Blognone บังคับใช้ HTTPS มาประมาณหนึ่งปีแล้วนะครับ จากปีก่อนที่เราเตรียมการให้เว็บเข้าจาก HTTPS ได้แต่ไม่บังคับ ระหว่างนี้หลายคนอาจจะสังเกตว่ามีไอคอนสีเหลืองเตือนบ้างหน้าบ้าง เพราะเรายังเปิดให้รับภาพและ iframe จาก HTTP ที่ไม่เข้ารหัสได้ เพราะไม่มีความเสี่ยงการขโมยข้อมูลจากเว็บหลัก โดยทั่วไปแล้วการเปิดเท่านี้ทำให้

• ลดความเสี่ยงจากการขโมยตัวตนออนไลน์
• ลดความเสี่ยงการขโมยรหัสผ่าน

แต่อย่างไรก็ตามความเสี่ยงสำคัญคือ คนที่ดักฟังอาจจะรับรู้ว่าเราเข้า URL ใดบ้าง จากการวางรูปภาพไว้บนเซิร์ฟเวอร์ที่ไม่ได้เข้ารหัส

ในระยะยาวแผนการคือ Blognone จะเปิดให้วางรูปจากเซิร์ฟเวอร์ที่เชื่อถือได้เท่านั้น แต่ในขั้นแรก บังคับว่าเซิร์ฟเวอร์ใดๆ ที่ใช้วางรูป (ที่ยังเปิดให้สมาชิกเลือกตามใจชอบกันเองได้) จะต้องเป็นเว็บที่รองรับ HTTPS เท่านั้น ไม่เช่นนั้นจะโหลดไม่ขึ้นแล้ว

แนวทางของเรื่องนี้ เราจะบังคับ "Content Security Policy" ในเว็บ เพื่อไม่ให้เบราว์เซอร์โหลดภาพหรือ iframe จากเว็บที่ไม่เข้ารหัสอีกต่อไป

คาดว่าจะบังคับเรื่องนี้ภายในต้นเดือนมีนาคมนี้ ตอนนี้ขอให้สมาชิกทุกท่านเลือกใช้เว็บฝากรูปโดยคำนึงว่าต้องรองรับ HTTPS เสมอครับ