Tags:
Node Thumbnail

บริษัท Comodo ผู้ให้บริการด้านความปลอดภัย และเป็นผู้ให้บริการรับรองตัวตน (certificate) สำหรับการเข้ารหัสแบบ SSL ได้แจ้งข่าวว่าบริษัทได้ออกใบรับรองแก่ผู้ไม่หวังดีไปจำนวน 9 ใบ ทำให้ผู้ใช้อาจถูกหลอกลวงให้เข้าเว็บปลอมได้

ระบบการเข้ารหัสแบบ SSL ต้องการใบรับรองตัวตนที่ได้รับการรับรองจากหน่วยงานที่เชื่อถือได้ (Trusted Root Certification Authorities) ไม่เช่นนั้นเบราเซอร์จะแจ้งเตือนผู้ใช้เมื่อผู้ใช้พยายามเข้าเว็บที่มีการเข้ารหัสแบบ SSL ว่าใบรับรองตัวตนของเว็บนั้นไม่ถูกต้อง โดยระบบปฎิบัติการต่างๆ จะมีรายชื่อของหน่วยงานให้บริการรับรองที่เชื่อถือได้แตกต่างกันไป

Tags:
Node Thumbnail

ก่อนหน้านี้ Facebook เพิ่มตัวเลือกให้ใช้งาน HTTPS ตลอดเวลา ตอนนี้ถึงคราวของ Twitter บ้าง

ผู้ที่ต้องการใช้งาน Twitter ผ่าน HTTPS ต้องเข้าไปที่หน้า Settings และเลือก Always use HTTPS ซึ่งเป็นตัวเลือกใหม่ที่เพิ่มเข้ามา

ต่อให้ไม่เลือกตัวเลือกนี้ ตอนใส่รหัสผ่านบนเว็บไซต์ Twitter จะใช้ HTTPS อยู่แล้ว ส่วนคนที่เข้าเว็บเวอร์ชันมือถือจะต้องเข้าผ่าน https://mobile.twitter.com/ ด้วยตัวเอง

ตอนนี้มีเว็บไซต์หลายแห่งที่เปิดให้ใช้ HTTPS เข้าเว็บตลอดเวลา ดูได้จากข่าวเก่าหมวด SSL ครับ

Tags:
Node Thumbnail

หลังจากที่ fan page ของ Mark Zuckerberg ถูกแฮ็ก ทาง Facebook ก็เพิ่มระดับความปลอดภัยของเว็บไซต์ ด้วยการเปิดให้ผู้ใช้เลือกใช้งานผ่านโปรโตคอล HTTPS ได้ตลอดเวลาครับ

ก่อนหน้านี้โดยปกติแล้ว Facebook จะใช้โปรโตคอล HTTPS แค่ตอน log in เท่านั้น ซึ่งเปิดโอกาสให้มีการ "ไฮแจ็ก" session cookie ได้ อย่างที่ซอฟต์แวร์ Firesheep แสดงให้เห็นมาแล้วว่ามันอันตรายแค่ไหน

Tags:
Node Thumbnail

ก่อนหน้าข่าวการขู่ปิดบริการ BlackBerry ใน UAE นั้นข่าวใหญ่อีกข่าวหนึ่งคืออัพเดตที่ผู้ใช้บริการได้รับจาก Etisalat นั้นมีมัลแวร์อยู่ภายใน เหตุการณ์นี้เกิดขึ้นได้เพราะ Etisalat นั้นเป็น CA ระดับกลางทีี่ได้รับการรับรองจาก Verizon ที่เป็น root CA อีกทีหนึ่ง

การอัพเดตเครื่อง BlackBerry โดยส่งมัลแวร์ไปอย่างจงใจจากผู้ให้บริการเองทำให้ EFF ขอให้ Verizon พิจารณาที่จะถอดความเป็น CA ออกจาก Etisalat เนื่องจากสถานะ CA ชั้นกลางนี้ทำให้ Etisalat สามารถปลอมแปลงหน้าจอ HTTPS ของเว็บที่เข้ารหัสเช่น Gmail, EFF, Google จนถึงเว็บ Verizon เองได้

Tags:
Node Thumbnail

EFF ได้ออกส่วนเสริม (extension) สำหรับไฟร์ฟอกซ์เพื่อให้เบราเซอร์เรียกเว็บผ่านทางโปรโตคอล HTTPS ก่อน HTTP เสมอ พร้อมกับแจ้งเตือนเราเมื่อเว็บที่เราใช้งานไม่รองรับ HTTPS หรือรองรับเพียงบางส่วน โดยใช้ชื่อโครงการว่า HTTPS Everywhere

ทุกวันนี้การเข้าเว็บผ่านทางโปรโตคอล HTTP นั้นไม่มีการเข้ารหัสใดๆ และผู้ที่มีความรู้สักหน่อยก็สามารถแอบดูและชิงรหัสผ่านเว็บต่างๆ ของเราไปได้โดยง่าย หรือแม้การแอบเก็บข้อมูลเช่นการเข้าค้นหาข้อมูลผ่านกูเกิลเองก็มักไม่มีการเข้ารหัส จนกูเกิลต้องเปิดบริการผ่าน HTTPS ไปก่อนหน้านี้

Tags:
Node Thumbnail

ช่วงหลังๆ กูเกิลเริ่มให้ความสำคัญกับการเข้ารหัสข้อมูลมากขึ้นเรื่อยๆ นับแต่การปรับค่าพื้นฐานของ GMail ให้เป็น SSL มาถึงวันนี้ก็ได้เวลาของ Google Search

อย่างไรก็ตาม เราควรตระหนักว่าข้อมูลที่ส่งผ่าน SSL นั้นไม่ได้ทำให้ข้อมูลที่เราส่งไปยังกูเกิลน้อยลงแต่อย่างใด กูเกิลยังคงเก็บพฤติกรรมการใช้งานของเราเช่นเดิม แต่ผู้ให้บริการและผู้ไม่หวังดี (รวมถึงรัฐบาล) จะเข้ามาดูพฤติกรรมการใช้งานของเราได้ลำบากขึ้น

เริ่มใช้งานได้ทันที โดยพิมพ์ https ขึ้นต้น URL หรือเข้าที่นี่

ที่หลายคนอาจจะไม่รู้อีกคือทั้ง Facebook และ Twitter ก็รองรับ HTTPS แล้วเช่นกัน

Tags:
Node Thumbnail

เว็บไซต์ LiveSide.net รายงานว่า Hotmail รุ่นใหม่ซึ่งเป็นส่วนหนึ่งของ Windows Live Wave 4 (เช่นเดียวกับ Windows Live Messenger รุ่นล่าสุด) จะมีฟีเจอร์เพิ่มเติมหลายอย่าง

Tags:
Node Thumbnail

ระบบรักษาความปลอดภัยในอินเทอร์เน็ตทุกวันนี้อาศัยการเชื่อใจเป็นทอดๆ จากหน่วยงานออกใบรับรองความปลอดภัยกว่าสองร้อยหน่วยงานทั่วโลก งานวิจัยล่าสุดแสดงหลักฐานว่ามีความพยายามจากรัฐบาลที่จะเข้ามาแทรกแซงหน่วยงานเหล่านี้เพื่อดักจับข้อมูลที่ได้รับการเข้ารหัส โดยที่ผู้ใช้ไม่สามารถรับรู้ได้ว่าเกิดความผิดปรกติในการเชื่อมต่อ

Tags:
Node Thumbnail

ต่อจาก กูเกิลเปิด HTTPS ใน Gmail เป็น Default ทางคณะกรรมการการค้าของสหรัฐหรือ FTC (ชื่อนี้จะเห็นบ่อยขึ้นเรื่อยๆ ในอนาคต) ได้ส่งสัญญาณเตือนให้เว็บไซต์อื่นๆ ใช้ HTTPS กันมากขึ้น

หนึ่งในกรรมการของ FTC คือ Pamela Jones Harbour กล่าวในปาฐกถาก่อนเริ่มประชุม FTC ว่าเว็บไซต์อย่าง Yahoo, Hotmail, Facebook ควรใช้ HTTPS ให้เป็นมาตรฐาน เพื่อความปลอดภัยของผู้ใช้ เธอยังแสดงความเห็นอีกว่า การเข้ารหัสข้อมูลเป็นการป้องกันที่ทำได้ง่าย และบริการบน cloud ทั้งหมดควรหันมาใช้กันได้แล้ว

ที่มา - EFF

Tags:
Node Thumbnail

กูเกิลเปิดบริการ HTTPS ใน Gmail มาได้สักระยะแล้ว โดยผู้ใช้สามารถเลือกได้ระหว่าง HTTP และ HTTPS เนื่องจากการใช้ HTTPS มีข้อด้อยคือช้ากว่า HTTP (เราสามารถเลือกใช้ HTTPS แบบถาวรโดยต้องตั้งค่าใน Settings)

แต่ไม่รู้ว่าเกี่ยวกับ Gmail ในจีนโดนโจมตี หรือเปล่า วันนี้กูเกิลออกมาประกาศว่า ต่อจากนี้ไป Gmail จะเปลี่ยนมาใช้ HTTPS เป็นค่า default แล้ว โดยกูเกิลยอมแลกความเร็วกับความปลอดภัยที่เพิ่มมากขึ้น

ผู้ใช้ยังสามารถปิด HTTPS ได้ผ่านตัวเลือก "Don't always use https" และถ้าใครใช้ Gears แล้วเกิดปัญหากับ HTTPS อ่านวิธีแก้ไขได้ครับ

Tags:
Node Thumbnail

เมื่อวันพฤหัสบดีที่ผ่านมามีการรายงานถึงปัญหาของมาตรฐาน TLS ทำให้เสี่ยงต่อการถูกโจมตี แบบ MITM (man-in-the-middle) ทำให้การเชื่อมต่อแม้จะเป็นแบบเข้ารหัสจะเสี่ยงต่อการแก้ไขข้อความที่ใช้ในการเชื่อมต่อ SSL ซึ่งสร้างความเสี่ยงอื่นๆ ตามมาในอนาคต

ปัญหานี้เกิดขึ้นจากความสามารถในการทำ Renegotiating ซึ่งมีระบุไว้ในมาตรฐาน TLS โดยกระบวนการโจมตีดังนี้

Tags:
Node Thumbnail

เมื่อสองเดือนก่อนมีรายงานช่องโหว่ของ Certificate ที่สามารถปลอมตัวเป็นเว็บอื่นได้จากปัญหาการนิยามมาตรฐาน ในวันนี้ก็เริ่มมีรายงานว่ามีการสร้าง Certificate ปลอมของ Paypal ทำให้เว็บตัวปลอมสามารถสวมรอยตัวเองเป็น Paypal ได้โดยเบราเซอร์ไม่เตือนใดๆ

ปัญหา Null Prefix เป็นปัญหาที่เกิดขึ้นจากการนิยามมาตรฐานของ Certificate ที่ใช้ภาษา ASN.1 ในการนิยาม แต่การนิยามแบบนี้อนุญาตให้มีการใส่อักขระ '\0' ลงในช่องอักษรได้ ขณะที่การเขียนโปรแกรมในภาษาซีนั้นจะมองอักขระ '\0' เป็นการจบสตริง

Tags:
Node Thumbnail

โลกอินเทอร์เน็ตทุกวันนี้เมื่อมีความต้องการส่งข้อมูลที่ต้องการความปลอดภัย มาตรฐานที่ได้รับการยอมรับมากที่สุดคงเป็น SSL โดยทั่วไปแล้วผู้ใช้ก็มักจะได้รับการบอกกล่าวว่าเวลาเห็นเครื่องหมายแม่กุญแจถูกล็อกก็แปลว่าปลอดภัยแล้ว

แต่เรื่องนี้กำลังไม่เป็นความจริงอีกต่อไป เมื่อทีมวิจัยอิสระกลุ่มหนึ่งได้พบช่องโหว่ในมาตรฐาน SSL นั่นคือการเปิดให้ใช้การย่อยข้อความ (hashing) แบบ MD5 ได้ทั้งที่เป็นที่รู้กันว่ากระบวนการนี้ไม่ปลอดภัยต่อการปลอมแปลงข้อมูลอีกต่อไป

Tags:
Topics: 
Node Thumbnail

PayPal เป็นหนึ่งในกิจการที่ถูกนำไปอ้างในการลวงเอาข้อมูลสำคัญ (phishing) มากที่สุดในโลก เพื่อแก้ไขปัญหานี้ PayPal กำลังจะไม่ยอมรับธุรกรรมทางการเงิน จากเบราว์เซอร์ที่ไม่สนับสนุน EV SSL

เบราว์เซอร์ที่ได้รับความนิยมที่จะใช้ PayPal ไม่ได้คือ IE รุ่นเก่าๆ ที่ไมโครซอฟท์เลิกสนับสนุนไปแล้ว และ Safari -- ส่วน Firefox และ Opera ประกาศจะสนับสนุน EV SSL ในรุ่นหน้า

นัยต่อผู้ใช้ PayPal ก็คือต้องหาเบราเซอร์ที่เหมาะสม และซื้อ EV SSL certificate จาก VeriSign

ที่มา: eWeek

Tags:
Node Thumbnail

หลายโปรแกรมอาจต้องการมีส่วนในการตรวจสอบความถูกต้องของหมายเลขประจำตัวประชาชน ซึ่งทางกรมสรรพากรก็ให้บริการเว็บเซอร์วิสนี้ เนื่องจากเว็บเซอร์วิสของกรมสรรพกรให้บริการโดยใช้ SSL เพื่อช่วยทำให้มีความปลอดภัยมากยิ่งขึ้น ดังนั้นต้องเข้าโดย “HTTPS” แทนที่จะเป็น “HTTP” ปกติ

ข้างล่างนี้โค้ดที่ใช้ในการเรียกใช้เว็บเซอร์วิสและโอเปอเรชันดังกล่าว และใช้โปรแกรม XTrustProvider.java ที่ SSL Trust Provider for Java เพื่อใช้ในการเรียกเว็บเซอร์วิสที่เข้าถึงโดย HTTPS

Pages