เป็นประเด็นเรื่องความปลอดภัยอีกราย เมื่อมีผู้ใช้งาน Facebook ที่ชื่อ Anucha Petchagun ค้นพบว่า Starbucks ประเทศไทย เก็บ password ของผู้ใช้งานโดยไม่มีการเข้ารหัส และจุดที่สำคัญอีกจุดคือแสดง password ปัจจุบันที่ไม่ได้เข้ารหัสไว้บนโค้ด HTML ในหน้า Change my password อีกด้วย
ผมได้ลองล็อกอินเข้าไปยังเว็บไซต์ https://www.starbuckscard.in.th และเข้าไปที่หน้า Change my password ยืนยันว่า ณ เวลาที่ผมเขียนข่าวนี้ มี password แบบไม่เข้ารหัสอยู่บน HTML อยู่จริงๆ
โดยก่อนหน้านี้ก็มีผู้พบเว็บ Starbucks Thailand ไม่เข้ารหัสข้อมูลรหัสผ่านของลูกค้า เมื่อปี 2014 แสดงให้เห็นว่าในเวลาที่ผ่านมา Starbucks ประเทศไทย ยังไม่ได้ดำเนินการใดๆเลย
ที่มา : โพสของคุณ Anucha Petchagun
on
เจ้านี้นี่เคยโดนไปรอบนึงแล้วว
hisoft Fri, 27/04/2018 - 14:10
เจ้านี้นี่เคยโดนไปรอบนึงแล้วว่าเวลารีเซ็ตรหัสผ่านจะส่งรหัสผ่านเก่ามาด้วยนะ แสดงว่าไม่ได้ปรับปรุงอะไรเลยแค่ไม่ส่งมากับอีเมลเฉยๆ
แปะ
benwrk Sat, 28/04/2018 - 01:35
In reply to เจ้านี้นี่เคยโดนไปรอบนึงแล้วว by hisoft
จริงครับ แปลว่ารอบที่แล้วที่โดนไปนี่ไม่ได้คิดจะไปแก้หลังบ้านเลย เก็บเป็น plaintext เหมือนเดิม
อยากรู้จักคนเขียนจังว่ามีคิดย
lancaster Fri, 27/04/2018 - 14:20
ลองแล้วเจอจริงด้วย
อยากรู้จักคนเขียนจังว่ามีแนวคิดยังไงถึงต้องส่งรหัสผ่านเก่ามาใน html หน้าเปลี่ยนรหัสด้วย?
จะได้แจ้งแบบ realtime
hisoft Fri, 27/04/2018 - 14:47
In reply to อยากรู้จักคนเขียนจังว่ามีคิดย by lancaster
จะได้แจ้งแบบ realtime ได้ง่ายๆ ว่าป้อนรหัสผ่านเก่าถูกรึเปล่า ไม่หนัก server มั้งครับ :p
ยืนยันว่า ณ
panurat2000 Fri, 27/04/2018 - 15:42
ณ.เวลา => ณ เวลา
http://plaintextoffenders.com
i3i4i5 Fri, 27/04/2018 - 21:18
http://plaintextoffenders.com/
แปะ
benwrk Sat, 28/04/2018 - 01:30
In reply to http://plaintextoffenders.com by i3i4i5
แปะ
เพิ่มแท็กเหล่านี้ด้วยครับ
ตะโร่งโต้ง Sat, 28/04/2018 - 03:43
เพิ่มแท็กเหล่านี้ด้วยครับ
password ใช้ภาษาไทยได้
lew Sat, 28/04/2018 - 10:55
In reply to เพิ่มแท็กเหล่านี้ด้วยครับ by ตะโร่งโต้ง
เคสแบบนี้น่าจะเพิ่มความเสี่ยงบางกรณี เช่น ล็อกอินหน้าเว็บทิ้งไว้ ที่ปกติคนอื่นมาเห็นก็ยึดบัญชีไม่ได้ (เพราะไม่รู้รหัสเดิม) กรณีแบบนี้ก็ยึดได้เลย คนทำน่าจะเข้าใจผิดถึงการออกแบบหน้าเปลี่ยนรหัสว่าทำไมต้องขอรหัสเดิมในหน้าเปลี่ยนรหัสผ่าน
เสี่ยงอยู่แล้วจากการใช้แค่
corelmax Sat, 28/04/2018 - 15:05
In reply to password ใช้ภาษาไทยได้ by lew
เสี่ยงอยู่แล้วจากการใช้แค่ session id ที่เก็บอยู่ใน cookie ของคนที่ login อยู่เอามาเข้าระบบได้ ยังดีที่ session ยังมีอายุ
แต่รอบนี้มาเป็น plaintext password เลย ทีนี้คนที่เคย login เว็บนี้ทั้งๆที่ บราวเซอร์แดงล่ะก็ ร้อนๆหนาวๆได้เลย
ปล่อยให้คนเข้าถึง cookie
lew Sun, 29/04/2018 - 13:59
In reply to เสี่ยงอยู่แล้วจากการใช้แค่ by corelmax
ปล่อยให้คนเข้าถึง cookie ได้มันเสี่ยงแน่นอนครับ (เหมือนล็อกอินไว้บนเครื่องส่วนรวมก็แบบเดียวกัน) ตรงนั้นมันไมใช่ความรับผิดชอบของคนทำเว็บล่ะ
เป็นความรับผิดชอบคนทำเว็บส่วน
corelmax Sun, 29/04/2018 - 22:08
In reply to ปล่อยให้คนเข้าถึง cookie by lew
เป็นความรับผิดชอบคนทำเว็บส่วนหนึ่งครับ session ไม่ควร reuse ได้ครับ
กลัวจะกลายเป็น
corelmax Sat, 28/04/2018 - 14:58
กลัวจะกลายเป็น “ผู้มีความเชี่ยวชาญ” และ “ใช้ tools ถึง 3 ตัว (mac, safari และโปรแกรมแต่งภาพซักโปรแกรมที่ใช้ลบพาสเวิร์ด)”
คือการเก็บ password
blue111 Sat, 28/04/2018 - 22:27
คือการเก็บ password แบบเข้ารหัสนี่มันก็ไม่ยุ่งยากมากเลยนะทำไมถึงไม่ทำกัน ผมนึกถึงระบบสมัครสอบของหน่วยงานในมหาวิทยาลัยหนึ่งเลยเก็บ password เป็น plaintext เหมือนกันเลยแต่อันนี้ยังดีหน่อยที่มีความคิดรักษาข้อมูลอยู่บ้างอย่างการ login ไปแล้วแสดงเลขประจำตัวประชาชนเฉพาะ 4 ตัวท้าย แต่ก็ยังไม่เข้าใจว่าทำไมไม่ขยายความคิดแบบนี้ไปที่การเก็บ password บ้าง?
กาแฟตั้งแพง
EThaiZone Sun, 29/04/2018 - 11:47
กาแฟตั้งแพง แต่เว็บทำมาได้แบบนี้ เอวัง
สมัยนี้ hash กลายเป็นเรื่องพื้นฐาน เอาแค่การเข้ารหัส มันคือความบริสุทธิ์ใจว่า Admin จะไม่เอารหัสผ่านเราไปเล่นหรือทำอะไร
เจอแบบนี้ใครจะกล้าไปสมัคร ป่านนี้โดนเอารหัสไปไล่ยิงเว็บอื่นไปทั่วล่ะ