ไม่แน่ใจว่าใครจะสามารถติดต่อให้ข้อมูลกับฝ่ายที่ดูแลเว็บเซ็นทรัลออนไลน์ (www.central.co.th) ได้บ้าง เพราะตอนนี้เว็บเซ็นทรัลออนไลน์ไม่มีการเข้ารหัสข้อมูลพาสเวิร์ดของบัญชีลูกค้า ผมเดาว่าขนาดข้อมูลพาสเวิร์ดยังเก็บเป็น plain text ข้อมูลอย่างอื่นก็คงไม่ต้องหวังเรื่องความปลอดภัยแล้วครับ เลยอยากจะให้มีการปรับปรุงโดยด่วน
รู้ได้ยังไงครับว่าไม่เข้ารหัส
ผมไม่รู้นะครับว่าคุณ Tum ทำยังไง แต่ที่ผมเคยทำคือลองใช้ "ลืมพาสเวิร์ด" ดู บางเว็บส่งพาสเวิร์ดเก่าเรามาที่อีเมล์เลย ส่วนบางเว็บส่งอีเมล์ต้อนรับสมาชิกใหม่ บอกยูสเซอร์เนม-พาสเวิร์ดมาที่เมล์เราเสร็จสรรพตั้งแต่สมัครครั้งแรก อันนี้ไม่เข้ารหัสชัวร์ ๆ
จะว่าไป รู็สึกไวไฟฟรีของกสทช.ก็คุ้น ๆ ว่าไม่เข้ารหัสนะ
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ส่วนบางเว็บส่งอีเมล์ต้อนรับสมาชิกใหม่ บอกยูสเซอร์เนม-พาสเวิร์ดมาที่เมล์เราเสร็จสรรพตั้งแต่สมัครครั้งแรก อันนี้ไม่เข้ารหัสชัวร์ ๆ
ในฐานะที่ทำเว็บ Register นะครับส่งมาแบบนี้จะใช้ตัวแปรส่งมาให้นะครับ แต่ DB จริง ๆจะเข้ารหัสไว้ครับ
พอมีการแจ้ง ลืมพาสเวิร์ดจะส่งกลับไปที่เมลที่ยืนยันไว้ พร้อมกับลิงค์ที่จะให้ reset ตั้งเวลาหมดอายุไว้ครับ
จะไม่สามารถแจ้ง พาสเวิร์ดได้ครับ reset อย่างเดียว
ขอบคุณครับ เพิ่งทราบว่าทำแบบนี้ได้ด้วย แต่อย่างไรก็ตาม ผมว่าก็ไม่ควรทำอยู่ดีหรือเปล่าครับ เสี่ยว MIM มาก แถมถ้าไม่ลบเมล์ก็เสี่ยงโดนแฮ็กเมล์อีก
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
สมัครสมาชิกเสร็จ ส่ง username & password มาต้อนรับเราที่อีเมล์เลยครับ :)
ผมว่าก็ปกตินะ ระบบทั่วไปมันก็แบบนี้ คือตอนก่อนเข้ารหัสลง DB ระบบจะส่งเมลออกมาเลย
พวก wordpress cms อื่นๆ ก็แบบนี้ ถ้าไป hack db เขามากางได้ว่าไม่เข้าจริงก็ว่าไปอย่าง
เรื่องสมัครแล้วส่งรหัสมา auto ผมว่ามันปกติ ถ้าจะดักก็ไปดักได้ที่ตู้น่ะถ้าใช้ hub ธรรมดา
Ton-Or
รู้ว่า "ไม่เข้ารหัส" นี่น่าจะยาก
ถ้าดันส่งรหัสผ่านเดิมมาให้แบบถูกต้อง อันนี้ชัดเจนครับ ไม่เข้ารหัส (plaintext) แบบเต็มๆ
แต่ถ้า ส่งรหัสผ่านชั่วคราว แล้วตอนล็อกอินครั้งแรกบังคับให้เปลี่ยนรหัสผ่าน แบบนี้ก็ยังสรุปไม่ได้ครับ
อาจจะเข้ารหัสแบบ Symmetric key ก็ได้นิครับถอดกลับมาได้
แต่ผมก็ไม่รู้ว่าคุณ TUM รู้ได้ยังไงนะครับไม่แน่ใจ
ถ้าเป็นวิธีเดียวกับการส่งรหัสเก่ากลับมาก็ในใจลึก ๆ ผมคิดว่าเขาเข้ารหัสแบบ Symmetric Key ไว้นะครับ
สำหรับรหัสผ่าน การเข้าแบบ symmetric key เปล่าประโยชน์ครับ ต้องทำ hash เท่านั้น
ขอโทษทีครับ ผมอาจจะใช้คำพูดพลาดไปนิงนึง จิงๆ น่าจะบอกว่าไม่ได้ hash ไว้ :)
ผมอาจจะคิดไปเองว่าเค้าไม่ได้เข้ารหัสเลย เพราะคนที่คิดทำระบบแล้วเข้ารหัสแบบ Symmetric Key ได้ ก็น่าจะมองออกว่ามันไม่ปลอดภัยอย่างไร
ที่ทราบก็เพราะว่ามีเหตุให้ต้องลองสมัครสมาชิกครับ สมัครเสร็จมีส่งอีเมล์มายืนยันพร้อมกับ username & password เลยครับ
ต่อให้เข้า Symmetric key ก็ไม่สมควรทำ ผู้พัฒนาระบบไม่จำเป็นต้องรู้รหัสผ่านของคนใช้งานเลย จะรู้ไปทำไม
Hash คือคำตอบ
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
ผมเริ่มอยากรู้ล่ะว่าคุณ TUM รู้ได้ยังไง
คิดว่ากด "ลืมรหัสผ่าน" แล้วมันส่งรหัส (ที่จำไม่ได้) มาทาง email ครับ
ลองแล้วส่งเป็น reset link ครับ
My iOS apps
My blog
ลองสมัครสมาชิกดูได้เลยครับ สมัครเสร็จจะมีอีเมล์มาต้อนรับเราพร้อมด้วยรหัสผ่านของเรา :)
เป็นไปได้ว่าระบบส่งเมลออกมาก่อนจะเข้ารหัสแล้วบันทึกลงฐานข้อมูลรึเปล่าครับ
May the Force Close be with you. || @nuttyi
ถ้าส่งรหัสแบบ plain textมาให้ก็แย่มากๆละครับ แปลว่าในdbไม่ได้hashไว้แต่เป็นไปได้ว่าอาจจะใช้สักอย่างencryptไว้ซึ้งก็ไม่ปลอดภัยเท่าไรนะ -*-
ขอโทษทุกท่านด้วยครับ ลืมให้ข้อมูล
พอดีผมลองสมัครสมาชิกดู สมัครเสร็จมีอีเมล์มาต้อนรับพร้อมกับ Username & Password ครับ
ลองดู screenshot ตามนี้นะครับ www.img.in.th/images/DVvCI9kj.jpg
การส่งอีเมลแจ้ง user/pass ตอนสมัครไม่ได้หมายความว่าไม่เข้ารหัสครับ
เพราะกระบวนการมันอาจเป็นแบบนี้ได้
ในไฟล์บันทึกการลงทะเบียน
ถ้าสองอันนี้ทำใน process ไฟล์เดียวกันก็ไม่แปลกที่จะส่งรหัสผ่านแบบ plain text กลับมาในเมลแจ้งครั้งแรกได้ครับ แต่ถ้าส่งมากับเมลขอ reset รหัสผ่านนี่หมายความว่ารหัสผ่านไม่ถูกเข้ารหัสไว้ หรือเข้ารหัสไว้ในรูปแบบที่ถอดรหัสได้แน่นอนครับ
อืม... เป็นไปได้เลยครับ :)
ผมว่าคุณ Tum ลองกดลืมรหัสผ่านหรือรีเซ็ตรหัสผ่านดูครับ ถ้าในขั้นตอนนี้ยังมีรหัสผ่านเดิมของคุณส่งมากับเมล์ มันก็ใช่ล่ะ
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB