จดหมายเปิดผนึกถึงธนาคารในประเทศไทย ขอให้ยกเลิกการตรวจสอบเบราเซอร์ด้วย User Agent

By lew Founder on Tag: Thailand, Ask Blognone, Banking
Thailand

ในช่วงเวลาห้าปีนับจากการออก Internet Explorer 7 เป็นต้นมา ตลาดเบราเซอร์บ้านเรามีความเปลี่ยนแปลงเป็นจำนวนมาก ไปในทิศทางเดียวกันตลาดโลก เบราเซอร์เช่น Firefox, Chrome, Safari, หรือกระทั่ง Internet Explorer รุ่นใหม่ๆ ได้รับความนิยมมากขึ้นอย่างรวดเร็ว
แต่บริการที่สำคัญอย่างบริการธนาคารออนไลน์ของไทย กลับมีประวัติการไม่ยอมให้บริการกับเบราเซอร์อื่นนอกจาก ยี่ห้อ และรุ่นที่ได้กำหนดไว้ล่วงหน้า ส่งผลให้คนจำนวนมากไม่สามารถเปลี่ยนเบราเซอร์ได้ตามต้องการ ทั้งที่หลายครั้ง การเปลี่ยนไปใช้งานเบราเซอร์อื่นไม่ได้มีผลใดๆ ต่อการใช้งาน

แนวทางการตรวจเบราเซอร์ด้วย User Agent เป็นการจำกัดการใช้งานอย่างไม่จำเป็น ในทางปฎิบัติแนวทางนี้ไม่ได้รับประกันใดๆ ว่าเบราเซอร์ที่เข้ามาใช้บริการจะเป็นยี่ห้อและรุ่นที่กำหนดไว้จริง อีกทั้งเบราเซอร์ในช่วงหลายปีมานี้ก็เริ่มมีพฤติกรรมการทำงานที่เหมือนกันมากขึ้นเรื่อยๆ
ผมเขียนจดหมายฉบับนี้ ถึงผู้มีอำนาจตัดสินใจในการออกแบบเว็บบริการธนาคาร ขอให้ยกเลิกการตรวจสอบยี่ห้อและรุ่นของเบราเซอร์ เพื่อให้ผู้ใช้สามารถเลือกใช้เบราเซอร์ ได้อย่างอิสระ ด้วยเหตุผลดังนี้

  1. ผู้ใช้ในไทยมีพฤติกรรมการใช้เบราเซอร์ที่หลากหลายมากขึ้น ณ วันนี้เอง Chrome ก็ยังไม่สามารถเข้าเว็บของหลายๆ ธนาคารได้ ทั้งมีผู้ใช้ในไทยสูงกว่า 10%
  2. เบราเซอร์ทุกยี่ห้อมีแนวทางการออกรุ่นใหม่เร็วขึ้นเรื่อยๆ และระบบอัพเดตมักทำงานโดยอัตโนมัติโดยหลายครั้งผู้ใช้ไม่ได้สั่งการด้วยตัวเอง ธนาคารมักไม่สามารถเริ่มรายการที่รองรับได้ทัน ทำให้ผู้ใช้ที่เพียงอัพเดตระบบ กลับไม่สามารถเข้าถึงบริการได้
  3. การเข้าถึงบริการเหล่านี้ ไม่ได้มาจากพีซีเพียงอย่างเดียวอีกต่อไป ทุกวันนี้มีอุปกรณ์ที่หลากหลายที่ควรจะเข้าถึงบริการของธนาคารได้เช่น แท็บเล็ต, โทรศัพท์มือถือ, โทรทัศน์, หรืออุปกรณ์อื่นๆ ที่เข้าถึงเว็บได้อีกจำนวนมาก อุปกรณ์เหล่านี้หลายครั้งมีเบราเซอร์เป็นของตัวเอง ที่สามารถเข้าใช้งานเว็บของธนาคารได้หากไม่ถูกจำกัดด้วยการตรวจสอบที่ไม่จำเป็นนี้

สำหรับความกังวลว่าบริการจะไม่สามารถทำงานได้อย่างสมบูรณ์หากไม่ได้ผ่านการตรวจสอบอย่างถูกต้อง ธนาคารอาจจะแสดงข้อความเตือนเมื่อมีการใช้งานจากเบราเซอร์ที่อยู่นอกรายการที่ได้รับการทดสอบแล้ว การทำเช่นนี้จะเปิดโอกาสให้อุปกรณ์จำนวนมากสามารถเข้าถึงบริการของธนาคารได้อย่างเต็มที่
ด้วยความนับถือ
วสันต์ ลิ่วลมไพศาล
อิสริยะ ไพรีพ่ายฤทธิ์
ผู้ดูแลเว็บไซต์ Blognone.com
note: สำหรับสมาชิกท่านอื่นๆ สามารถลงชื่อเพื่อสนับสนุนจดหมายฉบับนี้ได้ครับ ผมจะหาทางเพื่อส่งข้อความนี้ไปให้ถึงผู้มีอำนาจตัดสินใจจริงๆ ต่อไป

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Perl Wed, 06/04/2011 - 23:05

ปกติผมใช้บริการเฉพาะ Online Banking ซึ่งผมใช้บริการของ 3 ธนาคาร ได้แก่ Kbank,Krungsri,SCB
ใช้เฉพาะ Online Banking เท่านั้นนะครับ ผมสามารถใช้ Firefox ร่วมกับ Services ของทั้ง 3 ธนาคารนี้ได้อย่างปกติครับผม

ปล.แต่สำหรับของ Krungsri ผมอยากให้ยกเลิกการตรวจสอบประเภทของ Mobile ครับ เพราะผมใช้ WP7 ซึ่งใช้ Browser IE7 Mobile มันไม่ยอมให้เข้าหน้าเพจแบบ Mobile ครับ มันให้ผมเข้าแบบเวอร์ชัน Full Desktop อย่างเดียวเลย.. (ซึ่งทำให้ลำบากที่จะต้องย่อขยายหน้าจออยู่บ่อยๆ) ซึ่งผมเองมองว่าปัจจุบันนี้ Browser บนโทรศัพท์นั้นมีศักยภาพมากพอที่จะรันฟังก์ชันต่างๆได้ในระดับหนึ่งแล้ว จึงไม่มีประโยชน์ที่จะต้องจะจำกัดประเภทของ Browser ครับ

polaromonas Wed, 06/04/2011 - 23:04

ตัวผมเองไม่ได้ผลกระทบโดยตรงจากเรื่องนี้ (เว็บของ SCB ใช้กับ Opera ได้ไม่มีปัญหา) แต่ผมเห็นด้วยเรื่องการยกเลิก User Agent เพราะมันเป็นเหมือนตัวฉุดรั้งการพัฒนาของ e-Banking ในประเทศ (รวมถึง e-Services บนเว็บของทุกหน่วยงานอื่นๆด้วย) ทางกระทรวง ICT น่าจะลงมามีบทบาทตรงจุดนี้ได้นานแล้ว

ศรวิษ เสียงแจ้ว

platalay Wed, 06/04/2011 - 23:05

+1
เพิ่มเติม อยากให้ปรับปรุงเรื่องการตั้งชื่อและรหัสผ่านด้วยครับ อย่างกสิกร จำกัดแค่ 10 ตัวอักษร มากกว่านี้ไม่ได้ กรุงศรี บังคับการตั้งชื่อตัวเลขกับตัวอักษรเท่านั้น แต่ไม่บังคับรหัสผ่าน มาแปลกกว่าชาวบ้านเลย ของธนาคารอื่นผมไม่ทราบ

ชัยธัช วรวรรณ

Perl Wed, 06/04/2011 - 23:11

ปกติระบบธุรกรรมการเงิน ก็ควรที่จะยินยอมให้ผู้ใช้มีการตั้ง Password แบบซับซ้อนได้ (Case-Sensitive,ตัวเลข,อักขระ)
เพื่อความปลอดภัยของระบบและผู้ใช้เอง แต่เห็นด้วยเต็มๆที่ Krungsri นี่มาแปลกเลยครับ
ใช้อักขระผสมตัวอักษรไม่ได้.. ปวดตับเลยครับ ใครมันเป็นคนดีไซน์ระบบเนี่ย จะได้ไปบอกลูกหลาน นี่เรื่องความปลอดภัยของผู้ใช้ล้วนๆเลยครับ

nut_457 Wed, 06/04/2011 - 23:14

สนับสนุนอีกเสียงครับ

เพิ่มเติม.. เรื่องรหัสผ่านครับอีกของธนาคารคือ SCB บังคับให้รหัสผ่านสำหรับ ebank ไว้แค่ 6 ตัวอักษร (อักษร+ตัวเลข) ผมว่ามันปลอดภัยน้อยเกินไปมากๆ..

ธิติวุฒิ มุกติกานันทกุล

PaePae Wed, 06/04/2011 - 23:26

ของ SCB เป็น 6-8 ตัวอักษรครับ แต่ก็ประหลาดอยู่ดี

(ตัวอักษรผสมตัวเลข ความยาว 6-8 หลัก ที่ต่างจาก Login Name)

PH41 Wed, 06/04/2011 - 23:28

แล้วบางที่ตรวจสอบ password เราต้อนตั้ง
จะกรอกภาษาหรืออักขละอื่นลงไปก็ไม่ได้ ต้องเป็นตัวอักษรภาษาอังกฤษและตัวเลขเท่านั้น :(
ทำไมมันต้องตรวจสอบด้วบ

UltimaWeapon Wed, 06/04/2011 - 23:14

อยากให้หาโปรแกรมเมอร์เก่งๆไปแก้ใขเว็บด้วยคับ เท่าที่ผมเห็น ของกรุงเทพกับไทยพาณิชย์ ฝีมือน่าจะอยู่ราวๆนักศึกษาจบได้ปีเดียว ผมไม่เข้าใจเลยว่าระดับธนาคารทำไมไม่หาคนเก่งๆไปทำ หรือให้คนเหล่านั้นทำเพราะเข้าใจว่าเขาเก่งแล้ว

lawender Wed, 06/04/2011 - 23:23

กรุงเทพฯเค้าปรับแล้วครับ ลองเข้าดูอีกที ตอนนี้น่าจะเข้าด้วยอะไรก็ได้แล้ว
ที่ธนาคารต้องเข้มงวดเรื่อง browser ส่วนหนึ่งมาจากมันเป็นเรื่องเงินครับ ถ้าเงินหายไปยังไงธนาคารก็เป็นจำเลยก่อน ดังนั้นธนาคารจึงต้องป้องกันตัวเองครับ

UltimaWeapon Wed, 06/04/2011 - 23:55

แค่เช็ค User Agent แทบไม่ช่วยให้ปลอดภัยขึ้นหรอกคับ เพราะมันเป็นเรื่องเงินนะแหละคับ ผมเลยอยากให้เอาคนเก่งๆเข้าไปทำ

darkleonic Wed, 06/04/2011 - 23:26

เรื่องเงินเรื่องใหญ่ครับ เขาต้องตรวจสอบ code ว่ามันต้องไม่มีปัญหา "จริงๆ"
หลังฉากไม่ได้ทำโดยนักศึกษาแน่ๆ เพราะไงแม้เว็บจะเป็นระบบใหม่ แต่ core business
ของธนาคารอาจจะเป็นระบบโบราณโคตรๆ ซึ่งมันต้องคุยให้รู้เรื่อง

ผมได้คุยกับคนของ บ. ที่ได้ออกแบบ thame ของธนาคารแห่งหนึ่ง
เขาบอกว่าส่งงานไปเป็นปีแล้ว โดนตรวจแล้วตรวจอีกกว่าจะขึ้นเว็บได้
เห็นว่าต้องแจ้ง กลต. กับแบงค์ชาติด้วย ไม่รู้จริงหรือเปล่า?

ZiiT Wed, 06/04/2011 - 23:30

ผมว่าติแบบนี้ไม่เกิดประโยชน์นะครับ เหมือนเอาแต่ด่าอย่างเดียวน่าจะบอกด้วยว่าไม่ดีตรงไหน บอกแบบนี้ไม่น่าจะมีใครแก้ให้ถูกใจได้ครับ

ส่วนตัวผมใช้แต่ของ SCB ก็พอใจในระดับนึงนะครับ ทั้งเวอร์ชันปกติและสำหรับมือถือ แต่ก็เห็นด้วยเรื่องรหัสผ่านควรจะซับซ้อนได้มากกว่านี้

UltimaWeapon Thu, 07/04/2011 - 00:08

ไม่ดีตรงที่ไม่เอาคนเก่งๆมาทำนะแหละคับ ซึ่ง ผมก็ไม่รู้ความจริงหรอก ว่าคนทำเขาเก่งหรือไม่เก่ง แต่ในความรู้สึกผม เขาธรรมดา จุดที่ทำให้ผมคิดว่าคนทำไม่ใช่คนเก่งอะไรก็ การล็อค User Agent การห้ามคลิกขวา การใช้ iframe การกำหนดวิธีตั้งรหัสผ่าน ชื่อไฟล์ UI ฯลฯ ต่างจาก paypal ที่เวลาผมใช้ทำให้ผมรู้สึกว่า คนทำคือคนเก่ง

Yone Sat, 09/04/2011 - 19:29

ยิ่งออกแบบ UI ด้วยเทคโนโลยีล้ำลึกเท่าไหร่
ยิ่งต้องพะวงเรื่อง Security ที่สูงขึ้นเท่านั้นนะครับ
การออกแบบธรรมดาแต่ครอบคลุมความปลอดภัยทุกด้านผมว่าได้ผลดีกว่านะครับ

17November Sat, 09/04/2011 - 23:11

UI สวยไม่สวย เกี่ยวอะไรกับ Security ครับ

การออกแบบพวกนี้ใช้แค่รูปกับ css ก็สวยได้แล้ว ไม่ต้องใช้เทคโนโลยีล้ำลึกอะไรเลย

Thaina Sun, 10/04/2011 - 01:23

ยิ่งแย่กว่าเดิมอีกครับ Doctor ด้าน Security ไม่รู้จักแยก MVC

ทำระบบ Security สูงล้ำ แต่ใครแก้ UI ต้องนั่งตรวจแล้วตรวจอีก แบบนี้ผมไม่เรียกว่าระบบที่ดีนะ

ฟังพูดแล้วอยากอุทานขึ้นมาว่า "ด็อกเตอร์เลยทีเดียว"

ZiiT Thu, 07/04/2011 - 14:31

ผมว่าสถาบันการเงินส่วนใหญ่ มีเงินและมีคนเก่งๆอยู่ในมือพอสมควรครับ ขึ้นอยู่ว่าเค้าให้ความสำคัญกับอะไรมากกว่าครับ ตอนนี้เค้าอาจจะให้ความสำคัญกับสิ่งอื่นที่ผู้ใช้อย่างเราๆยังมองไม่เห็น (เช่นพวกการตรวจสอบการทำงานประหลาดๆ หรือการให้ความปลอดภัยกับฝั่ง Backend)

ซึ่งสิ่งที่คุณ lew กำลังจะทำคือการบอกให้ผู้เกี่ยวข้องได้รับทราบถึงปัญหา ซึ่งควรจะได้แก้ไขและให้ความสำคัญ(ระดับนโยบาย) ซึ่งถ้าได้ผล ผมว่าธนาคารต่างๆน่าจะมีอะไรดีๆให้เราเห็นในอีกซักพักนึง (ถ้าผมไม่ได้มองโลกในแง่บวกไปนะ)

ninja741 Sun, 10/04/2011 - 20:26

ต้องเข้าในว่า ebanking ความปลอดภัยมันสำคัญที่สุด

ทุกธนาคารยอมตัด 100 featureทิ้ง ดีกว่าปล่อย 1 feature ที่มีช่องโหว่ออกไป

darkleonic Wed, 06/04/2011 - 23:24

ของกสิกรไทย ใช้ Opera Mobile ลุยเข้าไปได้ทั้งจากเว็บและผ่าน App เลย
ผมว่ากสิกรคงก้าวหน้าสุดๆ ในประเทศแล้วมั้ง

PH41 Wed, 06/04/2011 - 23:25

ควรจะรวมไปถึงสายการบิน และเว็บไซต์ของรัฐบาลด้วยมั้ยเนี้ย??
ปล. บางธนาคารยังให้ส่งข้อมูลบัญชีโดยใช้แผ่น floppy อยู่เลย

febthor Wed, 06/04/2011 - 23:27

ผมมีปัญหากับ KBank ครับ เพราะ KBank จะสนับสนุนทุกบราวเซอร์แค่ตัว K-Cyberbankin แต่ตัว K-Cash Connect (ตัวที่ทำธุรกรรมยอดเยอะๆ) จะต้องใช้ IE เท่านั้นเลยครับ

lancaster Thu, 07/04/2011 - 02:08

ถ้าแค่ส่วน K-Cyber Banking เนี่ย เป็นมิตรสุด (เทียบกับทุกเจ้าในไทย) แล้วครับ แทบจะเป็น html ล้วนเลย มี javascript นิดหน่อยเอง

เจอ post ทุกคลิกของ scb เข้าไปนี่ webkit ถึงกับมึน

Ishmael Thu, 07/04/2011 - 22:20

+1 K-Cyber Banking ค่อนข้างยืดหยุ่นที่สุด ใช้ได้ทุกบราวเซอร์ และเตือนเรื่องความปลอดภัยเสมอๆเมื่อมีปัญหา แต่ App ใน Smartphone และอุปกรณ์อื่นๆ ยังคงต้องปรับปรุง และ test ให้ดีก่อนออกมาให้ใช้

sarapuk Wed, 06/04/2011 - 23:28

ขอสนับสนุน จดหมายเปิดผนึกนี้ครับ
ผมใช้ Chrome ใช้งานของ SCB ได้ปกติดีครับ

Virusfowl Wed, 06/04/2011 - 23:28

ขอบ่นนอกประเด็นนิดหน่อย แต่กะเกี่ยวกับเรื่องเว็บธนาคารนี่แหละ...

อยากให้สนใจด้าน WebAccessibility เพิ่มด้วยอีกอย่าง ไม่ต้องเลิศหรู แค่ระดับต่ำสุดก็ได้ เพราะ online เป็นไม่กี่ช่องทางที่ผู้พิการจะสามารถเข้าถึงบริการต่างๆ ของธนาคารได้... มันสะดวกกว่าตู้ ATM มากนัก

lawender Wed, 06/04/2011 - 23:32

ผมเห้นด้วยบางส่วน แล้วก็ไม่เห็นด้วยบางส่วนครับ

ส่วนที่เห็นด้วยคือธนาคารควรต้องพยายามปรับตัวตามสภาพการใช้งานปัจจุบันของผู้ใช้ให้ทัน
แต่ที่ไม่เห้นด้วยคือการร้องขอให้ธนาคารปล่อยเสรี ไม่ควบคุมอะไรเลย

ผมเคยคุยกับรองประธานฝ่ายสารสนเทศของธนาคารกรุงเทพฯ ทำให้ทราบว่าผู้ที่ดูแลเรื่องนี้ทราบกันดีว่าสภาพตลาดเปลี่ยนไปครับและมี Browser หลากหลายให้ใช้ในตลาด รวมทั้งหลากหลายอุปกรณ์ด้วย แต่ด้วยความที่ธนาคารมีหน้าที่หลักคือรักษาเงินฝากของประชาชนให้ปลอดภัยที่สุด จึงมีความจำเป็นที่ต้องรอบคอบ เพราะหากเกิดกรณีเงินหายไปเพราะอะไรก็ตามจากการใช้งานผ่านอินเตอร์เนท ธนาคารจะเป็นคนแรกที่ต้องรับผิดชอบ ทั้งๆที่ความผิดนั้นอาจจะไม่ได้เกิดมาจากธนาคารเอง

ไหนๆก็เป็นข้อเสนอจากกลุ่มผู้ใช้เทคโนโลยีอยู่แล้ว ผมจึงคิดว่าเราควรมองในมุมธนาคารด้วยหรือไม่ว่าการปล่อยเสรีนั้นจะเกิดความเสี่ยงอะไรบ้างต่อผู้ใช้งาน และนำเสนอทางแก้ไขและป้องกันด้วย จึงเป็นข้อเสนอที่เป็นได้ในทางปฏิบัติ

การพยายามผักดันให้เกิดเสรี โดยไม่มีการป้องกันความเสี่ยงที่เกิดขึ้น เป็นไปได้ยากมากที่จะได้รับการตอบสนองรวดเร็วในทางปฏิบัติและออกจะเป็นการผลักภาระในการจัดการกับความเสี่ยงให้ธนาคารรับผิดชอบเพิ่มขึ้นด้วยครับ

ถ้ามองตามกฏ 80:20 ผมคิดว่า ธนาคารเลือกถูกแล้วที่จะดูแล 80 แล้วปล่อยให้กลุ่ม 20 ลำบากหน่อย แต่ทั้งนี้ทั้งนั้นธนาคารต้องมั่นใจด้วยว่าตัวเองเลือกถูกว่าใครคือ กลุ่ม 80 ใครคือกลุ่ม 20

ความความเคารพ

lawender Thu, 07/04/2011 - 13:47

ไม่ใช่ครับ

การออกแบบอะไรก็ตาม ควรพิจารณาให้กลุ่ม 80 ทำงานง่ายที่สุดเพราะเป็นคนใช้งานส่วนใหญ่ และให้กลุ่ม 20 สามารถใช้งานได้ แต่อาจจะไม่สะดวกหน่อย การออกแบบอะไรก็ตามที่มุ่งเนั้นให้กลุ่ม 20 สะดวกสบายนั้น จะทำให้กลุ่ม 80 ประสบความลำบากในการใช้งานครับ (เอาไปใช้ได้เกือบครอบจักรวาลครับ)

ปกติการออกแบบที่มีปัญหรือเสียเวลาโดยไม่จำเป็นนั้น จะพยายามที่จะแก้ปัญหาให้กลุ่ม 20% เกินไป (ย้ำว่าเกินไปนะครับ) จนกระทบกลุ่ม 80%

คนละเรื่องกับที่บอกว่ากลุ่ม 20% มีน้ำหนักมากกว่า 80% ครับ คิดง่ายว่า ถ้ารัฐจัดสรรงบประมาณ 80% ไปดูแลกลุ่ม 20% มันก็ไม่ถูกต้องใช่ไหมครับ (แต่กลุ่ม 20% จะคิดว่าถูกต้องอยู่แล้ว เพราะ เงินก้อนนั้นก็มาจากกลุ่มเค้าน่ะล่ะ :P)

icez Thu, 07/04/2011 - 00:10

เป้าหมายการโจมตีที่ผ่านมาไม่ใช่โจมตี "เว็บ" นะครับ

แต่เค้าใช้วิธีสร้าง phishing page หลอกให้คนเชื่อแล้วเข้าไปกรอก user/pass ต่างหาก

ซึ่งปัญหานี้ การกรอง browser จะยิ่งเป็นผลเสีย
โดยเฉพาะการกรอง แล้วยังปล่อยให้ IE 6 เข้าได้ เพราะมันไม่มีระบบการกรอง phishing !!!

lew Wed, 06/04/2011 - 23:48

ผมสงสัยต่อ "ความรอบคอบ" ของธนาคารครับ

IE6 มีประวัติอันยาวนานถึงช่องโหว่ความปลอดภัย เป็นเป้าโจมตีของมัลแวร์และไวรัสจำนวนมาก ที่ผ่านมาธนาคารซึ่งพยายามควบคุมทุกอย่าง ได้ใช้การควบคุมนี้ ช่วยเหลือลูกค้าอย่างไรกันบ้าง?

lawender Thu, 07/04/2011 - 14:00

@Lew ครับ

ผมเห็นด้วยว่าธนาคารปรับตัวตามตลาดไม่ทัน และต้องเร่ง "ความเร็ว" ในการตาม Technology Browser มากกว่านี้ครับ การจำกัด Browser จริงๆแล้วมันก็เป็นการสะท้อนให้เห็นอย่างชัดเจนถึง "ความล้มเหลว" ในการปรับตัวของภาคธนาคารครับ อันนี้ผมว่าทุกคนยอมรับครับ

แต่ผมคิดว่ามันคนละประเด็นกับการเรียกร้องให้เปิดเสรีหรือ "อิสระ" เพื่อแก้ปัญหาการปรับตัวไม่ทันของธนาคาร ทางออกมันน่าจะเป้นอย่างอื่นครับ ที่ผมทราบมาคือ การจะอนุญาตนั้น ธนาคารจะต้องยื่นเรื่องไปทางแบงค์ชาติด้วยครับ ไม่ได้สามารถทำได้โดยพลการ และอย่างที่บอกครับว่าการรักษาความปลดภัยของทรัพย์สินของผู้ฝากเงิน เป็นหน้าที่หลักของธนาคารครับ

ถ้าพูดจริงๆแล้ว Internet Banking เป็นเพียงช่องทางนึงในการเข้าถึงบริการของธนาคาร ซึ่งผู้ใช้งานช่องทางนี้ ก็มีไม่มากเท่ากับผู้ที่ใช้บริการผ่าน ATM หรือสาขา ดังนั้นที่ผ่านมาธนาคารจึงปรับตัวช้ามากในตลาดนี้ เพราะคิดว่ามันเป็นแค่ทางเลือก (แต่ก่อนอาจจะมองว่าเป็นแค่ Fashion เท่านั้น) แต่ในวันนี้ มันกำลังจะกลายเป็นช่องทางหลักอีกทางหนึ่งแล้ว ดังนั้นผมถึงบอกว่าผมเห็นด้วยที่ธนาคารต้องปรับตัวให้ทันให้ได้

การเสนอให้มี "อิสระ" โดยผลักภาระไปให้ผู้ใช้รับความเสี่ยงทางด้านความปลอดภัยเอง โดยการขึ้น "ข้อความเตือน" นั้น ผมคิดว่า ถ้าธนาคารทำแบบนี้จริง ถือว่าไม่มีความรับผิดชอบอย่างยิ่งครับ

ผมว่าข้อเสนอของ Blognone มันกว้างเกินไป และสุ่มเสี่ยงที่จะสร้างปัญหาด้านความปลอดภัย ครับ

mk Thu, 07/04/2011 - 14:30

"การไม่เช็ค user-agent" ไม่น่าจะแปลว่า "ไม่ปลอดภัย" นะครับ และไม่ได้แปลว่า "อิสระ" ทุกประการด้วย ก็แค่เปิดกว้างให้เบราว์เซอร์ทำงานได้ทุกตัวเท่านั้น

ยังมีวิธีการอื่นๆ อีกมากที่จะช่วยให้การทำธุรกรรมปลอดภัยยิ่งขึ้น เช่น การ verify ตัวตนผ่าน SMS ที่หลายๆ ธนาคารใช้อยู่, การเชื่อมต่อผ่าน SSL ตลอดเวลา, การแสดงรายการ session ที่ล็อกอินอยู่ในขณะนั้นว่ามาจากที่ไหนบ้าง (อย่างที่ Google/Facebook ทำอยู่)

ผมว่าสิ่งที่เศร้ามาก (และน่าจะเกิดขึ้นแล้ว) คือผู้บริหารธนาคารซื้อ iPad มาแล้วปรากฏว่าล็อกอินเข้าระบบของธนาคารตัวเองไม่ได้ครับ

lew Thu, 07/04/2011 - 18:39

ผมมองในเชิง technical นะครับ การ lock เช่นนี้ไม่ช่วยอะไร ความเสี่ยงทางด้านความปลอดภัยที่ผู้ใช้ต้องรับภาระ ยังคงอยู่ และไม่ลดลง

ผมสามารถแสดงได้โดยง่ายกว่าการ lock เช่นนี้__ไม่สามารถลดความเสี่ยง__ ได้อย่างไร ด้วยการปลอมเบราเซอร์ที่ "มุ่งร้าย" ให้เป็นเบราเซอร์ที่อยู่ในรายการที่ธนาคารรองรับได้โดยง่าย

ถ้ามีกรณีที่ "หนักแน่น" ว่าการกระทำเช่นนี้ช่วยผู้ใช้ได้จริง ผมยินดีให้พื้นที่เว็บนี้กับทางธนาคารมาชี้แจงกับผู้ใช้ครับ

PaPaSEK Fri, 08/04/2011 - 14:51

ผมขอเดาว่าไม่ใช่ด้านความปลอดภัยหรอกครับ

คนที่ทำระบบขึ้นมาไม่มีความเป็นมืออาชีพมากว่าครับ คือเขียนให้มันทำงานได้กับเบราว์เซอร์แค่ตัวเดียวพอ เพราะการเขียนระบบให้ทำงานได้ครบทุกเบราว์เซอร์ไม่ใช่เรื่องง่ายๆ ต้องมีใจรักและมีความเป็นมืออาชีพ (รับผิดชอบต่อหน้าที่ของตนเอง) ด้วยครับ

อย่างกรณีของ Tesco Visa Card ซึ่งใช้ระบบ E-Service ของกรุงศรีฯ ช่วงปีก่อนที่ผมใช้งานนั้นไม่ได้มีการ filter ที่ user-agent แต่อย่างใด เพราะมันหนักกว่านั้นครับ ใช้ Chrome ดูเว็บแล้วมันเพี้ยนหมด เพราะ CSS + JavaScript ทำงานไม่ได้ พอลอง Viewcode ดูก็รู้ว่าหยาบมากๆ เพราะ Code ทำงานได้กับ IE เท่านั้นและแทบจะไม่ Support W3C เลยด้วย (ทั้ง CSS และ JavaScript)

ระบบ E-Bank ที่ผมชอบคือของกสิกรครับ CSS มีเพี้ยนบ้างแต่ก็ใช้ได้ครบทุกเบราว์เซอร์ Code ก็เขียนมาค่อนข้างดี

pongmile Wed, 06/04/2011 - 23:35

+1 ใช่ครับ เพราะเดี่ยวนี่การใช้เบราเซอร์ในประเทศไทยหันมาใช้ Firefox Chrome และเบราเซอร์อื่นๆ หรือ IE เวอร์ชั่นที่สูงขึ้นไป และในบางทีเบราเซอร์ในเวอร์ชั่นที่กำหนดอาจจะมีช่องโหว่ บั๊ก หรือข้อผิดพลาดต่างๆ จึงอยากให้ทางธนาคารหยุดการจำกัดเบราเซอร์ที่ใช้ เพื่อจะได้ให้ผู้ใช้เบราเซอร์อื่นๆ สามารถใช้บริการออนไลน์ได้อย่างเท่าเทียมกัน

auenton Wed, 06/04/2011 - 23:39

ผมใช้ symbian เวลาเข้าเว็บธนาคารผ่าน Browser ของตัวมือถือเอง ชอบล๊อคอินไม่ผ่าน

ไม่รู้เกิดจากอะไร -*-

nanana Wed, 06/04/2011 - 23:43

สนับสนุนครับ

ในฐานะโปรแกรมเมอร์อ่อน ๆ อย่างผม
ที่พอจะได้ผ่านระบบเหล่านี้มาบ้าง
ก็รู้สึกดีจังจะได้มีงานทำเพิ่มอีกหล่ะ

ที่เคยทำมา กว่าระบบจะผ่านได้ test แล้ว test อีก
แล้วมีตรวจ sourcecode ด้วย

ถ้าต้องรองรับ ทุก browser รวมถึงมือถือด้วย
เราก็คงจะได้ทดสอบและตรวจสอบ กันมากขึ้นอีก
จะได้เก่งขึ้นอีก

kittipat Wed, 06/04/2011 - 23:52

ขอสนับสนุนด้วยครับ ถึงจะไม่ได้ใช้ e-banking ที่ไทย แต่เท่าที่เคยใช้มาสามธนาคาร ใช้ browser หลักๆ (IE, Firefox, Chrome) นี่ก็ใช้ได้หมด ไม่ได้มีปัญหาอะไร ทำไมธนาคารไทยจะทำบ้างไม่ได้

iheresss Wed, 06/04/2011 - 23:52

โดยส่วนตัวใช้งาน e-banking ของ SCB และ KBANK ก็รู้สึกโอเคกับระบบของทั้งสอง
ส่วนที่รู้สึกขัดใจก็แค่รหัสผ่านที่บังคับให้ยาวไม่เกิน xx ตัวอักษร ทำให้รู้สึกไม่ปลอดภัยในการใช้งานเท่าที่ควร (ถึงจะ ssl แล้วก็เถอะ)

สำหรับตัวเนื้อหาของจดหมาย อาจจะต้องเป็นทางการมากกว่านี้?
ผมก็ไม่แน่ใจนะครับว่าจดหมายเปิดผนึกนี่ต้องใช้คำ การอ้างอิง และบริบทให้เป็นทางการขนาดไหน
แต่ผมคิดว่าถ้ามีบริบทเหมือนเอกสารทางการอื่นๆ ก็จะดีนะครับ ดูขลังดี มีพลัง

F16 Wed, 06/04/2011 - 23:56

ผมสงสัยขอถามนิดนึงครับ อยากทราบว่าธนาคารของต่างประเทศมีระบบการตรวจเบราเซอร์อย่างไร?

สุดท้ายก็ขอลงชื่อสนับสนุนด้วยครับ เอกชัย มุ่งงาม

kittipat Thu, 07/04/2011 - 00:55

เท่าที่เคยใช้เหมือนจะไม่ตรวจอะไรนะครับ มีแค่เงื่อนไขพิเศษสำหรับ IE รุ่นเก่าๆ (สำหรับ css javascript) แต่หลักๆ แล้วทุกอย่างเป็น html ธรรมดา ผมก็ไม่เข้าใจว่าทำไมต้องตรวจ เพราะยังไงข้อมูลทุกอย่างก็ต้องถูกส่งไปตรวจสอบกับ server ของธนาคารเอง

chayaninw Thu, 07/04/2011 - 06:24

เท่าที่เคยใช้มาสามธนาคาร ไม่เจอปัญหากับเบราว์เซอร์ครับ

ที่แปลกใจอีกอย่างคือ ที่เคยใช้มา ไม่มีใช้ OTP ผ่านมือถือเลยแฮะ (ทำให้บางทีรู้สึกรำคาญเรื่อง OTP ผ่านมือถืออยู่บ้าง แม้ว่ามันจะปลอดภัยดีก็ตาม)

tsadvanced Thu, 07/04/2011 - 00:20

สนับสนุนครับ และเห็นด้วยเรื่องรหัสผ่านที่มีความซับซ้อนน้อยเกินไป รหัสจีเมล์ยังซับซ้อนกว่ารหัสอีแบงค์กิ้งเลย -*-

pangza17 Thu, 07/04/2011 - 00:42

เห็นด้วยครับ หลายๆเว็บไซต์มีปัญหามาก ไม่ใข่แค่เว็บธนาคารเท่านั้น

รวมไปจนถึงเว็บราชการบางส่วนด้วย ที่กำหนดการเข้าใช้งานโดยไม่มีเหตุผล

puuga Thu, 07/04/2011 - 01:12

อยากให้เพิ่มเรื่อง Web Accessibility ด้วยครับ ไม่ต้องหรู แต่ใช้ง่าย เช่น ตัวหนังสือใหญ่หน่อย

ส่วนตัว ใช้ Kbank, krungsri, bangkokbank น่าปวดหัวในเรื่องต่างๆกันไป
Kbank บ่อยครั้งที่ OTP มาช้า จนลืมไปแล้ว
krungsri พอเปลี่ยนใหม่แล้วตัวหนังสือเล็กลง...
bangkokbank เมื่อก่อนใช้ได้แต่ IE แต่เดี๋ยวนี้ FF ก็ใช้ได้แล้ว แต่ใช้ๆอยู่เหมือนว่าบางทีเมนูมันเอ๋อๆ ไม่รู้เป็นคนเดียวรึเปล่า

pd2002 Thu, 07/04/2011 - 01:27

ผมใช้ scb kbank bbl ส่วนตัวแล้วไม่มีปัญหา มัน chk agent ก็เปลี่ยน browser "จบ" แล้วสำหรับผม
ถ้าเข้า mobile ก็มี mobile site เปิดให้บริการอยู่ ทุกอย่าง Smooth มากๆ

kiak Thu, 07/04/2011 - 02:05

อยากให้เลือกได้ ว่าจะเปิด หรือปิด otp เพราะผมชอบเปิดมากกว่า
แล้วก็บอกเค้าว่า ถ้าเกิดสั่ง enable otp แล้ว การที่เงินจะโอนออกจาก ธนาคาร ควรให้ผ่าน otp ทุกๆรายการอะครับ เพราะบางแบงค์ พวกเติมเงิน มันจะไม่ต้อง otp ครับ ซึ่ง ผมไม่ค่อยชอบเท่าใหร่ เดี๋ยวโดนคนอื่นเก็บพาสไปนี่คงจนพอดี

อ่อ แล้วก็ อยากให้แบงค์ แจ้งให้ชัดๆ อะครับ เรื่องค่าธรรมเนียมของบริการต่างๆ ครับ เพราะว่าผมเคยเห็นบางเว็บไม่ได้เขียนว่าจะเก็บค่าโอน แต่ว่า พอกดโอนไปปุ๊บ มันก็เก็บมาซะแล้ว ผมไม่แน่ใจว่าผมไม่เห็น(เพราะไม่ได้ดูให้ดี)เองหรือเปล่า แต่บางทีมันเซงๆ นะ แบบ ทำไมไม่บอกก่อนวะ ว่าเสียตัง ไม่งั้นก็เดินไปกดตังออกจากตู้แล้วยัดเข้าตู้ฝากเงินข้างบ้านก็ได้ ประหยัดด้วย

BreMen Thu, 07/04/2011 - 02:05

เห็นด้วยครับ แต่ควรจะมีเอกสารเซ็นลายลักษณ์อักษรไปด้วยว่า ว่าเจ้าตัวยินยอมให้ใช้ Browser อื่นได้ครับ

adamy Thu, 07/04/2011 - 02:09

Usability หลายแบงค์แย่ Security หลายแบงค์ยังดูหละหลวม การจัดการอย่าง Krungthai ยังต้อง Pop-Up หน้าออกมา ซึ่งก็เป็นช่องโหว่ได้เช่นกัน

ควรจะใ้ห้คนที่เป็นงานได้วางระบบงานแล้วมั้งครับ ทำให้ Usability มันดีหน่อยครับ

ปล.ผมคิดว่า SCB ทำได้ดีครับ K-Bank ยัง Usability ต่ำกว่า แต่ก็ดีไม่แพ้กันครับ แต่นี่เป็นความคิดเห็นเฉพาะส่วนที่ใช้นะครับ แต่ผมว่าควรจะยกเครื่องได้แล้วครับ

ขอบคุณครับ สวัสดีครับ

puri Thu, 07/04/2011 - 02:13

มันเป็นที่เรื่องธุรกิจรึเปล่าครับ
แบบว่าถ้ายอมให้ browser อื่นเข้าได้ ก็เหมือนว่ายอมรับว่า support
แล้วก็ต้องทำระบบทั้งหมดให้ support จริง ๆ ซึ่งก็ต้อง test กันมากขึ้นหลายเท่า

ธนาคารท้องถิ่นที่ต่างประเทศ (ญี่ปุ่นและสหรัฐฯ) ก็มีลักษณะคล้าย ๆ กัน
คือจะแจ้งเตือนก่อนว่า browser นี้นั้นเข้าไม่ได้นะ แต่สุดท้ายก็จะยอมให้ใช้ไป แต่ใช้ได้จริงรึเปล่า ไม่รับผิดชอบ
ผมไม่แน่ใจกฎหมายไทยว่าทำอย่างนั้นได้รึเปล่า

koalaz Thu, 07/04/2011 - 02:25

ผมใช้ KTB กับ KBank (K ทั้งคู่เลยวุ้ย) ด้วย Chrome ได้อย่างไม่มีปัญหาทั้งคู่

แต่เห็นด้วยครับ

iStyle Thu, 07/04/2011 - 06:37

จุฬาฯ นี่ไม่เข้าใจ เหมือนจะแก้บรรทัดเดียวหายเลยนะสำหรับ reg ไม่ยอมแก้ซักที

ตอนนี้แนะนำให้ลง userscript ไปก่อนครับ ใช้ได้ทั้ง ff และ chrome เลย

Ishmael Thu, 07/04/2011 - 22:27

ถูกใจจริงๆ เรื่องการลงทะเบียนของจุฬาฯ เดี๋ยวพฤษภาคมก็ต้องลงอีกแล้ว
น่าจะส่งจดหมายถึง รองอธิการบดีฯ จะได้เรื่องหรือเปล่าก็ไม่รู้

oooki Fri, 08/04/2011 - 13:50

ขนาดเข้าโครงการอบรม(บุคคลภายนอก)ของบางคณะ ยังให้รอรับบัตรประจำตัวนิสิตกับรหัสผ่านเข้าใช้เน็ตตอนเดือนพฤษภาเลย อ้างว่าต้องทำพร้อมกับนิสิตใหม่

แต่เดือนพฤษภามันอบรมเดือนสุดท้ายนี่สิ จะเอามาทำอะไรกันเดือนนั้น เสียค่าอบรมตั้งแพง - -"

sundaycafe Thu, 07/04/2011 - 08:53

BBL กับ SCB ใช้ Chrome, Firefox ได้แล้ว
แต่ BBL ทำ sorting by date เหมือน IE ไม่ได้

เหลือธนาคารไหนที่ไม่ทำเหรอครับ??

njtd Thu, 07/04/2011 - 09:20

ไม่ค่อยเกี่ยวกับ User Agent เท่าไหร่ แต่
KTB Online login เข้าไปแล้วก็หลุดออกมา ขึ้น Session expire บ่อยมากๆ
KTC Click เก็บ password ของผู้ใช้ไว้เป็น plaintext แน่ๆ แล้วก็เอาไปใช้เป็น password ของ statement pdf ที่ส่งมาให้ทุกเดือน และไม่สามารถเปลี่ยน password ได้อีกด้วย

tekkasit Thu, 07/04/2011 - 10:39

เห็นด้วยอีกเสียงครับ

ผมเข้าใจว่า ถ้าเปิดแล้ว คุณอาจจะคิดว่า ต้องมานั่งทำคู่มืออธิบายการใช้งานเบราเซอร์แต่ละชนิด (อันนี้ผมเคยเจอจริงๆนะ แต่นั่นก็ห้าหกปีก่อน) โดยเฉพาะพวก troubleshooting ประเภทต้องอนุญาต Pop-up อะไรทำนองนี้

คือไม่ว่านะครับ แค่เตือนว่า เบราเซอร์ที่คุณใช้เราไม่สนับสนุนอย่างเป็นทางการ แต่เราจะไม่ห้ามคุณเข้าใช้งาน แต่จะเข้าไปใช้ก็ได้ไม่ว่ากัน แต่ประสบการณ์อาจจะไม่ดีเท่า อย่าบ่นล่ะ อย่าโทรมาล่ะ

แต่ก็อีกล่ะ สารพัดจาวาสคริปต์หรือ VBScript หรือกับ DOM ที่มันจะพลาดคลาดเคลื่อนในแต่ละยี่ห้อและรุ่นของเบราเซอร์ โดยเฉพาะของ IE 6 มา IE 7 นี่ ขั้นวิกฤตเลยทีเดียว

ZiiT Thu, 07/04/2011 - 10:57

ถึงจะไม่เกี่ยวข้องกับหัีวข้อโดยตรง แต่ขอฝากปัญหาเรื่อง Security (ของเรา) บน eService ของ AIS ไว้อันนึงสิครับ eService บริการดีๆจาก AIS แต่อาจจะไม่ดีสำหรับเรา ?

bitworld Thu, 07/04/2011 - 12:02

+1 สนับสนุนครับ ตอนนี้ย้ายธุรกรรมทุกอย่างมาที่ ธ.กสิกร เพราะพอเคยมีปัญหาแล้วโทรไปสอบถามแล้วได้รับคำตอบว่าสนับสนุนการทำงานของ firefox ที่ใช้ประจำ นั่นก็นานมาแล้ว คิดว่าตอนนี้น่าจะสนับสนุนการทำงานของทุกบราวเซอร์แล้ว

gd_ab Thu, 07/04/2011 - 18:28

ส่วนตัวเคยทำงานที่ SCB เป็น PHP Programmer สมัย 10 ปีก่อน
ก็เห็นว่าหน่วยงาน IT ของ แบงค์มีหลายส่วนครับ ซึ่งบางส่วนที่มีหน้าที่รับผิดชอบเกี่ยวกับ transaction ของธนาคารจะต้องผิดพลาดให้น้อยที่สุด ดังนั้นหน่วยงานเหล่านี้ จะมีหัวหน้าทีมเป็นพนักงานเก่าแก่ (เดาว่าอยู่มาไม่น้อยกว่า 10 ปี ถ้าอยู่มาถึงเดี๋ยวนี้ ก็ 20 กว่าปีแล้วล่ะ)

หน่วยงานที่ผมเคยอยู่ ถึงแม้ว่าจะมีหัวหน้าแผนกเป็นด็อกเตอร์รุ่นใหม่ แต่ได้ทำโปรเจ็คใหม่ๆที่ไม่เกี่ยวกับฟังก์ชั่นหลักของธนาคารครับ

แต่แน่นอนว่า เมื่อเวลาผ่านไปก็ต้องมีการเปลี่ยนแปลงบุคลากรไปบ้าง แต่โครงสร้างองค์กรที่ปกครองโดยคนรุ่นเก่าก็ยังคงอยู่ จึงทำให้แนวความคิดใหม่ๆสำเร็จได้ลำบากครับ

joomla Thu, 07/04/2011 - 13:55

ซ๊าาาาาาาธุ จะได้หมดยุคโบราณสักที ไม่กล้าใช้บริการธนาคารก็เพราะ ie นี่แหละ ถ้าเปลี่ยนจริงจะหนักก็ตรงเจ้าหน้าที่ไอทีธนาคารนี่แหละ

thedesp Thu, 07/04/2011 - 14:41

ขอเพิ่มเรื่อง password ด้วยได้ป่าว

-ยกเลิกกำหนดความยาวสูงสุดของรหัสผ่าน

-ถ้าจะกำหนด ใน login form ช่วยจำกัดจำนวนตัวอักษรให้เท่าที่กำหนดด้วย เพราะใส่เกินแล้วแจ้งว่า password ผิด

bazzery Thu, 07/04/2011 - 14:44

ส่วนตัวผมไม่ค่อยได้ใช้ ระบบ e-banking มากเท่าไรหนักแต่ผมก็อยากเหํนการใช้ระบบ e-banking ของทุกๆ ธนาคารในประเทศไทย มีการพัฒนาตามเทคโนโลยีเพื่อตอบสนองกับกลุ่มลูกค้าได้มาขึ้น

พูดกันง่ายๆคือถ้ามีเทคโนโลยีที่ดีขึ้นแล้ว แต่ถูกจำกัดให้ใช้แต่เทคโนโลยีเดิมๆ แล้วมนุษย์เราจะพัฒนาสิ่งใหม่ๆไปทำไมกัน

งงกับที่ตัวเองพูด อย่างไงก็ขอสนับสนุบครับ ขอบวกซัก 100

Zatang Thu, 07/04/2011 - 15:12

เรื่องเว็บ mobile ด้วย เดี๋ยวนี้ smart phone ทำอะไรได้มากแล้ว อยากจะเข้า full site กลับเข้าไม่ได้ โดนเด้งไปหน้า mobile น่าจะกดเลือกได้ด้วย

XLR8 Thu, 07/04/2011 - 19:58

+1 ครับ เห็นด้วยในประเด็นที่ i-banking ควรจะ support browser ที่หลากหลาย ไม่ใช่แค่จำกัดแค่ IE อย่างเดียว (ที่ต้องยก IE เป็นตัวอย่าง ก็เพราะจากประสบการณ์ ถ้าใช้ browser อื่นแล้วไม่ได้ มันจะใช้ IE ได้ ฮา)

สำหรับงวดนี้ที่ browser แต่ละค่ายมีการอัพเดตเวอร์ชันใหม่ออกมาในเวลาไล่เลี่ยกัน ผมพบว่าแบงค์กรุงเทพไม่สามารถใช้งานกับ Chrome ได้ แต่ทางธนาคารก็แก้ไขให้หลังจากนั้นเพียงไม่กี่วัน จุดนึ้ต้องขอชมเชยทางธนาคารที่ปรับตัวได้เร็วทันใจดีครับ ส่วน KBank กับ SCB ไม่พบปัญหาอะไร

ปล. ผมใช้ Chrome เป็นหลักและไม่ได้เข้า i-banking ทุกวัน

mr_tawan Thu, 07/04/2011 - 21:13

ขอแชร์อีกนิดละกัน ...

เท่าที่ผมใช้งานระบบธนาคารผ่านอินเตอร์มา ... เวปธนาคารไทยแท้แทบทุกเวปมีปัญหากับ Browser ที่ไม่ใช่ IE ซึ่งก็ตรงกับที่ข้างบนว่าไว้ล่ะครับ

ในทางกลับกัน เวปธนาคารอย่าง Standard Chartered (ประเทศไทย) ดันใช้กับ Browser อย่าง Chrome หรือ Firefox ได้ ... ก็เลยเป็นเหตุผลที่ผมใช้บริการธนาคารนี้แหละ อิอิ (เป็นเหตุผลร่วมกับการใช้บัตร ATM กับตู้ไหนก็ได้ (ซึ่งมีมาก่อน ธ.ทหารไทยนะ เท่าที่รู้))

เท่าที่นึกออก ของ HSBC ก็ใช้งานกับ Firefox ได้ไม่มีปัญหาเช่นกัน แต่ว่าต้องใช้ Token ในการ Authenticate ด้วย ผมเดาว่าเป็นของ RSA นะ

NightMare Fri, 08/04/2011 - 12:29

ส่วนตัวผมไม่ซีเรียสกับเรื่อง browser ครับ ความปลอดภัยเท่านั้นที่ต้องการสูงสุด
ต่อให้ถูกจำกัดมากกว่านี้ก็ยอม เพราะอย่าลืมว่านี่คือ ธนาคาร นะครับไม่ใช่เว็บฝากรูปฟรี
และจากการใช้ส่วนตัวทั้ง 3 ธนาคารคือ Kbank, Krungsri, SCB
ยอมรับได้และค่อนข้างชอบในความเรียบง่าย อาจเป็นเพราะผมไม่ได้เรื่องมากหรืออีโก้สูงเกินไปมั้งครับ ^^

lancaster Fri, 08/04/2011 - 13:42

มันไม่ใช่ว่าคนอื่นเรื่องมากหรืออีโก้สูงหรอกครับ

คุณไม่เข้าใจเองว่าคุณกำลังเดินอยู่ในทุ่งระเบิด

PaePae Fri, 08/04/2011 - 18:20

การออกแบบด้านความปลอดภัยของระบบที่ทำงานผ่านเน็ตเวิร์กไม่ได้ขึ้นอยู่กับไคลเอนต์ครับ แต่ต้องเป็นที่เซิร์ฟเวอร์เท่านั้น โดยทั่วไปแล้วเซิร์ฟเวอร์ต้องมองไคลเอนต์ทุกตัวเป็น untrusted เสมอ ไม่ว่าจะคุณจะใช้ IE, FF, Chrome, etc. ก็ต้องถือว่าเป็น untrusted เสมอ ไม่มีไคลเอนต์ตัวใดเป็น trusted ได้ครับ

เอาจริงๆ แล้วการจะหลอกเซิร์ฟเวอร์ว่าใช้เบราว์เซอร์ตัวใด ก็เป็นแค่การแก้ไขข้อความ plain text 1 บรรทัดใน HTTP header เท่านั้น

การที่ธนาคารจะยกเรื่องความปลอดภัยมาเป็นข้ออ้างไม่ให้ใช้เบราว์เซอร์ตัวอื่นนั้นถือว่าไม่สมเหตุสมผลอย่างยิ่ง แต่ถ้าอ้างว่าไม่มีปัญญาเขียนเว็บให้ตรงตามมาตรฐาน W3C อันนี้จะอนุโลมให้ได้ว่าธนาคารมักง่าย

tanit9999 Sat, 09/04/2011 - 13:43

คืองานนี้ธนาคารเค้าคงไม่เดือดร้อนหรอกครับแต่คนเดือดร้อนผมว่าโปรแกรมเมอร์ ผมว่าเราช่วยกันส่งความช่วยเหลือหรือแนวทางช่วยเค้าเหล่านั้นดีมั๊ยครับ ว่าทำอย่างไรถึงจะแก้ปัญหาได้ เพราะมันก็นะปัญหา browser มันเป็นปัญหาโลกแต่ของ web programmer จริงๆ

tanit9999 Sat, 09/04/2011 - 13:49

คือปัญหาก็คือถ้าเข้ากับ browser ต่างกันจะทำงานไม่ถูกต้องหรือไม่แสดงผลตามต้องการใช่มั๊ย แล้ว คือเราต้องการให้เค้ายกเลิกตรวจแล้วยอมให้เราใช้เว็ปแบบบิดๆเบี้ยวๆหรือครับ แล้วเราค่อยไปเรียกร้องต่อว่าให้เค้าทำให้เราใช้งานได้ทุก browser ทำไมเราไม่เรียกร้องและให้ข้อเสนอกับเค้าว่าควรทำตาม w3c หละครับ งง เพราะถ้าให้เค้ายกเลิกการตรวจแล้วเราเข้าใช้กับ browser ที่เค้าไม่ได้รองรับแล้วทำงานไม่ได้ค่ามันก็เท่ากันไม่ใช่รึ

aimakung Sun, 10/04/2011 - 01:14

ประเด็นคือทำตาม W3C มันไม่ได้เลวร้าย แต่ต้องใช้แรงนิดหน่อย

อีกประเด็นคือเว็บของธนาคารหลายๆ เจ้า ที่จำกัดบราวเซอร์เอาไว้ ถึงจะปลดการจำกัดออกก็ไม่ทำให้แสดงผลเพี้ยนจากเดิมมากนัก การเรียกร้องครั้งนี้จึงมีเป้าหมายตรง function ที่ควรจะใช้ได้มากกว่าเรื่องหน้าตาครับ

ส่วนทำให้สวยงามถูกใจผู้ใช้งานนั้นสุดแต่ธนาคารจะลงมือปรับแก้ :)

แน่นอนทำดีคนก็ใช้กันมากขึ้น win-win ทั้งคู่

==========================================

ส่วนกรณีปัญหาของเรื่องนี้ผมไม่ลงชื่อเพราะยังไม่มีปัญหากับการใช้งานข้าม Platform จึงยังไม่เข้าใจทั้งหมด ขอผ่านครับ :)

modeller Sun, 10/04/2011 - 20:11

เห็นด้วย การสร้างให้เป้นมาตรฐานกลาง มีแต่ส่งผลดี ลูกค้ามากขึ้น คนใช้งานมากขึ้น แต่การจำกัด browser ทำให้ใครๆหลายคนใช้งานไ่ม่ได้ รวมถึงชาว Mac User และ Linux User ซึ่งรวมกันแล้วก็มีจำนวนมากพอสมควร

หากว่าธนาคารไหนทำให้เวบเป้นมาตรฐานกลางไม่ได้ แสดงให้เห้นอย่างชัดเจนว่าบุคคลากร ไม่มีประสิทธิภาพมากพอ ตั่งแต่ฝ่าย IT ซึ่งไม่สามารถรองรับได้ จนถึง ผู้บริหารที่ไม่มีความสามารถผลักดัน และอาจจะขาดวิศัยทัศน์อย่างมาก ถ้าจะบอกว่า เทคโนโลยีมันทำไม่ได้ หรือไม่ปลอดภัยหล่ะก็คงไม่ได้แล้ว เพราะว่าในต่างประเทศเค้าก็ทำเวบเป็นมาตรฐานกลางกันทั้งนั้น อยู่ที่ว่า ธนาคารมีความมุ่งมั่นที่จะพัฒนาหรือเปล่า

equivalent Sun, 10/04/2011 - 23:12

สงสัยต้องให้ bot (ธนาคารแห่งประเทศไทย) บังคับให้ทำแล้วล่ะมั้ง ไม่โดนบังคับก็ไม่เริ่มทำกันหรอก เหมือนที่ตลาดหลักทรัพย์บังคับให้ส่งงบการเงินในรูปแบบใหม่ (กลายเป็นต้องมานั่งทำงบการเงินหลาย format ไว้ให้ผู้สอบบัญชีแบบนึง ให้ผู้บริหารแบบนึง ให้ตลาดหลักทรัพย์แบบนึง ให้ธปท.แบบนึง)

enquinx Mon, 11/04/2011 - 10:59

เท่าที่ผมเข้าใจ ธนาคารแห่งประเทศไทย ไม่ได้มีการให้บริการ "ธนาคาร online" ครับ น่าจะมีเฉพาะ website เพื่อแสดงข่าวสาร เช่น อัตราแลกเปลี่ยน, ประกาศรับสมัคร พนักงาน เพียงแค่นั้น

นอกจากนี้เท่าที่ผมลองเข้าด้วย chrome / firefox ก็ดูเหมือนจะเข้าได้โดยไม่มีปัญหาครับ ส่วน safari บน iOS เท่าที่เคยลอง อาจจะอ่านยากหน่อย (เพราะจอเล็ก แต่ก็ไม่ได้ render เป็น mobile version จึงคาดว่าน่าจะไม่ได้ทำ UA-sniffing) แต่ก็ยังไม่ถึงกับเข้าไม่ได้

จากข้อมูลข้างต้น การตรวจสอบ UA-string ของผู้ใช้ น่าจะเกี่ยวข้องกับ website ของ ธนาคารพาณิชย์ มากกว่าครับ ซึ่งไม่แน่ใจว่า ธนาคารแห่งประเทศไทย มีอำนาจที่จะบังคับธนาคารพาณิชย์ ให้ดำเนินการในกรณีนี้ได้หรือไม่

ดังนั้น จดหมายเปิดผนึกฉบับนี้ น่าจะจ่าหน้าถึง "สมาคมธนาคารไทย" หรือ ธนาคารใดธนาคารหนึ่งน่าจะไปถึงผู้รับผิดชอบมากกว่าธนาคารแห่งประเทศไทยไหมครับ ?

ถ้าผมเข้าใจอะไรผิดไป รบกวนชี้แนะด้วยนะครับ

PS. ส่วนตัวผมใช้ chrome 99% ยกเว้นเฉพาะตอนพัฒนาระบบงานที่มี requirement ให้แสดงผลด้วย IE เท่านั้นครับ

sakpu20 Mon, 11/04/2011 - 11:31

ผมว่าพวกเราบางคนยังมีความเข้าใจในการทำงานของธนาคารไม่ถูกต้องนักครับ

สำหรับ geek อย่างเราๆ นั้น เรามีแนวโน้มที่จะรับความเสี่ยงได้มากกว่าวิชาชีพด้านการเงินครับ ด้านการเงิน ความผิดพลาดสตางค์เดียวก็ต้องไล่ให้เจอ จะทำลืมๆ ไปไม่ได้ ดังนั้นทีม IT ของ bank จึงจะค่อนข้าง conservative อย่างยิ่ง

ประเด็นที่เขาล็อค browser ก็เพราะการจะรองรับ browser ใดๆ เขาต้องทดสอบด้วย test script จนยืนยันว่ามันทำงานได้ถูกต้องครับ ไม่ใช่ assume เอาตามหลักการเฉยๆ คิดหรือครับว่าคน IT bank เขาจะไม่รู้ว่า browser อื่นมันก็เข้าได้ เขารู้ครับ แต่ด้วยเหตุผลด้านการบริหารความเสี่ยง browser ไหนยังไม่ได้ test ผ่าน test script จนผ่าน 100% ก็ต้องถือว่าไม่ support ทั้งสิ้นครับ

เหมือนเวลาเราตั้งกฎ firewall ไงครับ block all ก่อน แล้วเปิดใช้เฉพาะสิ่งที่เราชัวร์แล้ว

ดังนั้น เรื่องนี้เป็นนโยบายด้านความเสี่ยงที่ขึ้นอยู่กับแต่ละธนาคาร ผมว่าหากเขาเห็น market share ของ browser เปลี่ยนไป เขาก็คง test และ support browser ที่หลากหลายขึ้นเองครับ ผมว่า mobile safari นี่น่าจะ support แน่ๆ ในไม่ช้าครับ

Thaina Mon, 11/04/2011 - 13:06

การที่คิดไปเองว่าความปลอดภัย ขึ้นอยู่กับ Script และ Browser ที่เปน Client คือความคิดที่ผิดอย่างชัดเจนครับ

ซึ่งผู้เชี่ยวชาญไม่น่าจะเข้าใจอะไรผิดๆแบบนี้

การใช้เหตุผลแบบนี้ยิ่งทำให้ความน่าเชื่อถือลดลงครับ พูดง่ายๆคือ เหตุผลสั่วๆแบบนี้มันแสดงออกถึงความไม่โปรจริง

แล้วผมควรจะไว้ใจระบบ ของคนที่ออกแบบระบบ ให้ความปลอดภัยต่ำ
ขนาดที่แค่เปลี่ยน Browser ก็มีความเสี่ยงขึ้นมาแล้ว ดีมั้ย?

ผมควรจะไว้ใจระบบของคนที่เชื่อว่า IE6 ปลอดภัย ดีมั้ย?
ทั้งที่ IE6 มีช่องโหว่ระดับที่ ถ้าทำงานในวงการควรจะได้ยินข่าวจนแสบแก้วหู

ผมควรจะไว้ใจ ระบบของคนที่แยก MVC ไม่เปน
จนถึงขนาดที่ Script การแสดงผลใน Client จะมีโอกาสเสี่ยงในด้านความปลอดภัย ดีรึเปล่า?

ผมควรจะไว้ใจ ระบบของคนที่ ไม่สามารถแม้แต่จะอัพเดท Browser ที่ตกรุ่นไปแล้วเกิน 5 ปี งั้นเหรอ?

ถ้าอยู่ในธนาคารระดับโลก คนที่ออกแบบระบบได้แค่นี้ ผมว่าโดนไล่ออกไปนานแล้ว

ผมไม่อยากดูถูกว่าคนที่ออกแบบระบบธนาคาร เปนมือโปร ทำระบบที่มั่นคงใช้งานได้มานับสิบปี จะมีความสามารถแค่นี้

ฉะนั้นมันก็มีคำตอบเดียว คือไม่ทำเอง เท่านั้นแหละ
จะด้วยเหตุผลว่าไม่มีงบ ผู้บริหารไม่เห็นค่า หรือแค่ขี้เกียจและมักง่ายก็ตามที

icez Mon, 11/04/2011 - 16:03

เรื่องความปลอดภัย แนะนำให้กดย้อนไปอ่านที่ความเห็นนี้ครับ

#276298

" โดยทั่วไปแล้วเซิร์ฟเวอร์ต้องมองไคลเอนต์ทุกตัวเป็น untrusted เสมอ ไม่ว่าจะคุณจะใช้ IE, FF, Chrome, etc. ก็ต้องถือว่าเป็น untrusted เสมอ ไม่มีไคลเอนต์ตัวใดเป็น trusted ได้ครับ "

แล้วสำหรับเรื่องระบบความปลอดภัย การกรองที่ฝั่ง client ถือเป็นความผิดพลาดอย่างใหญ่หลวง ยิ่งในระบบธนาคารแล้ว ไม่สมควรที่จะกรอง client เลยด้วยซ้ำครับ คือให้สิทธิ์ทุก client เท่ากันหมด (ไม่ไว้ใจเหมือนกันหมด)
แล้วไปดักฝั่ง server เท่านั้น

สังเกตได้ง่ายๆ จากเกมออนไลน์ครับ hackshield / nProtect / gameguard อะไรไม่มีประโยชน์เลยซักนิด เพราะมันทำงานที่ฝั่ง client

lew Mon, 11/04/2011 - 17:36

ผมคิดว่าผมเข้าใจความคิดของคนทำงานธนาคารเหล่านี้นะครับ แต่ผมเชื่อว่าความคิดแบบนี้เกิดบนฐานของความเข้าใจมุมมองความปลอดภัยที่ผิด การป้องกันแบบนี้ไม่ได้ทำให้อะไรดีขึ้น (แต่ทำให้หลายอย่างแย่ลง)

ในมุมของความปลอดภัยแล้ว การอ้างความปลอดภัยด้วย__มาตรการที่ไร้ผล__เช่นนี้ทำให้สถานะการณ์ยิ่งแย่ลง เพราะผู้ออกแบบจะเกิด Moral Hazard ว่าได้ทำบางอย่างเพื่อความปลอดภัยไปแล้ว

ทุกวันนี้ในเมืองไทย Firefox และ Chrome ล้วนมีระดับการใช้งานเกิน 10% หลายธนาคารกลับไม่รองรับเบราเซอร์เหล่านี้ และปล่อยให้ลูกค้ากว่า 20% ไม่สามารถใช้งานได้ รวมถึง IE9 ที่ผ่านการ "อัพเกรด" เองก็ยังมีหลายธนาคารมีปัญหา

ผมไม่ได้เรียกร้องไม่ให้ "เตือน" ว่าการทำงานบนเบราเซอร์ที่ไม่ซัพพอร์ตอาจจะผิดพลาดนะครับ

lancaster Tue, 12/04/2011 - 00:50

ตอบแบบสรุปจากด้านบนให้เหลือสั้นๆ:

การเขียนเว็บที่ต้องมานั่งทดสอบการทำงานต่าง browser กันนี่เป็นอะไรที่ผิดพลาดอย่างร้ายแรงครับ

ถ้าทดสอบแค่ ui สวยไม่สวย นั่นโอเคครับ เพราะมันต่างกันบ้าง แต่การทำงานเบื้องหลังมันเหมือนกันหมดอยู่แล้วครับถ้าไม่ไปเขียน javascript มั่วๆ

sakpu20 Tue, 12/04/2011 - 08:53

นี่แหละครับคือ assumption แต่สำหรับการทำงานในระดับ enterprise นั้น untested = unsupported ไม่ใช่บอกว่าฉันเขียน script ดี ไม่มั่ว ไม่น่ามีปัญหาแล้วจะปล่อยออก production ได้เลยครับ ต่อให้เขียนเป๊ะๆ แล้วก็ต้องผ่านกระบวนการ test ครับ

saknarak Mon, 11/04/2011 - 23:17

ผมเดาว่า ที่หลาย ๆ ธนาคารในสมัยก่อน
มีการ block browser ค่ายต่าง ๆ
เป็นเพราะ javascript

ทีมงาน ไม่มีปัญญาเขียนให้เป็นกลาง
พอที่จะทำงานได้ทุก browser
พอเปิดดูด้วย browser อื่นแล้วคลิกไม่ไปบ้าง
error บ้าง
เกิดไม่ block ไว้ก่อน
ผู้ใช้สั่งโอนเงิน โอนไม่ไป เด้ง error message ออกมา
ธนาคารโดนด่าอีก

ครั้นจะไม่ block
ก็ต้องเสียเวลาทดสอบ javascript กับหลาย ๆ browser อีก
เสียเวลา block ให้หมดเลยดีกว่า

คิดว่าคงไม่ใช่เรื่องความปลอดภัยหรอก
ธนาคารคงไม่ non-sense ถึงขนาดคิดว่า IE ปลอดภัยสุดในสามโลก

แต่กลัวผู้ใช้จะได้รับประสบการณ์ใช้งานที่เลวร้ายเมื่อใช้กับ browser อื่นมากกว่า