CA (Certificate Authority) จึงจะได้ลายเซ็นดิจิทัลออกมา

หลังจากที่ Google ประกาศนโยบายให้ SHA-1 ไม่ปลอดภัยตั้งแต่ต้นปี 2015 เป็นต้นไป

รวมถึงข่าวเก่าได้ระบุว่า SHA-1 นั้น เริ่มไม่ปลอดภัยมากขึ้นตามเทคโนโลยีที่ก้าวกระโดด

Tags:
Node Thumbnail

ทีมวิจัยจากมหาวิทยาลัยหลายแห่งและไมโครซอฟท์ประกาศช่องโหว่ของ TLS ที่ชื่อว่า Logjam สามารถเจาะการเชื่อมต่อทำให้การเชื่อมต่อไปใช้มาตรฐานการเชื่อมต่อ Diffie-Hellman ขนาด 512 บิต หรือ DHE_EXPORT และสามารถถอดรหัสได้โดยง่าย

Tags:
Node Thumbnail

มอซิลล่าผู้พัฒนาเบราว์เซอร์ไฟร์ฟอกซ์ประกาศแผนการกดดันให้เว็บเลิกใช้งาน HTTP ที่ไม่เข้ารหัส โดยแบ่งแผนการออกมาเป็นสองลำดับ

  1. เมื่อถึงวันที่กำหนด ฟีเจอร์ใหม่ๆ ทั้งหมด ไม่ว่าจะเป็นฟีเจอร์ใดๆ จะไม่ทำงานบนเว็บ HTTP อีกต่อไป
  2. ค่อยๆ ปิดฟีเจอร์เดิมที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ออกไปจากเว็บที่ไม่เข้ารหัส

แนวทางนี้ยังคงเป็นกรอบกว้างๆ ที่สำคัญคือยังไม่มีการกำหนดวันที่ตัดฟีเจอร์ใหม่ออกจากเว็บ HTTP และยังต้องนิยามฟีเจอร์ใหม่ที่เว็บ HTTP จะใช้งานไม่ได้ให้ชัดเจน ฟีเจอร์ที่อาจจะใช้งานไม่ได้ เช่น การเข้าถึงฮาร์ดแวร์ด้วย API ใหม่ๆ

Tags:
Node Thumbnail

ที่งาน RSA Conference วันนี้ Will Dormann นักวิจัยจาก CERT ที่มหาวิทยาลัย Carnegie Mellon รายงานถึงช่องโหว่การตรวจสอบใบรับรอง SSL ที่มีแอพจำนวนมากเขียนโค้ดอย่างหละหลวม ทำให้ตัวแอพไม่ตรวจสอบใบรับรองทำให้แฮกเกอร์สามารถดักฟังแบบ man-in-the-middle ได้

Dormann ระบุว่าทาง CERT ตรวจสอบแอพกว่าล้านรายการเมื่อต้นปีที่ผ่านมา และพบแอพที่มีช่องโหว่นี้มากถึง 23,667 แอพ ทางทีมงานได้ส่งอีเมลไปแจ้งผู้พัฒนา เกือบทั้งหมดไม่มีการตอบกลับใดๆ บางส่วนแสดงท่าทีว่าอีเมลแจ้งเตือนเป็นเรื่องแย่ มีอีเมลตอบกลับพร้อมแจ้งการแก้ปัญหาเพียง 0.1% เท่านั้น

Tags:
Node Thumbnail

กูเกิลประกาศเดินหน้าผลักดันบริการของตัวเองเป็น HTTPS ทั้งหมด และล่าสุดเป็นคิวของผลิตภัณฑ์สายโฆษณาแล้ว

  • โฆษณาของ YouTube เป็น HTTPS เรียบร้อยแล้วตั้งแต่ปลายปี 2014
  • กูเกิลกำลังผลักให้โฆษณาในระบบ search ถูกเข้ารหัสผ่าน HTTPS อยู่
  • โฆษณาในกลุ่ม Google Display Network, AdMob (มือถือ) และ DoubleClick จะถูกเข้ารหัส HTTPS ภายในวันที่ 30 มิถุนายน 2015
  • ผู้ลงโฆษณากลุ่ม AdWords จะสามารถเลือกแสดงโฆษณาเป็น HTTPS บนเว็บที่รองรับ HTTPS ได้เองแล้ว

ที่มา - Inside AdWords

Tags:
Node Thumbnail

Chrome 43 เข้าสู่สถานะเบต้า ทีมงานก็ออกมาประกาศว่าฟีเจอร์อะไรที่เราจะได้เห็นกันในรุ่นนี้

ฟีเจอร์สำคัญสำหรับเว็บที่ต้องการอัพเกรดเป็น HTTPS แต่กลับมีโค้ดเก่าๆ ฝัง URL ภาพหรือ CSS ไว้เป็น HTTP ทำให้เว็บไม่สมบูรณ์ ตอนนี้จะมีทางออกด้วยฟีเจอร์ upgrade-insecure-resources หากไฟล์เดิมเป็น HTTP อยู่ก็จะอัพเกรดมาเป็น HTTPS ให้เอง

ฟีเจอร์อื่นๆ ได้แก่

Tags:
Node Thumbnail

เหตุการณ์ CNNIC ออกใบรับรองให้กับ MCS Holdings นำไปออกใบรับรองของโดเมนอื่นๆ โดยไม่ได้รับอนุญาต ทำให้ทางกูเกิลและมอสซิลล่าประกาศถอด CNNIC ออกจากรายชื่อหน่วยงานรับรองที่เชื่อถือได้ และบังคับให้ CNNIC ต้องยื่นเรื่องสมัครเข้ามาใหม่พร้อมกับยอมรับเงื่อนไขเพิ่มเติม แต่ท่าทีของแอปเปิลและไมโครซอฟท์ตอนนี้ยังคงยอมรับ CNNIC ต่อไป

Tags:
Node Thumbnail

Firefox 37 เตรียมรองรับมาตรฐาน HTTP/2 มีฟีเจอร์หนึ่งเพิ่มเข้ามาสำหรับเซิร์ฟเวอร์ทั่วไป คือ opportunistic encryption (OE) เป็นการเข้ารหัสจากใบรับรองแบบรับรองตนเอง (self-signed) ที่แม้ว่าจะไม่ได้ช่วยยืนยันว่าเรากำลังเชื่อมต่อกับเซิร์ฟเวอร์อยู่จริง แต่ก็ป้องกันการดักฟังปกติที่ไม่ได้คั่นกลางการเชื่อมต่อ

เซิร์ฟเวอร์ที่รองรับมาตรฐานนี้จะต้องเป็นเซิร์ฟเวอร์ HTTP/2 และคอนฟิกให้รองรับการเชื่อมต่อแบบเข้ารหัสที่พอร์ต 443 โดยใช้ใบรับรองอะไรก็ได้ แม้แต่ใบรับรองแบบรับรองตัวเอง จากนั้นเพิ่มฟิลด์ Alt-Svc: h2=":443" เข้าไปใน HTTP header ของการเชื่อมต่อพอร์ต 80 ธรรมดา

Tags:
Node Thumbnail

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

Tags:
Node Thumbnail

Qualys ผู้ให้บริการ SSL Labs เปิดซอร์สโค้ดของโปรแกรม ssllabs-scan เพื่อให้ผู้ดูแลระบบสามารถเข้าถึง API ของ SSL Labs ได้ผ่าน command-line ทำให้ตั้งช่วงเวลาให้ตรวจสอบเซิร์ฟเวอร์เป็นระยะ และรายงานผลเป็นไฟล์ JSON ได้

ก่อนหน้านี้ Qualys เปิดหน้าเว็บ SSL Pulse แล้วตั้งการสแกนเว็บไซต์ประมาณ 200,000 เว็บแรกบนรายการ Alexa เพื่อรายงานสถานการณ์การคอนฟิก SSL อย่างถูกต้อง รายงานฉบับล่าสุดของเดือนนี้มีเว็บไซต์ที่คอนฟิกอย่างปลอดภัย (เกรด A- ขึ้นไป) อยู่ที่ 18.2% เท่านั้น

Tags:
Node Thumbnail

รัฐบาลโอบามาเปิดข้อเสนอบังคับให้เว็บไซต์รัฐบาลกลางทั้งหมดจะต้องเปลี่ยนไปใช้ HTTPS เท่านั้น ทางรัฐบาลเปิดรับฟังความคิดเห็นต่อข้อเสนอนี้ในช่วงแรกภายในวันที่ 31 มีนาคมนี้

ข้อเสนอนี้จะบังคับเว็บไซต์ของรัฐบาลกลาง ดังนี้

Tags:
Node Thumbnail

live.fi เว็บหนึ่งของไมโครซอฟท์ถูกจดทะเบียนขอใบรับรอง SSL จากทาง Comodo ผู้ให้บริการรับรองเว็บรายใหญ่ ตอนนี้ทางไมโครซอฟท์รับทราบปัญหานี้แล้วและกำลังออกอัพเดตเพื่อบล็อคใบรับรองนี้อยู่ ทางฝั่ง Comodo เองประกาศยกเลิกใบรับรองนี้แล้ว

สำหรับ Windows 8, Windows Server 2012, และ Windows Phone 8 กระบวนการอัพเดตจะทำโดยอัตโนมัติ (ถ้าไม่ได้ไปปิดไว้) แต่สำหรับ Windows 7 และ Windows Server 2008 ต้องดาวน์โหลดตัวอัพเดตใบรับรองมาติดตั้งเองก่อน

Tags:
Node Thumbnail

The Pirate Bay (TPB) เว็บรวบรวม magnet link ขนาดใหญ่ถูกบุกยึดเซิร์ฟเวอร์และถูกบล็อคไปหลายครั้งในหลายประเทศแต่ก็กลับมาเปิดได้เรื่อยๆ ล่าสุดทาง TPB ก็ปรับใช้ให้บริการผ่าน CloudFlare และเปิดบริการ HTTPS เข้ารหัสการเชื่อมต่อทั้งหมดเป็นมาตรฐานแล้ว

ผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักรที่ก่อนหน้านี้เคยบล็อค TPB ตอนนี้ก็กลับเข้าได้ทั้งหมด ที่ยืนยันแล้ว เช่น Virgin Media, TalkTak,BT, BT, และ EE ยกเว้นเพียง Sky ที่ยังสามารถบล็อคได้อยู่

Virgin Media ระบุว่าได้ทำตามคำสั่งศาลให้บล็อคแล้ว แต่ไม่ได้ให้ข้อมูลเพิ่มเติมว่าคำสั่งนั้นระบุเป็นไอพีเท่านั้นหรืออย่างไร

Tags:
Node Thumbnail

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่าระบบปฏิบัติการวินโดวส์ทุกรุ่นก็มีช่องโหว่ลักษณะนี้เช่นกัน

อย่างไรก็ตาม ช่องโหว่นี้จะใช้งานได้ต่อเมื่อวินโดวส์เปิดใช้งานฟีเจอร์ RSA key exchange export ciphers ซึ่งปิดมาเป็นค่าดีฟอลต์ ไมโครซอฟท์แนะนำให้แอดมินระบบตรวจเช็คค่านี้ และสั่งปิดได้จากโปรแกรม Group Policy Object Editor (ใช้ได้เฉพาะ Windows Vista เป็นต้นไป, Windows Server 2003 ทำไม่ได้) ส่วนในระยะยาว ไมโครซอฟท์กำลังตรวจสอบรายละเอียดและอาจออกแพตช์ตามมา

Tags:
Node Thumbnail

ช่องโหว่ของ Superfish นอกจากประเด็นการดักฟังแล้ว ยังมีปัญหาการใช้กุญแจ CA เหมือนกันทุกเครื่องและระบบตรวจสอบใบรับรองมีบั๊กทำให้เซิร์ฟเวอร์ภายนอกหลอกได้โดยง่าย ตอนนี้บั๊กคล้ายกันถูกพบใน PrivDog ซอฟต์แวร์สแกนความปลอดภัยเว็บจาก Comodo

PrivDog จะสร้าง CA ใหม่ทุกครั้งที่ติดตั้งและจะดักฟังแบบเดียวกับ Superfish จากนั้นจึงแทนที่โฆษณาบนเว็บด้วยโฆษณาจากบริษัทโฆษณาที่ชื่อว่า Adtrustmedia

แม้จะสร้าง CA ขึ้นใหม่ในทุกเครื่องแต่ PrivDog รุ่น 3.0.96.0 และ 3.0.97.0 กลับไม่ตรวจสอบใบรับรองแบบ self-signed ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถปลอมเว็บได้โดยที่เบราว์เซอร์ไม่รับรู้ด้วย

Tags:
Node Thumbnail

หลังจากที่เว็บโซเชียลเน็ตเวิร์ค เช่นเฟซบุ๊ก, ทวิตเตอร์ และยูทูบ ต่างรองรับ HTTPS กันมานานพอสมควร วันนี้ Instagram เริ่มใช้ HTTPS กับเว็บของตัวเองแล้ว จากที่ก่อนหน้านี้ไม่ว่าเมื่อผู้ใช้เข้าเว็บไซต์ Instagram ดูรูปที่ถูกโพสต์, ดูหน้าฟีดของตนเอง หรือแม้กระทั่งหน้าล็อกอินเข้าสู่ระบบ ล้วนอยู่ใน HTTP ที่ไม่เข้ารหัส ซึ่งอาจจะสร้างความเสี่ยงในการถูกดักข้อมูลของผู้ใช้งานได้

โดยเมื่อผู้ใช้เข้าเว็บ Instagram จะถูกบังคับใช้ HTTPS ทันทีรวมไปถึง URL ของโพสต์ต่างๆด้วย แต่ใบรับรองที่ใช้ยังเป็น SHA-1 ซึ่งมีข่าวว่าเริ่มไม่ปลอดภัยแล้ว ส่วน URL ที่เก็บไฟล์รูปและวิดีโอที่ผู้ใช้โพสต์ ยังไม่ถูกบังคับใช้ HTTPS แต่อย่างใด

Tags:
Node Thumbnail

หลังรายงานโปรแกรมโฆษณา Superfish ถูกติดตั้งมากับโน้ตบุ๊กเลอโนโวหลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด

สาเหตุเพราะตัว Superfish ทำตัวเองเป็นพรอกซี่คั่นกลางแบบเดียวกับ mitmproxy และกระบวนการติดตั้งจะใส่ไฟล์ CA ของ Superfish ลงไปในวินโดวส์ แต่กุญแจของ CA นี้ก็อยู่ในไฟล์ exe ของ Superfish นั่นเองเพราะตัวโปรแกรมทำหน้าที่คั่นกลางเว็บที่ผู้ใช้เปิดขึ้นมา

Tags:
Node Thumbnail

Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

Tags:
Node Thumbnail

หมายเหตุ บทความนี้ไม่เกี่ยวกับข่าว "กระทรวงไอซีทีพยายามตรวจสอบและปิดกั้นเว็บเข้ารหัส ทดสอบที่เกตเวย์" แต่อย่างใด

เว็บและบริการคอมพิวเตอร์ยุคใหม่ส่วนมากมักเข้ารหัสอย่างแน่นหนาขึ้นเรื่อยๆ ในช่วงเวลาไม่กี่ปีที่ผ่านมา กระบวนการเข้ารหัสเหล่านี้คุ้มครองความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ได้เป็นอย่างดี แต่แน่นอน หากวันดีคืนดีเราเป็นเจ้าของบ้านที่ควบคุมเกตเวย์อินเทอร์เน็ต "ที่บ้าน" ได้โดยไม่มีการตรวจสอบ ไม่มีการถ่วงดุล สามารถทำอะไรได้ตามใจชอบ เราอาจจะเริ่มสงสัยว่าจริงๆ แล้วเราอยากส่องข้อความที่ทุกคนส่งเข้าออกจากบ้านของเราแม้จะเข้ารหัสได้หรือไม่

Tags:
Topics: 
Node Thumbnail

แนวทางที่เบราว์เซอร์ทั้งหลายเสนอกันในช่วงหลัง คือ พยายามให้การเชื่อมต่อทั้งหมดเข้ารหัสเป็นปกติ เช่น HTTP2 ที่เข้ารหัสแทบตลอดเวลาแม้จะไม่สามารถยืนยันตัวตนปลายทางได้ เป้าหมายสุดท้ายของการทำเช่นนี้คือการแจ้งเตือนเว็บที่ไม่เข้ารหัสทั้งหมดว่าเป็นเว็บไม่ปลอดภัย ตอนนี้ทาง Chrome ก็เริ่มทดสอบฟีเจอร์นี้แล้ว

ฟีเจอร์ใหม่นี้เปิดเป็น flag ที่ต้องเข้าไปกดเปิดเองชื่อว่า "Mark non-secure origins as non-secure" หลังเปิดฟีเจอร์นี้ Chrome จะถือว่าเว็บที่เข้ารหัสธรรมคาคือเว็บปกติ ไม่มีการชมเชยด้วยกุญแจสีเขียวอีกต่อไป แต่ตรงกันข้ามคือเว็บที่ไม่เข้ารหัสทั้งหมดจะถูกแจ้งเตือนไม่ปลอดภัย

Tags:
Node Thumbnail

Seth Schoen จาก EFF บรรยายรายละเอียดของโครงการ Let's Encrypt ที่งาน 31C3 เตรียมให้บริการเดือนมิถุนายนนี้

โครงการ Let's Encrypt ตั้งใจจะทำให้กระบวนการเข้ารหัสเว็บกลายเป็นกระบวนการอัตโนมัติทั้งหมด โดยผู้ใช้สามารถติดตั้งแพ็กเกจ lets-encrypt แล้วสั่งรันเพื่อขอใบรับรองและเริ่มเข้ารหัสได้ทันที

Tags:
Node Thumbnail

Gogo ผู้ให้บริการอินเทอร์เน็ตบนเครื่องบินเริ่มปล่อยใบรับรองสำหรับโดเมน *.google.com ปลอมให้ลูกค้าโดยระบุว่าต้องปลอมใบรับรองนี้เพื่อ "บังคับใช้นโยบาย" โดยไม่ได้ตั้งใจจะละเมิดความเป็นส่วนตัวของผู้ใช้แต่อย่างใด

ทาง Gogo ออกแถลงการณ์ระบุว่าจำเป็นต้องใช้กระบวนการนี้เพื่อจะจำกัดการใช้งานและการสตรีมวิดีโอ โดยซื้อระบบจัดการที่มีขายสำเร็จรูปในตลาด และบังคับใช้แนวทางนี้กับเว็บวิดีโอที่เข้ารหัสบางส่วนเท่านั้น โดยไม่ได้เข้าดักฟังเว็บอื่นๆ ที่เข้ารหัสแต่อย่างใด

Tags:
Node Thumbnail

ช่องโหว่ POODLE ที่ได้รับการเปิดเผยเมื่อเดือนตุลาคมที่ผ่านมา ดูเหมือนจะกระทบการใช้งานมากกว่าที่คิดครับ จากที่ก่อนหน้านี้พบว่าช่องโหว่ดังกล่าวกระทบเพียง SSL 3.0 เท่านั้น แต่ล่าสุดมีนักวิจัยด้านความปลอดภัยพบโอกาสที่จะเกิดช่องโหว่เดียวกันนี้บน TLS 1.0 แล้วครับ

Tags:
Node Thumbnail

ในรอบปีที่ผ่านมาเราพบกับปัญหาความปลอดภัย และช่องโหว่ของระบบเข้ารหัสแบบ SSL จำนวนมาก อีกทั้งยังทั่วถึงกันแทบจะทุกระบบปฏิบัติการที่มีใช้งานกันอยู่ (Windows, iOS+OSX, SSLv3 ทุก OS, Heartbleed ใน OpenSSL) ทั้งที่ส่งผลโดยตรงต่อผู้ใช้ และส่งผลโดยตรงต่อผู้ดูแลระบบ ไม่นับปัญหาที่ “อาจ” มีผลกระทบต่อผู้ใช้งานจำนวนมาก และเมื่อการทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตได้รับความนิยมมากขึ้นเรื่อยๆ เราจึงควรทราบข้อมูลทางด้านความปลอดภัยของเว็บไซต์ระบบธนาคารออนไลน์ต่างๆ ที่เปิดให้ใช้งานอยู่ในประเทศไทยไว้บ้างคร

Pages