Tags:
Facebook

หลังจากที่ fan page ของ Mark Zuckerberg ถูกแฮ็ก ทาง Facebook ก็เพิ่มระดับความปลอดภัยของเว็บไซต์ ด้วยการเปิดให้ผู้ใช้เลือกใช้งานผ่านโปรโตคอล HTTPS ได้ตลอดเวลาครับ

ก่อนหน้านี้โดยปกติแล้ว Facebook จะใช้โปรโตคอล HTTPS แค่ตอน log in เท่านั้น ซึ่งเปิดโอกาสให้มีการ "ไฮแจ็ก" session cookie ได้ อย่างที่ซอฟต์แวร์ Firesheep แสดงให้เห็นมาแล้วว่ามันอันตรายแค่ไหน

รู้สึกอุ่นใจขึ้นเยอะเลยครับ น่าจะทำมาตั้งนานแล้วนะเนี่ย สำหรับเว็บไซต์อื่น ๆ ที่มี HTTPS ให้ใช้แต่ไม่ตลอดเวลานั้น เราสามารถบังคับได้ด้วยส่วนเสริมของ Firefox ที่ชื่อ HTTPS Everywhere ครับ

[อัปเดต] แม้ในบล็อกของ Facebook จะบอกว่า "Starting today" แต่ตอนนี้ (ประมาณเที่ยงคืนครึ่ง เวลาไทย) ผมยังตั้งค่านั้นไม่ได้แฮะ

ที่มา - ReadWriteWeb

Comments

By: polaromonas
ContributorWindows PhoneWindows
polaromonas's blog
on 27/01/11 0:34 #254046 toggle
polaromonas's picture

ของผมก็ยังไม่ได้นะ


My blog

By: JPorsh
iPhoneAndroidWindowsIn Love
JPorsh's blog
on 27/01/11 0:43 #254048 toggle
JPorsh's picture

ยังไม่ได้เหมือนกันครับ

By: lancaster
ContributoriPhoneAndroidWindows
lancaster's blog
on 27/01/11 0:54 #254050 toggle
lancaster's picture

ยังด้วยคน

By: llPorZall
AndroidUbuntu
llPorZall's blog
on 27/01/11 2:21 #254057 toggle
llPorZall's picture

สงสัยทยอยอัพ


Android Application Developer And Web Delveloper

By: soloman
ContributorAndroidUbuntu
soloman's blog
on 27/01/11 5:10 #254066 toggle
soloman's picture

ส่วนตัวใช้ plugin ssl anywhere ใน firefox อยู่แล้ว


chatreek.com|@s0l0m4n

By: popomut
Android
popomut's blog
on 27/01/11 7:23 #254068 toggle
popomut's picture

HTTPS มันไม่เห็นจะช่วยเรื่อง session hijacking เลย

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 27/01/11 7:29 #254070 Reply to:254068 toggle
lew's picture

ทำไมถึงคิดว่ามันไม่ช่วยล่ะครับ


LewCPE's Google+

By: popomut
Android
popomut's blog
on 27/01/11 9:31 #254086 Reply to:254070 toggle
popomut's picture

https เป็นการเข้ารัหสข้อมูล ระหว่างต้นทางปลายทาง

การขโมย session โดยใช้ XSS นั้น จะเป็นการหลอกให้ user run javascript ที่จะไปอ่าน cookie เพื่อน get session id แล้วส่งไปให้ hacker

ส่วนรายละเอียดการ implement ลองหาเพิ่มเติมตาม security sites ดูนะครับ มันค่อนข้างยาวนิดนึง

By: bongikairu
ContributorUbuntu
bongikairu's blog
on 27/01/11 12:13 #254126 Reply to:254086 toggle
bongikairu's picture

Session Hijack มีหลายแบบครับ ทั้งแบบแอบดึงออกจากเครื่องเหยื่อเองเลยหรือแอบฉกไประหว่างทางครับ


Gear's Edge the Blog

By: popomut
Android
popomut's blog
on 27/01/11 13:36 #254148 Reply to:254126 toggle
popomut's picture

ใช่ครับ

และแบบที่นิยม คือแบบ ที่ฉกจากเครื่องเหยื่อ ไม่ใช่ระหว่างทางครับ

ฉกระหว่างทางมันมีข้อจำกัดหลายแบบครับ ส่วนใหญ่ต้องอยู่ใน network เดียวกันเพื่อ sniff package.

ยังไง https ก็คงช่วยไรไม่ได้มาก สำหรับเรื่องนี้

By: popomut
Android
popomut's blog
on 27/01/11 13:44 #254151 Reply to:254126 toggle
popomut's picture

เพิ่มเติมให้ละกัน

การป้องกันพวก session hijacking มันต้องไปป้องกันที่ application coding level มากกว่า
เช่นการ convert dangerous/script characters ให้เป็น html entity
การ check page ordering, package ordering(จำชื่อเรียกอย่างเป็นทางการไม่ได้)

การที่ facebook เปิด https ให้ใช้นั้นผมว่า คงจะมีเหตุผลอื่นด้วย นอกเหนือจากการป้องกัน session hijacking

และที่สำคัญ มันคงเป็นการตัดสินใจที่ยากลำบากพอสมควรเนื่องจากว่าการทำ https ทุกๆ transaction จะกิน resource มากกว่าหลายเท่า

By: lancaster
ContributoriPhoneAndroidWindows
lancaster's blog
on 27/01/11 15:05 #254180 Reply to:254126 toggle
lancaster's picture

^
^
ตอบข้างบน

ไอ้ XSS ที่คุณว่ามามันป้องกันได้ครับถ้าไม่สะเพร่า แล้วเค้าก็(พยายาม)ป้องกันหมดแล้วที่ coding level แบบที่คุณว่ามานั่นแหละ

แต่ต่อให้ป้องกันแบบที่คุณว่ามาดีเลิศแค่ไหน ถ้าไม่ใช้ HTTPS ก็ตกม้าตายอยู่ดี

By: popomut
Android
popomut's blog
on 27/01/11 15:39 #254199 Reply to:254126 toggle
popomut's picture

^
^
ตอบคุณ lancaster

ผมไม่แน่ใจว่า คุณหมายความว่ายังไงที่บอกว่า ตกม้าตาย

ถ้าคุณ coding at application level ดีพอ ต่อให้ hacker ได้ session ID ไปจริงๆ แต่ว่าคุณ coding โดยใช้เทคนิค การตรวจสอบลำดับการ access web page, หรือมีการแนบ parameter ที่คอยเพิ่ม ตัวเลข ทุกๆ request&response (developer อาจจะเขียน code force signout ดักไว้ ถ้าหากว่า page ordering, หรือลำดับตัวเลขมันผิด). หรือจะทำแบบ amazon ก็ได้ที่ทำการ force login ทุกครั้งก่อนทำ transaction ที่สำคัญ (วิธีนี้อาจจะไม่เหมาะกับ facebook).

จริงๆแล้วอาจจะต้องใช้หลายๆเทคนิคมา combine กัน ที่พูดไปข้างบนแค่ยกตัวอย่างง่ายๆเท่านั้นครับ

By: kswisit
ContributoriPhoneAndroidIn Love
kswisit's blog
on 27/01/11 20:47 #254295 Reply to:254126 toggle
kswisit's picture

ผมชอบดู geek (ถก)เถียงกันจริงๆ อ่านแล้วได้ความรู้

By: kiak
AndroidUbuntuWindows
kiak's blog
on 28/01/11 0:54 #254341 Reply to:254126 toggle
kiak's picture

ผมอยากรู้ว่า ถ้าเกิดเรา ordering แล้ว เราเปิดหลายๆหน้า มันไม่รวนหรอครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 27/01/11 14:39 #254175 Reply to:254086 toggle
lew's picture

การทำ Session Hijack มันไม่ต้องใช้ XSS เสมอไปนี่ครับ

และผมเองก็ยังไม่เคยได้ยินว่า Facebook มีปัญหา XSS


LewCPE's Google+

By: popomut
Android
popomut's blog
on 27/01/11 15:14 #254188 Reply to:254175 toggle
popomut's picture

:D

ที่ผมอยากจะบอกคุณก็คือ
้https มันป้องกัน session hijacking ไม่ได้ทั้งหมด ไงครับ
ต่อให้ encrypt data ด้วย https, session ID ก็ยังคงถูกขโมยได้โดยใช้ XSS เทคนิค อยู่ดี

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 27/01/11 15:18 #254190 Reply to:254175 toggle
lew's picture

แล้วไอ้ที่คุณว่า "HTTPS ไม่เห็นช่วย" นี่มันเป็นจริงตรงไหนหรือครับ


LewCPE's Google+

By: popomut
Android
popomut's blog
on 27/01/11 16:01 #254201 Reply to:254175 toggle
popomut's picture

ที่ผมบอกว่ามันไม่ช่วย ก็เป็นเพราะว่า ยังไงก็โดน XSS อยู่ดีครับ

หรือถ้าจะให้ใช้คำพูดเป๊ะๆ ผมอาจจะต้องพูดว่า มันช่วยได้บ้าง ละกันครับ

และการที่คุณบอกว่า "ไม่เคยได้ยินว่า Facebook มีปัญหา XSS" ก็ไม่ได้หมายความว่า facebook ไม่เคยโดน hack เรื่องนี้

ลองดูอันนี้ละกันครับ
http://www.xssed.com/news/80/New_highly_critical_Facebook_XSS_vulnerabilities_pose_serious_privacy_risks/

**ต้อง offline ก่อนละครับ อาจจะไม่ได้มา discuss ด้วยหลายวัน

By: viroth
ContributorRed HatSUSEUbuntu
viroth's blog
on 27/01/11 9:59 #254092 toggle
viroth's picture

มันก็ปลอดภัยได้ในระดับนึง คนใช้งานก็รู้สึกปลอดภัยมากขึ้น แฮคเกอร์มันเก่งคงช่วยไม่ได้

By: pines
Blackberry
pines's blog
on 27/01/11 18:28 #254256 toggle
pines's picture

ฝรั่งก็มีวัวหายแล้วล้อมคอกเหมือนกันแฮะ อิอ

By: melloz
iPhone
melloz's blog
on 16/02/12 9:29 #384271 toggle
melloz's picture

ผมชอบ กระทู้นี้จัง
แต่ https ทำให้ บริษัท เก็บ log ไม่ได้ สะบายใจ จัง


"The secret of success in life is to be ready for your opportunity when it comes."