Tags:

ควรแจ้งผู้ใช้งานคนอื่นมั้ย หรือควรรอ ถ้ารอต้องรอนานขนาดไหน ผมติดต่อคนดูแลไปแล้วครับ แจ้งแล้วว่าไม่ควรเก็บ plain text แถมตัวเปลี่ยนพาสเวิร์ดใช้ไม่ได้ด้วย

ถ้าเป็นคนที่ใช้พาสเวิร์ดเดียวกับทุกเว็บ แล้วโดนดูดข้อมูลไปนี่จบเลย

Get latest news from Blognone
By: Alios
iPhoneAndroidWindows
on 27 July 2017 - 13:13 #999985

ถ้าไม่มั่นใจก็ไม่ต้องเสี่ยงครับ ถ้าจำเป็น ก็สมัครอีเมล์อีกอัน และใช้รหัสผ่านใหม่ไปครับ บางทีผู้ดูแลระบบ ไม่ใช่ คนพัฒนาก็มีเยอะแยะครับ

ในไทยยังไม่มีความชัดเจนเรื่องการตรวจสอบระบบว่ามีความปลอดภัยรึเปล่า

By: whitebigbird
Contributor
on 3 August 2017 - 08:03 #1000957 Reply to:999985
whitebigbird's picture

ขอบคุณครับ ประเด็นคือแอคเคาท์ที่สมัครไปแล้วนี่สิ ถ้า DB โดนดูดนี่ออกมาหมดเลยนะครับ ทั้งเมล์ทั้ง password ที่เป็น plain text

ผมลองยิง sql injection ง่ายๆ มั่วๆ ยังออกมาเป็นยวงเลยครับ

By: grit
iPhoneWindows PhoneWindows
on 28 July 2017 - 17:41 #1000199

ถ้าผมเป็น user แล้วมีคนแจ้งให้ทราบว่าเว็บใดไม่มีการเข้ารหัสนี่ผมจะยินดีเป็นอย่างยิ่งเลย เพราะเคยพลาดไปเผลอใช้พาสเวิร์ดระดับกลางที่ใช้มานานหลายปีกับเว็บที่ไม่น่าเชื่อถือ ขอบคุณ Twitter ที่สมัครทิ้งไว้แต่ไม่เคยใช้ ส่งมาเตือนว่ามีการ
log in ที่มีความผิดปกติ เข้าไปเช็คดู โอ้ แม่มใช้ Tor แน่ๆ(แหงล่ะ!) IP แต่ละ session มาจากทั่วโลกเลย สักพัก Etsy ก็ส่งมาเตือน แต่ไม่มีรายละเอียดให้ดูถึงขั้นแบบทวิตเตอร์ ไม่รู้มันเอาไปลอง log in เว็บอะไรอีกบ้าง มีส่งมาแค่สองเว็บนี้ ตามแก้กันปวดหัวเลย เพราะนอกจากแยกพาสเวิร์ดระดับสูงใช้กับตัวอีเมล์กับพวกโซเชียลที่มีข้อมูลส่วนตัวแล้ว ส่วนใหญ่ใช้พาสเวิร์ดระดับกลางตัวเดียวกันนี้เกือบหมด มันเล่นเอาไปล็อกอินซะมัน EA Origin Stream ส่ง 2-way verification มาให้วุ่นเลย

ปล.ที่พลาดเพราะ ปกติเว็บความปลอดภัยต่ำส่วนใหญ่มันจะไม่บังคับ password strength ทำให้ใช้ชุดพาสเวิร์ดระดับต่ำได้ แต่มันดันมีบางเว็บดันบังคับ password strength เลยเผลอไปใช้พาสเวิร์ดระดับกลางซะได้ ประมาทก็พลาดไป

ทุกวันนี้ขนาดแค่เว็บไหนไม่มี https ผมยังตั้งเป็น notsafe/nohttps เตือนไปเลย เพราะถ้าถึงขั้น plain text ก็จะได้รู้กันไป

By: whitebigbird
Contributor
on 3 August 2017 - 08:06 #1000959 Reply to:1000199
whitebigbird's picture

นี่แหละครับที่น่ากลัว คือคนมันยิงทุกเว็บ แต่ผู้ดูแลมักคิดว่า "ใครจะมาสนใจยิงเว็บกู" แล้วก็ทำเว็บที่มีความปลอดภัยต่ำออกมา

ตอนผมโทรแจ้ง เค้าบอกว่าหลุดก็ไม่เป็นไร ไม่มีข้อมูลทางการเงิน ผมเลยบอกแต่มีอีเมล์กับพาสเวิร์ดนะครับ ถ้าเอาไปเข้าอีเมล์ได้จะสั่งรีเซ็ตพาสเวิร์ดเพย์พาลยังได้เลย

By: grit
iPhoneWindows PhoneWindows
on 5 August 2017 - 13:29 #1001297 Reply to:1000959

โอ้ แม่เจ้า หวังว่าจะเป็นเว็บดีไซน์ห่วยๆ และไม่มี nohttps นะ ไม่งั้นใครเผลอใช้พาสเวิร์ดหลักนี่มีซวย เพราะที่น่ากลัวกว่าคือเว็บที่ดูน่าเชื่อถือแต่ดันเก็บ plain text

By: whitebigbird
Contributor
on 5 August 2017 - 14:23 #1001305 Reply to:1001297
whitebigbird's picture

ผมเชื่อว่ามีคนใช้เยอะพอควรนะ ดีไซน์ดีกลางๆ / HTTP ดีว่าส่วนเก็บเงินใช้เป็น service ของธนาคารครับ

By: Thaitop_BN
Windows PhoneUbuntuWindows
on 6 August 2017 - 00:19 #1001350 Reply to:1000959
Thaitop_BN's picture

ผมว่าถ้าเขาตอบกลับมาประมาณว่า ไม่แก้ไขแน่นอนแบบนี้ ก็น่าจะป่าวประกาศแจ้งเตือนประชาชีได้เลยนะครับ

By: whitebigbird
Contributor
on 6 August 2017 - 09:11 #1001370 Reply to:1001350
whitebigbird's picture

เค้าบอกว่าจะตรวจสอบดู แต่ผมไม่รู้ว่าเค้าจะตรวจสอบจริงมั้ย

ผมเลยคิดว่ามันคงต้องมี step ของมันรึเปล่า (ไม่แน่ใจ) แบบว่า ขั้นที่ 1 - 2 - 3 อะไรแบบนี้ครับ