เฟซบุ๊กเปิดใช้งานระบบแก้ลิงก์ให้เป็น HTTPS กับทั้งเฟซบุ๊กและอินสตาแกรม

By: nismod
TraineeWriteriPhoneAndroid
on 6 March 2018 - 16:33 Tags:
Topics: 
Facebook
Instagram
HSTS
HTTPS
Security
Node Thumbnail

เฟซบุ๊กเริ่มผลักดันการใช้งานเว็บไซต์ที่เข้ารหัส SSL/TLS กับเขาบ้างแล้ว จากการประกาศล่าสุดที่ระบุว่า เฟซบุ๊กจะเปิดใช้งานระบบแก้ลิงก์ ซึ่งจะแก้ลิงก์ที่ไม่เป็น HTTPS สำหรับเว็บที่รองรับ HSTS ให้เป็น HTTPS ทั้งบนทั้งบนเฟซบุ๊กและอินสตาแกรม

วิศวกรของเฟซบุ๊กระบุว่าบริษัทจะตรวจสอบเว็บไซต์จาก HSTS Preload List ที่เบราว์เซอร์ส่วนใหญ่ซัพพอร์ทอยู่แล้ว ขณะเดียวกันถึงแม้เว็บที่ไม่ได้อยู่ใน Preload List แต่ให้บริการเป็น HTTPS ทางเฟซบุ๊กก็จะแก้ไขให้เองด้วยเช่นกัน

กูเกิลเปิด HSTS กับเว็บหลัก www.google.com แล้ว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 2 August 2016 - 01:30 Tags:
Topics: 
Google
HSTS
Security
HTTPS
Node Thumbnail

HSTS เป็นมาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS เท่านั้น โดยเปิดให้เว็บไซต์ประกาศตัวเองว่าต้องเข้าผ่าน HTTPS เท่านั้น หรือจะส่งรายชื่อให้ติดไปกับตัวติดตั้งเบราว์เซอร์ก็ได้ (เรียกว่า HSTS Preload) ตอนนี้เว็บขนาดใหญ่อย่างกูเกิลก็เริ่มเปิด HSTS บนเว็บหลัก www.google.com แล้ว

กูเกิลเป็นผู้ให้บริการแรกๆ ที่บังคับ HTTPS บนบริการที่มีความปลอดภัยสูง เช่น Gmail ที่ไม่เพียงแต่บังคับเข้าเว็บด้วย HTTPS เท่านั้นแต่ยังล็อกผู้ให้บริการรับรองตัวตน (CA) ไว้ด้วย ทำให้เมื่อ DigiNotar ถูกแฮก ผู้ใช้ก็รู้ตัวได้โดยง่ายเพราะ Chrome แจ้งเตือน แต่สำหรับเว็บหลักอย่าง www.google.com กลับยังไม่บังคับเข้าผ่าน HTTPS แต่อย่างใด

US-CERT เตือน ช่องโหว่ Cookie Injection, แนะนำเว็บเปิด HSTS

By: lew
FounderJusci's WriterMEconomicsAndroid
on 25 September 2015 - 20:31 Tags:
Topics: 
Security
Browser
HTTPS
HSTS
Node Thumbnail

US CERT ออกประกาศแจ้งเตือนช่องโหว่เบราว์เซอร์ที่สามารถถูกยิงคุกกี้เข้าไปยังเว็บที่เข้ารหัสได้ และทำให้ผู้ใช้ถูกหลอกให้กรอกข้อมูลทั้งที่กำลังใช้งานอยู่ในเว็บเข้ารหัส

การยิงคุกกี้ (cookie injection) ทำได้เพราะนักพัฒนาเว็บสามารถกำหนดได้ว่าคุกกี้จะใช้งานเฉพาะ HTTPS ด้วยการต่อท้ายคุกกี้ด้วยข้อความ "secure" แต่การกำหนดนี้สามารถกำหนดขณะใช้งาน HTTP ที่ไม่เข้ารหัสก็ได้

แนวทางการโจมตี แฮกเกอร์จะต้องดักฟังการเชื่อมต่อที่ไม่เข้ารหัส และปลอมตัวเป็นเว็บโดเมนเดียวกัน ส่งข้อมูลเว็บแบบไม่เข้ารหัสไปยังเบราว์เซอร์เพื่อให้เบราว์เซอร์ตั้งค่าคุกกี้ในโดเมนที่เข้ารหัสแล้ว

มาช้ายังดีกว่าไม่มา IE บน Windows 10 รองรับ HSTS แล้ว

By: icez
ContributoriPhoneAndroidRed Hat
on 18 February 2015 - 23:49 Tags:
Topics: 
Security
Internet
Internet Explorer
HTTP
HSTS
Windows 10
Microsoft
Node Thumbnail

เมื่อวานนี้ (17 กุมภาพันธ์) ไมโครซอฟท์ประกาศออกมาว่า Internet Explorer รุ่นที่อยู่ใน Windows 10 Technical Preview ได้รองรับมาตรฐาน HSTS หรือ HTTP Strict Transport Security ที่ใช้บังคับให้เบราว์เซอร์ให้เชื่อมต่อกับเว็บไซต์แบบเข้ารหัสเสมอแล้ว

HSTS ขึ้นเป็นมาตรฐานของอินเทอร์เน็ตเรียบร้อย

By: nutmos
WriteriPhoneUbuntuWindows
on 22 November 2012 - 23:20 Tags:
Topics: 
Security
HSTS
Node Thumbnail

มาตรฐาน HTTP Strict Transport Security หรือ HSTS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ (ข่าวเก่า) The Internet Engineering Task Force หรือ IETF ประกาศใน RFC 6797 อย่างเป็นทางการ ให้ HSTS ขึ้นเป็นมาตรฐานสำหรับอินเทอร์เน็ตเรียบร้อยแล้ว

มาตรฐาน HSTS ถูกร่างโดย Jeff Hodges พนักงาน PayPal, Collin Jackson จากมหาวิทยาลัย Carnegie Mellon และ Adam Barth จากกูเกิล ซึ่งเป็นผู้ร่วมสร้าง RFC 6797

ที่มา - The H