Special Report

ปี 2016 เป็นปีสำคัญสำหรับความเปลี่ยนแปลงด้านความปลอดภัยของความปลอดภัยของเว็บ เพราะเป็นปีที่ใบรับรองดิจิทัล Let's Encrypt เริ่มให้บริการฟรีตั้งแต่ต้นปี พร้อมทั้งฝั่งโฮสติงที่ทยอยรองรับเพิ่มขึ้นเรื่อยๆ ปีนี้เราจึงมาสำรวจกันว่าเว็บใดใช้การรองรับแบบใดกันแล้วบ้าง

รูปแบบการรองรับ HTTPS

การรองรับ HTTPS มีได้หลายแบบ หลายเว็บเลือกที่จะรองรับทั้ง HTTP และ HTTPS ไปพร้อมกัน ซึ่งอาจเกิดจากข้อจำกัดบางประการของแอปพลิเคชันภายใน บางเว็บอาจจะเปิดให้บริการไว้โดยที่รองรับเพียงบางหน้า เช่น หน้าจ่ายเงิน บางเว็บอาจจะยอมรับการโหลดภาพจากเว็บ HTTP ธรรมดา เบื้องต้นเราทำความเข้าใจกับความแตกต่างของการรองรับแต่ละแบบกันก่อน

ไม่รองรับเลย

เว็บบางกลุ่มอาจจะไม่รองรับ HTTPS เลยแม้แต่น้อย แม้ว่าจะเข้าด้วยการพิมพ์ HTTPS:// โดยตรง หรือใช้เครื่องมือบังคับใช้ SSL เช่น ส่วนเสริม KB SSL Enforcer บน Google Chrome หรือ HTTPS Everywhere จาก Electronic Frontier Foundation

รองรับไม่สมบูรณ์

เว็บที่รองรับไม่สมบูรณ์ คือเว็บที่เปิดให้เข้าใช้งานผ่าน HTTPS ได้ แต่กลับต้องพบหน้าจอแจ้งเตือนการเชื่อมต่อไม่ปลอดภัย (ดูภาพที่ 1 ประกอบ) ซึ่งอาจเกิดได้จากใบรับรองหมดอายุ ใช้ใบรับรองแบบรับรองตัวเอง (self-signed) CA หมดความน่าเชื่อถือ หรือใช้ใบรับรองร่วมกันกับโดเมนอื่น

ภาพที่ 1: คำเตือนสำหรับเว็บที่เข้าใช้งาน HTTPS ได้ แต่มีคำเตือนใบรับรองผิดพลาด

รองรับบางส่วน

เว็บสามารถเข้าใช้งานได้บางส่วนแต่ไม่สมบูรณ์ เช่น เว็บข่าวสามารถอ่านข้อความข่าวได้ แต่ภาพประกอบอาจไม่ขึ้น หรือเว็บสั่งสินค้าที่ต้องกดยินยอมให้เบราว์เซอร์โหลดสคริปต์ที่ไม่ปลอดภัยเพื่อให้ใช้งานต่อไปได้

ภาพที่ 2: เว็บที่ไม่สามารถโหลดภาพประกอบ/สคริปต์ได้ครบ เนื่องจากเนื้อหาเหล่านั้นไม่ได้วิ่งบน SSL

รองรับแต่ไม่บังคับ

สามารถใช้งานได้ครบถ้วนดี แม้อาจจะมีภาพบางส่วนโหลดไม่สำเร็จ แต่ไม่ได้บังคับเป็นปกติ อาจจะโฆษณาเว็บเป็น HTTP อยู่

ภาพที่ 3: เว็บที่รองรับ SSL แต่ไม่บังคับให้ใช้ สามารถเข้าได้ทั้งจาก HTTP และ HTTPS

รองรับและบังคับ

เว็บประเภทนี้จะสามารถเข้าใช้งานได้ผ่าน HTTPS เพียงอย่างเดียว เมื่อเข้าด้วย HTTP เว็บอาจเปลี่ยนทางให้เป็น HTTPS โดยอัตโนมัติ หรืออาจไม่แสดงผลลัพธ์เลยก็ได้

รองรับและใช้ SSL EV

ระดับสูงสุดของการรองรับ HTTPS ที่มี green bar เพื่อแจ้งผู้ใช้ว่ากำลังใช้เว็บจากหน่วยงานที่ระบุจริง โดยทั่วไปนิยมใช้กับเว็บการเงิน แต่เว็บอื่นๆ ก็ใช้งานได้เช่นกัน เช่น Twitter

ภาพที่ 4: ตัวอย่างช่องที่อยู่ของเว็บที่มี SSL EV และได้รับ green bar

ใบรับรองยืนยันความถูกต้องด้วย SHA-2

นอกจากความเชื่อถือได้ของผู้ออกใบรับรองแล้ว เรื่องสำคัญไม่แพ้กันคืออัลกอริทึมค่าแฮชของใบรับรอง โดยเบราว์เซอร์ปัจจุบันอย่าง Chrome จะไม่ขึ้นกุญแจเขียวให้กับใบรับรองที่ใช้แฮชแบบ SHA-1 และหมดอายุในปี 2016 นอกจากนี้จะขึ้นกุญแจกากบาทสีแดงสำหรับใบรับรองที่หมดอายุในปี 2017 แม้ปัจจุบันจะยังไม่มีรายงานว่า SHA-1 ถูกโจมตี แต่อัลกอริทึมแฮชที่แนะนำคือ SHA-2 ครับ รายละเอียดเพิ่มเติม

ภาพที่ 5: ตัวอย่างเว็บที่ใช้ใบรับรองที่แฮชแบบ SHA-1 ที่จะหมดอายุในปี 2016 และ 2017 ตามลำดับ

กระบวนการสำรวจ

เราแบ่งเว็บไทยออกเป็น 5 กลุ่มหลัก แยกตามประเภทการใช้งาน ดังนี้

  1. เว็บข้อมูลข่าวสาร ได้แก่เว็บข่าว ดาราบันเทิง และเว็บประชาสัมพันธ์บริษัท จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถอ่านเนื้อหาพร้อมภาพหรือวิดีโอประกอบข่าวได้
  2. เว็บอีคอมเมอร์ซ ได้แก่เว็บที่มีระบบตะกร้าสินค้าให้จับจ่ายออนไลน์ โดยไม่จำเป็นต้องมีช่องทางจ่ายเงินออนไลน์ อันประกอบไปด้วย เว็บซื้อของออนไลน์ ร้านหนังสือออนไลน์ เว็บสั่งอาหารเดลิเวอรี่ ซึ่งจะนับว่าใช้งานได้อย่างสมบูรณ์ก็ต่อเมื่อสามารถค้นหาสินค้า อ่านรายละเอียดสินค้า และเพิ่มสินค้าในตะกร้าได้
  3. เว็บธนาคาร เนื่องจากธนาคารส่วนใหญ่ใช้โดเมนแยกกันระหว่างหน้าข้อมูลกับหน้าธุรกรรมออนไลน์ เราจึงแบ่งแยกย่อยลงไปอีก คือ
  • ข้อมูลธนาคาร สำหรับหน้าเว็บที่แสดงข้อมูลต่างๆ จากทางธนาคาร ใช้เกณฑ์การใช้งานได้สมบูรณ์แบบเดียวกับเว็บเนื้อหา
  • ธุรกรรมออนไลน์ สำหรับหน้าเว็บที่มีการลงชื่อเข้าสู่ระบบ เพื่อบริหารบัญชีและทำธุรกรรมผ่านอินเทอร์เน็ต
    แต่เนื่องจากข้อจำกัดทางด้านจำนวนบัญชีธนาคารที่ผู้สำรวจมี เกณฑ์การใช้งานได้สมบูรณ์คือการสังเกตหน้าแรกของเว็บเท่านั้น
  1. เว็บเครือข่ายสังคม ได้แก่เว็บที่เน้นให้เกิดการสนทนากันระหว่างผู้ใช้ด้วย จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถโพสต์กระทู้หรือตอบข้อความได้สำเร็จ
  2. เว็บหน่วยงานราชการ ได้แก่เว็บจากทางภาครัฐ เนื่องจากเว็บในหมวดนี้มีการใช้งานที่หลากหลายไม่ซ้ำกัน เช่น เว็บกองสลากฯ สำหรับตรวจหวย เว็บสรรพากรสำหรับยื่นภาษี เราจะจำกัดระดับการใช้งานได้อยู่ที่การโหลดเนื้อหามาได้ครบถ้วนเท่านั้น

เราได้เลือกเว็บที่มีผู้เข้าใช้งานมากเป็นอันดับต้นๆ ในแต่ละหมวดโดยอิงสถิติจาก Truehits มาประมาณ 5-10 อันดับ และเพิ่มเว็บที่เป็นที่รู้จักแพร่หลายแต่ไม่ได้ถูกนำไปจัดอันดับกับ Truehits เข้าไปด้วย

สำหรับเครื่องมือที่ใช้ทดสอบ เราใช้เบราว์เซอร์ยอดนิยมบนเดสก์ท็อป 2 ตัวเพื่อป้องกันความแตกต่างของเนื้อหาระหว่างเบราว์เซอร์ ซึ่งได้แก่ Google Chrome 48 และ Internet Explorer 11 และเนื่องจากอาจมีบางเว็บที่ไม่ได้เป็น responsive แต่ยังมีหน้าเว็บสำหรับมือถือแยกอยู่ เราจึงใช้ Google Chrome 48 บน Android ร่วมทดสอบเว็บที่มีหน้ามือถือคู่ไปด้วย

ขั้นตอนการทดสอบ เริ่มจากการเข้าเว็บด้วย HTTP แล้วสังเกตความครบถ้วนของเนื้อหาที่โหลด ความสามารถในการใช้งาน และเกิดการเปลี่ยนทาง (redirect) ไปยัง HTTPS หรือไม่ โดยเริ่มจากหน้าแรกของเว็บ แล้วตามลิงก์ภายในไปยังบางหน้าในโดเมนนั้นๆ ตบท้ายด้วยการทดสอบการใช้งานว่ามีความสมบูรณ์หรือไม่

เมื่อเก็บข้อมูลเว็บดังกล่าวบน HTTP เสร็จแล้ว ก็สลับไปทดสอบการใช้งานผ่าน HTTPS ในทำนองเดียวกัน (โดยสังเกตการเปลี่ยนทางว่ามีการเปลี่ยนกลับเป็น HTTP หรือไม่แทน)

เนื่องจากเว็บเป็นสิ่งที่มีการเปลี่ยนแปลงอยู่ตลอดเวลาโดยที่เราไม่สามารถควบคุมได้ การสำรวจจึงจำกัดเวลาของเว็บหมวดเดียวกันว่าต้องสำรวจภายในวันเดียวกัน เพื่อที่จะได้นำผลมาเปรียบเทียบกันได้ครับ

ผลการสำรวจ

เราได้เลือกเว็บไทยทั้งหมด 67 เว็บมาทำการสำรวจในระหว่างวันที่ 4-9 กุมภาพันธ์ 2016 และได้ผลลัพธ์แยกตามประเภทของเว็บ ดังนี้

เว็บข้อมูลข่าวสาร

ตารางที่ 1: การรองรับ SSL ของเว็บประเภทข้อมูลข่าวสาร

เว็บอีคอมเมิร์ซ

ตารางที่ 2: การรองรับ SSL ของเว็บประเภทอีคอมเมิร์ซ

ในหมวดนี้จะมีข้อสังเกตสำคัญสำหรับเว็บอีคอมเมิร์ซบางเว็บ อันได้แก่ thaiticketmajor.com, cdicsount.co.th, และ itruemart.com ที่สามารถเข้าหน้าเว็บด้วย HTTPS ได้ แต่ไม่สามารถค้นหาเลือกซื้อสินค้าได้จนกว่าจะกดยินยอมให้โหลดสคริปต์ที่ไม่ปลอดภัย

เว็บธนาคาร

ตารางที่ 3: การรองรับ SSL ของเว็บประเภทธนาคาร

เว็บเครือข่ายสังคม

ตารางที่ 4: การรองรับ SSL ของเว็บประเภทเครือข่ายสังคม

เว็บหน่วยงานรัฐ

ตารางที่ 5: การรองรับ SSL ของเว็บประเภทหน่วยงานรัฐ

สำหรับข้อมูลดิบและรายละเอียดต่างๆ สามารถอ่านได้จาก Sheet นี้

บทสรุป

เราพบว่าเว็บในไทยยังเข้ารหัสกันอยู่เฉพาะในกลุ่มธนาคารที่เป็นธุรกรรมออนไลน์ แม้ผู้ใช้จะมีการส่งข้อมูลส่วนตัวกันในเว็บกลุ่มอีคอมเมิร์ซ เว็บเช่น kaidee.com รองรับการเข้ารหัสบางส่วนซึ่งเป็นจุดเริ่มต้นที่ดีแต่อาจจะยังไม่เพียงพอเพราะผู้อ่านข้อมูลจากเว็บอาจไม่ตระหนักเรื่องความปลอดภัย หรือไม่ทราบถึงการใช้ส่วนเสริมเพื่อบังคับ HTTPS ตลอดเวลา ทางผู้สำรวจหวังว่าในปีถัดๆ ไป เว็บไทยจะใช้ SSL กันเยอะขึ้นจนเป็นเสียงข้างมากในที่สุดครับ

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

icez Sun, 21/02/2016 - 16:42

kfc กับ pizzahut เหมือนจะคำนวณคะแนนผิดนะครับ ทำให้โชว์ข้อมูลเป็น EV ทั้งๆ ที่ไม่ใช่ครับ

พอดีค่า default ของการแชร์ภาพจาก imgur เป็น HTTP ฮะ ถ้าใช้พวกส่วนเสริมบังคับ HTTPS มันจะไม่โหลดภาพในตอนแรก แต่ทิ้งไว้ซักพักมันจะไปโหลดภาพจาก URL เดียวกันที่ใช้ HTTPS มาให้แทน ก็ทำให้จัดกลุ่มได้ว่าเป็นการรองรับทั้งหมดอยู่ดี

อย่างไรก็ตาม สำหรับบทความนี้ผมได้แก้ให้ภาพประกอบใช้ HTTPS ทั้งหมดแล้วครับ

ตอนนี้รองรับบางส่วนอย่างจงใจครับ เพราะเปิดให้สมาชิกใส่ภาพจาก HTTP ได้ (แม้ resource ของ Blognone เองจะเป็น HTTPS หมดแล้ว)

อนาคตจะเปิด CSP header แล้วบังคับ HTTPS ซึ่งจะทำให้ภาพบางส่วนที่สมาชิกใส่มาไม่โหลดเลย (ต้องใส่ใหม่เป็น HTTPS เท่านั้น) อันนี้คงเร็วๆ นี้ครับ

เพราะเป็นปีที่ใบรับรองดิจิตอล

ดิจิตอล => ดิจิทัล

จำกัดบางประการของแอปพลิเคชั่น

แอปพลิเคชั่น => แอปพลิเคชัน

ที่ต้องกดยินยอมให้เบราเซอร์โหลดสคริปต์

โดยเบราเซอร์ปัจจุบันอย่าง Chrome

เราใช้เบราเซอร์ยอดนิยมบนเดสก์ท็อป

ความแตกต่างของเนื้อหาระหว่างเบราเซอร์

เบราเซอร์ => เบราว์เซอร์

นอกจากการความเชื่อถือได้ของผู้ออกใบรับรองแล้ว

การความ ?

จะถือว่าใช้งานได้สมบูรณ์เมือสามารถ

เมือ => เมื่อ

ก็ต่อเมื่อสามารถค้าหาสินค้า

ค้าหา => ค้นหา

และทำธุรกรรมผ่านอินเตอร์เน็ต

อินเตอร์เน็ต => อินเทอร์เน็ต

เมื่อสามารถโพสกระทู้หรือตอบข้อความ

โพส => โพสต์

โดยเปลี่ยนการสังเกตการเปลี่ยนทางว่ามีการเปลี่ยนกลับเป็น HTTP หรือไม่แทน

เปลี่ยนการสังเกตการเปลี่ยนทาง ?

HoMm Tue, 23/02/2016 - 08:51

ข้อ 5 แบบว่าเวปของรัฐควรจะต้องมีหรือไหม... ??
ใครมีความรู้แนะนำทีครับถ้าเทียบกับประเทศอื่นๆ

ควรไหมคำตอบคือควรครับ แต่ประเทศอื่นเป็นอย่างไรก็ต้องบอกว่าหน่วยงานรัฐเคลื่อนตัวช้า (เป็นกันทั้งโลก) อย่างตอนนี้สหรัฐฯ ออกมาในระดับนโยบายกว่าจะเป็นจริงคงอีกปีสองปีอย่างเร็ว

ข้ออ้างหน่่วยงานรัฐ

  1. ขาดงบประมาณ
  2. ขาดบุคลากร
    พอจะพัฒนาตนเองโดยไปอบรม
  3. ก็พัฒนาตัวเองซิ
  4. ไม่มีงบสำหรับการอบรม

สรุป เลยไม่มีเงินซื้อ SSL Cert. ครับ เลยต้องใช้ self-sign ผู้บริหารไม่ได้จบทางด้านคอมพิวเตอร์ เลยไม่เข้าใจความจำเป็น คิดว่าถ้าอยากให้หน่วยงานรัฐขยับ อบรมระดับผู้บริหารก่อนเลยครับ

เวปธนาคาร มันก็มี SSL EV กันอยู่แล้ว ทำไมถึงไม่เอามาใส่ในหน้าเวปด้วยหว่า ใส่แต่หน้าที่ทำธุรกรรม
แบบนี้คนก็ phishing ตั้งแต่หน้าเวปแล้วก็หลอกให้กดปุ่ม login เพื่อเข้าทำธุรกรรมก็ได้นิ

หรือมันมีเงื่อนไขอื่นๆเพิ่มเติมถึงทำไม่ได้ ??