เว็บเซ็นทรัลออนไลน์ (Central Online) ไม่เข้ารหัสข้อมูลลูกค้า

By: Tum
ContributorAndroid
on 25 May 2015 - 08:17 Tags:
Forums: 
Blognone Forum

ไม่แน่ใจว่าใครจะสามารถติดต่อให้ข้อมูลกับฝ่ายที่ดูแลเว็บเซ็นทรัลออนไลน์ (www.central.co.th) ได้บ้าง เพราะตอนนี้เว็บเซ็นทรัลออนไลน์ไม่มีการเข้ารหัสข้อมูลพาสเวิร์ดของบัญชีลูกค้า ผมเดาว่าขนาดข้อมูลพาสเวิร์ดยังเก็บเป็น plain text ข้อมูลอย่างอื่นก็คงไม่ต้องหวังเรื่องความปลอดภัยแล้วครับ เลยอยากจะให้มีการปรับปรุงโดยด่วน

Get latest news from Blognone
By: SnowBEE
AndroidWindows
on 25 May 2015 - 09:42 #815114

รู้ได้ยังไงครับว่าไม่เข้ารหัส

By: -Rookies-
ContributorAndroidWindowsIn Love
on 25 May 2015 - 10:16 #815124 Reply to:815114

ผมไม่รู้นะครับว่าคุณ Tum ทำยังไง แต่ที่ผมเคยทำคือลองใช้ "ลืมพาสเวิร์ด" ดู บางเว็บส่งพาสเวิร์ดเก่าเรามาที่อีเมล์เลย ส่วนบางเว็บส่งอีเมล์ต้อนรับสมาชิกใหม่ บอกยูสเซอร์เนม-พาสเวิร์ดมาที่เมล์เราเสร็จสรรพตั้งแต่สมัครครั้งแรก อันนี้ไม่เข้ารหัสชัวร์ ๆ

จะว่าไป รู็สึกไวไฟฟรีของกสทช.ก็คุ้น ๆ ว่าไม่เข้ารหัสนะ

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: xobser
Android
on 25 May 2015 - 17:49 #815236 Reply to:815124

ส่วนบางเว็บส่งอีเมล์ต้อนรับสมาชิกใหม่ บอกยูสเซอร์เนม-พาสเวิร์ดมาที่เมล์เราเสร็จสรรพตั้งแต่สมัครครั้งแรก อันนี้ไม่เข้ารหัสชัวร์ ๆ
ในฐานะที่ทำเว็บ Register นะครับส่งมาแบบนี้จะใช้ตัวแปรส่งมาให้นะครับ แต่ DB จริง ๆจะเข้ารหัสไว้ครับ
พอมีการแจ้ง ลืมพาสเวิร์ดจะส่งกลับไปที่เมลที่ยืนยันไว้ พร้อมกับลิงค์ที่จะให้ reset ตั้งเวลาหมดอายุไว้ครับ
จะไม่สามารถแจ้ง พาสเวิร์ดได้ครับ reset อย่างเดียว

By: -Rookies-
ContributorAndroidWindowsIn Love
on 28 May 2015 - 22:50 #816048 Reply to:815236

ขอบคุณครับ เพิ่งทราบว่าทำแบบนี้ได้ด้วย แต่อย่างไรก็ตาม ผมว่าก็ไม่ควรทำอยู่ดีหรือเปล่าครับ เสี่ยว MIM มาก แถมถ้าไม่ลบเมล์ก็เสี่ยงโดนแฮ็กเมล์อีก

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: Tum
ContributorAndroid
on 26 May 2015 - 11:34 #815432 Reply to:815114

สมัครสมาชิกเสร็จ ส่ง username & password มาต้อนรับเราที่อีเมล์เลยครับ :)

By: Ton-Or
ContributorAndroidCyberbeingRed Hat
on 2 June 2015 - 00:52 #816794 Reply to:815432
Ton-Or's picture

ผมว่าก็ปกตินะ ระบบทั่วไปมันก็แบบนี้ คือตอนก่อนเข้ารหัสลง DB ระบบจะส่งเมลออกมาเลย
พวก wordpress cms อื่นๆ ก็แบบนี้ ถ้าไป hack db เขามากางได้ว่าไม่เข้าจริงก็ว่าไปอย่าง
เรื่องสมัครแล้วส่งรหัสมา auto ผมว่ามันปกติ ถ้าจะดักก็ไปดักได้ที่ตู้น่ะถ้าใช้ hub ธรรมดา

Ton-Or

By: tekkasit
ContributorAndroidWindowsIn Love
on 25 May 2015 - 16:32 #815220
tekkasit's picture

รู้ว่า "ไม่เข้ารหัส" นี่น่าจะยาก

ถ้าดันส่งรหัสผ่านเดิมมาให้แบบถูกต้อง อันนี้ชัดเจนครับ ไม่เข้ารหัส (plaintext) แบบเต็มๆ

แต่ถ้า ส่งรหัสผ่านชั่วคราว แล้วตอนล็อกอินครั้งแรกบังคับให้เปลี่ยนรหัสผ่าน แบบนี้ก็ยังสรุปไม่ได้ครับ

By: NgOrXz
iPhoneAndroidWindows
on 25 May 2015 - 17:05 #815226
NgOrXz's picture

อาจจะเข้ารหัสแบบ Symmetric key ก็ได้นิครับถอดกลับมาได้

แต่ผมก็ไม่รู้ว่าคุณ TUM รู้ได้ยังไงนะครับไม่แน่ใจ
ถ้าเป็นวิธีเดียวกับการส่งรหัสเก่ากลับมาก็ในใจลึก ๆ ผมคิดว่าเขาเข้ารหัสแบบ Symmetric Key ไว้นะครับ

By: lancaster
Contributor
on 26 May 2015 - 01:17 #815322 Reply to:815226

สำหรับรหัสผ่าน การเข้าแบบ symmetric key เปล่าประโยชน์ครับ ต้องทำ hash เท่านั้น

By: Tum
ContributorAndroid
on 26 May 2015 - 11:46 #815434 Reply to:815226

ขอโทษทีครับ ผมอาจจะใช้คำพูดพลาดไปนิงนึง จิงๆ น่าจะบอกว่าไม่ได้ hash ไว้ :)
ผมอาจจะคิดไปเองว่าเค้าไม่ได้เข้ารหัสเลย เพราะคนที่คิดทำระบบแล้วเข้ารหัสแบบ Symmetric Key ได้ ก็น่าจะมองออกว่ามันไม่ปลอดภัยอย่างไร

ที่ทราบก็เพราะว่ามีเหตุให้ต้องลองสมัครสมาชิกครับ สมัครเสร็จมีส่งอีเมล์มายืนยันพร้อมกับ username & password เลยครับ

By: EThaiZone
ContributorAndroidUbuntuWindows
on 27 May 2015 - 09:35 #815650 Reply to:815226
EThaiZone's picture

ต่อให้เข้า Symmetric key ก็ไม่สมควรทำ ผู้พัฒนาระบบไม่จำเป็นต้องรู้รหัสผ่านของคนใช้งานเลย จะรู้ไปทำไม

Hash คือคำตอบ

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: WattZ
AndroidRed HatSymbianWindows
on 25 May 2015 - 19:51 #815251
WattZ's picture

ผมเริ่มอยากรู้ล่ะว่าคุณ TUM รู้ได้ยังไง

By: osmiumwo1f
ContributorWindows PhoneWindows
on 25 May 2015 - 20:35 #815257 Reply to:815251
osmiumwo1f's picture

คิดว่ากด "ลืมรหัสผ่าน" แล้วมันส่งรหัส (ที่จำไม่ได้) มาทาง email ครับ

By: sarunw
Contributor
on 25 May 2015 - 23:20 #815297 Reply to:815257

ลองแล้วส่งเป็น reset link ครับ

My iOS apps
My blog

By: Tum
ContributorAndroid
on 26 May 2015 - 11:39 #815437 Reply to:815251

ลองสมัครสมาชิกดูได้เลยครับ สมัครเสร็จจะมีอีเมล์มาต้อนรับเราพร้อมด้วยรหัสผ่านของเรา :)

By: iStyle
ContributoriPhoneAndroidSymbian
on 27 May 2015 - 09:53 #815655 Reply to:815437
iStyle's picture

เป็นไปได้ว่าระบบส่งเมลออกมาก่อนจะเข้ารหัสแล้วบันทึกลงฐานข้อมูลรึเปล่าครับ

May the Force Close be with you. || @nuttyi

By: zorosun
iPhoneUbuntuIn Love
on 26 May 2015 - 01:46 #815323
zorosun's picture

ถ้าส่งรหัสแบบ plain textมาให้ก็แย่มากๆละครับ แปลว่าในdbไม่ได้hashไว้แต่เป็นไปได้ว่าอาจจะใช้สักอย่างencryptไว้ซึ้งก็ไม่ปลอดภัยเท่าไรนะ -*-

By: Tum
ContributorAndroid
on 26 May 2015 - 11:44 #815431

ขอโทษทุกท่านด้วยครับ ลืมให้ข้อมูล
พอดีผมลองสมัครสมาชิกดู สมัครเสร็จมีอีเมล์มาต้อนรับพร้อมกับ Username & Password ครับ
ลองดู screenshot ตามนี้นะครับ www.img.in.th/images/DVvCI9kj.jpg

By: icez
ContributoriPhoneAndroidRed Hat
on 26 May 2015 - 17:45 #815519

การส่งอีเมลแจ้ง user/pass ตอนสมัครไม่ได้หมายความว่าไม่เข้ารหัสครับ
เพราะกระบวนการมันอาจเป็นแบบนี้ได้

ในไฟล์บันทึกการลงทะเบียน

  • ส่งเมลหา user แจ้ง user/pass ไปในเมล
  • เข้ารหัส/hashing รหัสผ่าน ใส่ database

ถ้าสองอันนี้ทำใน process ไฟล์เดียวกันก็ไม่แปลกที่จะส่งรหัสผ่านแบบ plain text กลับมาในเมลแจ้งครั้งแรกได้ครับ แต่ถ้าส่งมากับเมลขอ reset รหัสผ่านนี่หมายความว่ารหัสผ่านไม่ถูกเข้ารหัสไว้ หรือเข้ารหัสไว้ในรูปแบบที่ถอดรหัสได้แน่นอนครับ

By: Tum
ContributorAndroid
on 27 May 2015 - 07:02 #815630 Reply to:815519

อืม... เป็นไปได้เลยครับ :)

By: EThaiZone
ContributorAndroidUbuntuWindows
on 27 May 2015 - 09:36 #815651
EThaiZone's picture

ผมว่าคุณ Tum ลองกดลืมรหัสผ่านหรือรีเซ็ตรหัสผ่านดูครับ ถ้าในขั้นตอนนี้ยังมีรหัสผ่านเดิมของคุณส่งมากับเมล์ มันก็ใช่ล่ะ

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB