กูเกิลเปิด HTTPS ใน Gmail เป็น Default

By: mk

on 13 January 2010 - 23:24 Tags:

Topics:

กูเกิลเปิดบริการ HTTPS ใน Gmail มาได้สักระยะแล้ว โดยผู้ใช้สามารถเลือกได้ระหว่าง HTTP และ HTTPS เนื่องจากการใช้ HTTPS มีข้อด้อยคือช้ากว่า HTTP (เราสามารถเลือกใช้ HTTPS แบบถาวรโดยต้องตั้งค่าใน Settings)

แต่ไม่รู้ว่าเกี่ยวกับ Gmail ในจีนโดนโจมตี หรือเปล่า วันนี้กูเกิลออกมาประกาศว่า ต่อจากนี้ไป Gmail จะเปลี่ยนมาใช้ HTTPS เป็นค่า default แล้ว โดยกูเกิลยอมแลกความเร็วกับความปลอดภัยที่เพิ่มมากขึ้น

ผู้ใช้ยังสามารถปิด HTTPS ได้ผ่านตัวเลือก "Don't always use https" และถ้าใครใช้ Gears แล้วเกิดปัญหากับ HTTPS อ่านวิธีแก้ไขได้ครับ

ที่มา - Official Gmail Blog

Hiring! บริษัทที่น่าสนใจ

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Unilever Thai Trading

Unilever Thai Group of Companies is a fast-moving consumer goods company.

Ascend Group Co., Ltd.

Our Ascend vision is to create life opportunities with innovative digital services.

Comments

By: Ford AntiTrust

on 13 January 2010 - 23:29 #148950

https นี่เป็นเหตุผลหนึ่งที่ทำให้ webmail อื่นๆ ช้า คราวนี้ก็มาดูกันว่า gmail webmail จะช้าลงขนาดไหน

By: Perl

on 14 January 2010 - 02:25 #148982 Reply to:148950

ผมว่าก็ไม่ได้ช้าน่าเกลียดอะไรนะครับในยุค Adsl สมัยนี้
ผมใช้ Https เป็น Default บน Gmail มานานหลายเดือนแล้วยังไม่รู้สึกเลยว่ามันช้า ก็วิ่งปกติดี เปิด Theme ด้วย
(หรือตรูไม่รู้สึกเองหว่า..)
เปิดดู E-mail รูปภงรูปภาพได้ความเร็วปกติ (พวก FW-Mail นี่มาทีภาพตรึม..)
แถมมีหลายๆทีที่ใช้งานผ่านมือถือด้วย (แบบ Full Text ปกติ ไม่ Mobile เพราะจะดูรูป)

ก็โอเคดีครับ...

By: Slimy

on 14 January 2010 - 09:47 #149020 Reply to:148982

ผมลองใช้ http ธรรมดา เปิด ประมาณ 2-3 วิโหลด inbox เสร็จ เปลี่ยนเป็น https เปิดใช้เวลา 8-10 วิเลยทีเดียว

By: Ford AntiTrust

on 14 January 2010 - 10:15 #149032 Reply to:148982

ขึ้นอยู่กับความเร็วของเน็ตแต่ละคนหล่ะครับงานนี้ เพราะ https นี่มัน cache บน proxy ไม่ได้ด้วยซิ แต่ที่แน่ๆ มันช้าลงอย่างรู้สึกได้แน่นอน ...

By: AdmOd

on 14 January 2010 - 11:29 #149054 Reply to:149032

นั่นข้อดีเลยแหละ..

By: lancaster

on 15 January 2010 - 10:20 #149337 Reply to:149032

proxy นี่เป็นเหตุผลหลักเลยที่ผมใช้ https

By: lancaster

on 13 January 2010 - 23:30 #148952

ดีเลยเพราะหลังๆเริ่มขี้เกียจบอกเพื่อนให้ไปตั้ง https

By: gonhvvjvo

on 14 January 2010 - 00:37 #148968

จำเป็นต้องใช้เลยนะครับ ไม่จำเป็นอย่าปิดนะครับ เพราะเราไม่รู้ครับว่า isp ทำไรกับเราบ้าง

By: Perl

on 14 January 2010 - 02:24 #148983 Reply to:148968

โดยเฉพาะ w3.mict -*-

By: runnary

on 14 January 2010 - 12:45 #149080 Reply to:148983

รู้สึกชื่อนี้จะเจ้าปัญหา ชักเห็นบ่อย w3....

By: PH41

on 17 January 2010 - 10:09 #149682 Reply to:149080

w3g?

By: KimhunCPE

on 14 January 2010 - 01:39 #148977

บอกตามตรง ถ้าไม่มีข่าวออกมา ก็คงไม่รู้หรอกครับว่าเปลี่ยนเป็น HTTPS แล้ว ความเร็วไม่ตกลงจนน่ากลัว แทบไม่แตกต่าง แต่ถ้าเป็่นช่วงที่ HTTP เป็น Default แล้วปรับ Options ให้เป็น HTTPS ความเร็วจะตกลงจนรู้สึกได้

By: fatro

on 14 January 2010 - 02:50 #148985

ใช้มาเกินครึงปีแล้ว ใช้เพราะชอบมันขึ้น Site ID แทน Favicon ตรง AwesomeBar
สวยดี ไม่เกี่ยวกับความปลอดภัยสักนิด (ฮา)

By: pexza

on 14 January 2010 - 08:08 #149003

เมล์มีพาสเวิร์ดเพียบ

By: Virusfowl

on 14 January 2010 - 09:11 #149013

ปกติใช้
| basic HTML
เลยเร็วอยู่แล๊วววว ^^

@ Virusfowl

I'm not a dev. not yet a user.

By: Thaina

on 14 January 2010 - 10:12 #149030

บล็อกนอนเป็น https รึเปล่าครับ?

By: mk

on 14 January 2010 - 10:19 #149034 Reply to:149030

จะทำไปทำไมล่ะครับ?

By: lew

on 14 January 2010 - 10:34 #149040 Reply to:149030

อยากทำนะครับ อย่างน้อยก็จะได้ช่วยเวลา login

แต่ทุกวันนี้ได้ความอนุเคราะห์เซิร์ฟเวอร์จากทาง cyberbeing.biz อยู่แล้ว ถ้าเปิด https นี่มันจะไปโหลดเซิร์ฟเวอร์มาเกินสมควรไปสักหน่อย

lewcpe.com, @wasonliw

By: ampz on 14 January 2010 - 11:12 #149049 Reply to:149040

ถ้าจะใช้แค่ส่วน login ใช้ ajax เรียก random key จาก server เพื่อเอามาเข้า hash ก่อนส่งก็น่าจะปลอดภัยขึ้นแล้ว แถมยังไม่เปลืองโหลดมากมายด้วยครับ

By: lew

on 14 January 2010 - 11:32 #149055 Reply to:149049

มันไร้ประโยชน์ครับ เพราะสุดท้ายแล้วโค้ดที่ใช้ hash มันถูกปลอมจาก man-in-the-middle ได้

lewcpe.com, @wasonliw

By: ampz on 19 January 2010 - 11:38 #150052 Reply to:149055

ง่า.. เพิ่งเห็น ตอบช้าเลย

man-in-the-middle น่าจะไม่ได้อะไรไปนะ เพราะคีย์ถูก generate จาก server ส่วน password คีย์จากฝั่ง client ก่อนส่งข้อมูลก็ทำการเข้ารหัสเรียบร้อยแล้ว ที่จะโดนขโมยได้ก็จะมีแค่ key กับ password ที่เข้ารหัสแล้ว อาจจะได้เพิ่มเติมคือ algorithm สำหรับการเข้ารหัสที่อยู่ใน javascript ซึ่งถ้าทำไว้ดีคนจะเจาะด้วยวิธีนี้ได้ต้องเตรียม rainbow dictionary สำหรับ algorithm เฉพาะตัวเท่านั้นครับ

ส่วนกรณีถูกปลอม hash ไม่แน่ใจว่าทำด้วยวิธีไหน แต่เท่าที่นึกออก สุดท้ายเมื่อตอนที่เทียบค่าบนฝั่ง server ถ้าไม่ถูกต้องยังไงก็ไม่ถูกต้อง ส่วนข้อมูลที่ได้ไปก็ไม่มีความหมาย เพราะรหัสที่เข้า hash จะเปลี่ยนไปทุกครั้งอยู่แล้ว

By: lew

on 19 January 2010 - 11:53 #150060 Reply to:150052

ใช้ MITD เปลี่ยน js ที่ควรจะ hash ไม่ให้ hash แล้วค่อยไป hash ที่ผู้โจมตีเพื่อ login ก็ได้ครับ

lewcpe.com, @wasonliw

By: ampz on 19 January 2010 - 15:46 #150101 Reply to:150060

หมายถึง mitm นะครับ ผมเองก็พลาดไปว่ามันเปลี่ยน content ได้

แต่กรณีที่โดน mitm แล้วเปลี่ยน content น่าจะเป็นคนที่ตั้งใจจะเจาะหน้าเว็บใดเว็บหนึ่งโดยเฉพาะอยู่แล้ว เพราะต้องเตรียมว่าต้องเปลี่ยน content หรือทำหน้าปลอมรอไว้ก่อน ไม่ได้แค่ทำตัวดักดูข้อมูลที่รับส่งกันเท่านั้น

วิธีที่ผมแนะนำไป เมื่อก่อน yahoo หรือเว็บหลายที่ก็ใช้วิธีนี้เพื่อส่งข้อมูล login จากหน้าที่ไม่ได้เป็น https เช่นกัน แต่เนื่องจากไม่ใช่เว็บเล็กจึงเป็นเป้าให้โจมตีโดยธรรมชาติ ปัจจุบันก็หันไปใช้ ssl นานแล้ว แต่ที่แนะนำไปเพราะคิดว่าน่าจะไม่คุ้ม อยากให้ปลอดภัยจริงก็แพงอีก แถม user เองก็ ok, yes, next ตลอด ไม่ได้เช็ค cert กันหรอก แต่ก็เห็นด้วยว่าถ้ามีไว้มันก็ดีกว่า

By: ampz on 19 January 2010 - 11:52 #150059 Reply to:149055

เพิ่มเติมอีกนิดหน่อย

จากวิธีข้างบนถ้าจะแก้ปัญหาโดนโจมตีด้วย rainbow dictionary ก็ให้ฝั่ง server ส่ง algorithm ที่ random ออกมาด้วยก็ได้ครับ แต่ละครั้งก็จะเข้า hash ไม่เหมือนกันแล้ว

แล้วพูดถึงจริงๆ ถ้า man-in-the-middle เครื่องที่ต้องการโจมตีได้ ผมคงเลือกที่จะ session hijack มากกว่า วุ่นวายน้อยกว่าเยอะ

By: bean3g

on 15 January 2010 - 10:16 #149335

ต่อไปจะมีข่าว SSL or TLS โดนโจมตีมากขึ้น โดยทางการจีนเป็นผู้สนับสนุนหลักอย่างเป็นทางการ

Main menu