ควรแจ้งผู้ใช้งานคนอื่นมั้ย หรือควรรอ ถ้ารอต้องรอนานขนาดไหน ผมติดต่อคนดูแลไปแล้วครับ แจ้งแล้วว่าไม่ควรเก็บ plain text แถมตัวเปลี่ยนพาสเวิร์ดใช้ไม่ได้ด้วย
ถ้าเป็นคนที่ใช้พาสเวิร์ดเดียวกับทุกเว็บ แล้วโดนดูดข้อมูลไปนี่จบเลย
Hiring! บริษัทที่น่าสนใจ
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand
ถ้าไม่มั่นใจก็ไม่ต้องเสี่ยงคร
Alios Thu, 27/07/2017 - 13:13
ถ้าไม่มั่นใจก็ไม่ต้องเสี่ยงครับ ถ้าจำเป็น ก็สมัครอีเมล์อีกอัน และใช้รหัสผ่านใหม่ไปครับ บางทีผู้ดูแลระบบ ไม่ใช่ คนพัฒนาก็มีเยอะแยะครับ
ในไทยยังไม่มีความชัดเจนเรื่องการตรวจสอบระบบว่ามีความปลอดภัยรึเปล่า
ขอบคุณครับ
whitebigbird Thu, 03/08/2017 - 08:03
In reply to ถ้าไม่มั่นใจก็ไม่ต้องเสี่ยงคร by Alios
ขอบคุณครับ ประเด็นคือแอคเคาท์ที่สมัครไปแล้วนี่สิ ถ้า DB โดนดูดนี่ออกมาหมดเลยนะครับ ทั้งเมล์ทั้ง password ที่เป็น plain text
ผมลองยิง sql injection ง่ายๆ มั่วๆ ยังออกมาเป็นยวงเลยครับ
ถ้าผมเป็น user
grit Fri, 28/07/2017 - 17:41
ถ้าผมเป็น user แล้วมีคนแจ้งให้ทราบว่าเว็บใดไม่มีการเข้ารหัสนี่ผมจะยินดีเป็นอย่างยิ่งเลย เพราะเคยพลาดไปเผลอใช้พาสเวิร์ดระดับกลางที่ใช้มานานหลายปีกับเว็บที่ไม่น่าเชื่อถือ ขอบคุณ Twitter ที่สมัครทิ้งไว้แต่ไม่เคยใช้ ส่งมาเตือนว่ามีการ
log in ที่มีความผิดปกติ เข้าไปเช็คดู โอ้ แม่มใช้ Tor แน่ๆ(แหงล่ะ!) IP แต่ละ session มาจากทั่วโลกเลย สักพัก Etsy ก็ส่งมาเตือน แต่ไม่มีรายละเอียดให้ดูถึงขั้นแบบทวิตเตอร์ ไม่รู้มันเอาไปลอง log in เว็บอะไรอีกบ้าง มีส่งมาแค่สองเว็บนี้ ตามแก้กันปวดหัวเลย เพราะนอกจากแยกพาสเวิร์ดระดับสูงใช้กับตัวอีเมล์กับพวกโซเชียลที่มีข้อมูลส่วนตัวแล้ว ส่วนใหญ่ใช้พาสเวิร์ดระดับกลางตัวเดียวกันนี้เกือบหมด มันเล่นเอาไปล็อกอินซะมัน EA Origin Stream ส่ง 2-way verification มาให้วุ่นเลย
ปล.ที่พลาดเพราะ ปกติเว็บความปลอดภัยต่ำส่วนใหญ่มันจะไม่บังคับ password strength ทำให้ใช้ชุดพาสเวิร์ดระดับต่ำได้ แต่มันดันมีบางเว็บดันบังคับ password strength เลยเผลอไปใช้พาสเวิร์ดระดับกลางซะได้ ประมาทก็พลาดไป
ทุกวันนี้ขนาดแค่เว็บไหนไม่มี https ผมยังตั้งเป็น notsafe/nohttps เตือนไปเลย เพราะถ้าถึงขั้น plain text ก็จะได้รู้กันไป
นี่แหละครับที่น่ากลัว
whitebigbird Thu, 03/08/2017 - 08:06
In reply to ถ้าผมเป็น user by grit
นี่แหละครับที่น่ากลัว คือคนมันยิงทุกเว็บ แต่ผู้ดูแลมักคิดว่า "ใครจะมาสนใจยิงเว็บกู" แล้วก็ทำเว็บที่มีความปลอดภัยต่ำออกมา
ตอนผมโทรแจ้ง เค้าบอกว่าหลุดก็ไม่เป็นไร ไม่มีข้อมูลทางการเงิน ผมเลยบอกแต่มีอีเมล์กับพาสเวิร์ดนะครับ ถ้าเอาไปเข้าอีเมล์ได้จะสั่งรีเซ็ตพาสเวิร์ดเพย์พาลยังได้เลย
โอ้ แม่เจ้า
grit Sat, 05/08/2017 - 13:29
In reply to นี่แหละครับที่น่ากลัว by whitebigbird
โอ้ แม่เจ้า หวังว่าจะเป็นเว็บดีไซน์ห่วยๆ และไม่มี nohttps นะ ไม่งั้นใครเผลอใช้พาสเวิร์ดหลักนี่มีซวย เพราะที่น่ากลัวกว่าคือเว็บที่ดูน่าเชื่อถือแต่ดันเก็บ plain text
ผมเชื่อว่ามีคนใช้เยอะพอควรนะ
whitebigbird Sat, 05/08/2017 - 14:23
In reply to โอ้ แม่เจ้า by grit
ผมเชื่อว่ามีคนใช้เยอะพอควรนะ ดีไซน์ดีกลางๆ / HTTP ดีว่าส่วนเก็บเงินใช้เป็น service ของธนาคารครับ
ผมว่าถ้าเขาตอบกลับมาประมาณว่า
Thaitop_BN Sun, 06/08/2017 - 00:19
In reply to นี่แหละครับที่น่ากลัว by whitebigbird
ผมว่าถ้าเขาตอบกลับมาประมาณว่า ไม่แก้ไขแน่นอนแบบนี้ ก็น่าจะป่าวประกาศแจ้งเตือนประชาชีได้เลยนะครับ
เค้าบอกว่าจะตรวจสอบดู
whitebigbird Sun, 06/08/2017 - 09:11
In reply to ผมว่าถ้าเขาตอบกลับมาประมาณว่า by Thaitop_BN
เค้าบอกว่าจะตรวจสอบดู แต่ผมไม่รู้ว่าเค้าจะตรวจสอบจริงมั้ย
ผมเลยคิดว่ามันคงต้องมี step ของมันรึเปล่า (ไม่แน่ใจ) แบบว่า ขั้นที่ 1 - 2 - 3 อะไรแบบนี้ครับ