on
Wikimedia Foundation ผู้ดูแลเว็บไซต์ Wikipedia และเว็บอื่นๆ ในเครือจำนวนมากประกาศว่าตอนนี้การย้ายเว็บทั้งหมดไปใช้ HTTPS ตั้งแต่ปี 2013 เริ่มเข้ามาถึงช่วงสุดท้าย
นอกจากการเปิด HTTPS แล้ว ทาง Wikimedia จะเปิดใช้ HSTS เพื่อบังคับให้เบราว์เซอร์เข้าเว็บแบบ HTTPS ตลอด
ทาง Wikimedia คาดว่าจะใช้เวลาไม่กี่สัปดาห์เพื่อให้เว็บทั้งหมดบังคับใช้ HTTPS ตอนที่เขียนอยู่นี้ผมทดสอบ th.wikipedia.org พบว่ายังไม่บังคับ แต่ en.wikipedia.org บังคับแล้ว ตอนนี้ถ้าใครเข้าเว็บภาษาอังกฤษก็จะพบว่าเบราว์เซอร์ไม่ส่งข้อมูลที่ไม่เข้ารหัสออกจากเบราว์เซอร์แล้ว
ที่มา - Wikimedia Blog
ใช้ HSTS กับบังคับ redirect
hisoft Sat, 13/06/2015 - 22:13
ใช้ HSTS กับบังคับ redirect เข้า HTTPS นี่ต่างกันยังไงครับ?
สองตัวนี้น่าจะไม่เกี่ยวกันนะค
mr_tawan Sat, 13/06/2015 - 22:34
In reply to ใช้ HSTS กับบังคับ redirect by hisoft
สองตัวนี้น่าจะไม่เกี่ยวกันนะครับ (เท่าที่อ่านใน wikipedia) คือ HSTS มันทำงานบน HTTPS ดังนั้นจะให้มันทำงานได้ก็ต้อง redirect จาก HTTP ไป HTTPS ก่อน อะไรแบบนี้มากกว่า
เท่าที่อ่าน HSTS เป็นการบอก Browser ว่า จากนี้ไปให้ใช้ HTTPS อย่างเดียวเท่านั้นนะ
อ้อ ขอบคุณครับ
hisoft Sat, 13/06/2015 - 23:01
In reply to สองตัวนี้น่าจะไม่เกี่ยวกันนะค by mr_tawan
อ้อ ขอบคุณครับ
redirect ปกติ
lew Sat, 13/06/2015 - 23:01
In reply to ใช้ HSTS กับบังคับ redirect by hisoft
redirect ปกติ เมื่อเราพิมพ์เป็น HTTP (หรือไม่ได้ระบุโปรโตคอลด้านหน้า URL) เบราว์เซอร์จะส่งข้อมูลออกไปแบบไม่เข้ารหัส ทำให้คนดักฟังเห็น URL และข้อมูล header อื่นๆ เช่น cookie, User-Agent ซึ่งระบุตัวตนได้ หลังจากนั้นจึงได้ตอบกลับมาว่าให้ไป HTTPS แทน
HSTS จะบังคับว่าหลังจากนี้่เบราว์เซอร์จะจำไว้เสมอว่าเว็บนี้เป็น HTTPS เท่านั้น ต่อให้ผู้ใช้พิมพ์เป็น HTTP เองก็ตามที เบราว์เซอร์จะพยายามเข้า HTTPS อย่างเดียว
ในกรณีที่เป็น HSTS ถ้าใบรับรองเข้ารหัสมีความผิดพลาด เบราว์เซอร์จะไม่ยอมเชื่อมต่อ ไม่ยอมให้กดผ่าน
แต่ครั้งแรกสุดถ้าเข้า http
hisoft Sat, 13/06/2015 - 23:03
In reply to redirect ปกติ by lew
แต่ครั้งแรกสุดถ้าเข้า http มันก็จะยังส่งข้อมูลออกไปบ้างใช่ไหมครับ? แต่ถ้าเป็นแบบนั้นก็น่าจะไม่มี cookie ออกไปด้วย? ขอบคุณครับ
โดยทั่วไปแล้วครั้งแรก "อาจจะ"
lew Sat, 13/06/2015 - 23:05
In reply to แต่ครั้งแรกสุดถ้าเข้า http by hisoft
โดยทั่วไปแล้วครั้งแรก "อาจจะ" เป็น HTTP ครับ แต่ถ้าผู้ใช้เชื่อมต่อครั้งแรกด้วย HTTPS (เช่นคลิกลิงก์มา หรือพิมพ์เอง) ก็จบ
อีกกรณีคือทางเว็บไปร้องขอให้เบราว์เซอร์จำเว็บตัวเองไว้เป็น HSTS Preload List กรณีนั้นก็จะไม่ยอมส่ง HTTP อีกเลย
ประเด็นสำคัญในบ้านเรา
lew Sat, 13/06/2015 - 23:03
ประเด็นสำคัญในบ้านเรา คือหลายหน้าของ Wikipedia ยังถูกบล็อคอยู่ จากนี้ถ้าระบบนี้เต็มรูปแบบก็จะบล็อคไม่ได้แบบเดียวกับ Facebook
หวังว่าคงไม่เจอกรณีไปทั้งเว็บ
hisoft Sat, 13/06/2015 - 23:04
In reply to ประเด็นสำคัญในบ้านเรา by lew
หวังว่าคงไม่เจอกรณี_ไปทั้งเว็บ_แทนนะครับ
เจอ gateway ล่มแทนไงครับ
lew Sat, 13/06/2015 - 23:05
In reply to หวังว่าคงไม่เจอกรณีไปทั้งเว็บ by hisoft
เจอ gateway ล่มแทนไงครับ
นึกถึงเย็นวันนั้นเลยครับ
SpeedEX Sat, 13/06/2015 - 23:42
In reply to เจอ gateway ล่มแทนไงครับ by lew
นึกถึงเย็นวันนั้นเลยครับ