Tags:
Node Thumbnail

หน่วยงานออกใบรับรองแห่งรัฐบาลคาซัคสถาน (Root Certification Authority of the Republic of Kazakhstan - root.gov.kz) ยื่นความจำนงขอให้มอซิลล่ารวมเอา root CA ของรัฐบาลเข้าไว้ในฐานข้อมูลเพื่อให้ใบรับรองที่ออกโดยรัฐบาลได้รับความเชื่อถือ

Tags:
Node Thumbnail

ปี 2015 เป็นปีสำคัญของความปลอดภัยเว็บ โดยเฉพาะโครงการ Let's Encrypt ที่เปิดให้เว็บทุกเว็บในโลกสามารถเข้ารหัส TLS ได้ฟรีโดยไม่ต้องมีค่าใช้จ่ายเพิ่มเติม เป็นจุดเริ่มต้นว่าในอนาคตเราอาจจะถือว่าเว็บทุกเว็บต้องเป็น HTTPS เสมอ

แม้ว่าตัวซอฟต์แวร์ของ Let's Encrypt ยังไม่สมบูรณ์นักแต่ระบบโฮสติ้งหลายรายก็เริ่มรองรับกันบ้างแล้ว ผมเลยเสนอสิทธิ์ให้กับบริการโฮสต์ที่รองรับ Let's Encrypt ให้มาประกาศตัวกันในโพสนี้

เงื่อนไขมีดังนี้

Tags:
Node Thumbnail

Let's Encrypt โครงการออกใบรับรอง TLS/SSL ฟรีเปิดบริการตั้งแต่ต้นเดือนที่ผ่านมา ผ่านไปเพียงไม่ถึงเดือนทางโครงการก็ระบุว่าตอนนี้ออกใบรับรองไปแล้วถึงสองแสนใบ

ใบรับรองใบที่สองแสนของ Let's Encrypt คือเว็บ redey.net หมายเลขซีเรียลใบรับรอง 01:ba:0c:0e:4e:11:2b:53:26:30:bc:20:94:d8:15:2d:c9:b7

ใบรับรองทั้งสองแสนใบไม่ได้ออกในช่วงเดือนที่ผ่านมาทั้งหมด เพราะช่วงทดสอบวงปิดมีการออกใบรับรองไปแล้ว 26,000 ใบ

ที่มา - @letsencrypt_ops

Tags:
Node Thumbnail

ฟีเจอร์ Security Panel จะเป็นฟีเจอร์ใหม่ที่กำลังจะถูกเพิ่มใน Chrome รุ่น 48 ซึ่งจะช่วยในการแสดงรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS และปัญหาที่อาจส่งผลต่อความน่าเชื่อถือของเว็บไซต์ให้สามารถเข้าใจได้ง่ายมากขึ้น

ในการตรวจสอบรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS นั้น มีปัญหาในเรื่องของความไม่ชัดเจนในบางกรณี เช่น การเรียกวัตถุทรัพยากรใดๆ ผ่านโปรโตคอล HTTP ซึ่งไม่ได้มีการระบุอย่างชัดเจนถึงวัตถุหรือทรัพยากรนั้นว่าคืออะไร หรือในเรื่องของการให้ข้อมูลซึ่งยากต่อการทำความเข้าใจต่อผู้ใช้งานทั่วไป

Tags:
Node Thumbnail

กูเกิลประกาศปรับวิธีการทำดัชนีการค้นหา โดยจะพยายามมองหา URL ที่เป็น HTTPS แทน HTTP ก่อนเสมอ และถ้าพบว่า URL นั้นมีเนื้อหาเหมือนกัน (ต่างกันแค่ S) ก็จะแสดงผลการค้นหาที่เป็น HTTPS เป็นค่าดีฟอลต์

มีบางกรณียกเว้นที่กูเกิลจะไม่แสดงลิงก์ HTTPS ของ URL นั้น เช่น ถูกบล็อคโดยไฟล์ robots.txt ของเว็บไซต์ หรือมี noindex อยู่ใน meta tag

กูเกิลแนะนำให้เจ้าของเว็บไซต์ควรรองรับ HTTPS กันได้แล้ว และควร redirect เว็บเพจที่เป็น HTTP ให้กลายเป็น HTTPS รวมถึงใส่ header HSTS ไว้ที่เว็บเซิร์ฟเวอร์ด้วย

Tags:
Node Thumbnail

Let's Encrypt (LE) เป็นระบบหน่วยงานออกใบรับรอง (Certification Authority หรือ CA) ที่สามารถใช้งานได้ฟรีและใช้ระบบอัตโนมัติในการจัดการใบรับรองความปลอดภัยสำหรับเว็บไซต์เข้ารหัส โดยเราจะใช้งานผ่าน client ที่มีให้ มีจุดมุ่งหมายเพื่อสาธารณประโยชน์ ระบบของ LE ให้บริการโดย Internet Security Research Group (ISRG)

ข้อมูลเกี่ยวกับใบรับรอง

ใบรับรองที่ออกโดย LE จะมีอายุเพียงแค่ 90 วันเท่านั้น ซึ่งดูเป็นช่วงเวลาที่สั้นสำหรับผู้ดูแลระบบหลายๆคนที่ใช้งานใบรับรองที่มีอายุ1ปี ซึ่งทาง LE ให้เหตุผลในการออกใบรับรองที่มีอายุเพียงแค่ 90 วันไว้ดังนี้

Tags:
Node Thumbnail

ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

Tags:
Node Thumbnail

หลังจากเลื่อนมาหลายรอบ วันนี้ก็เป็นวันแรกที่ Let's Encrypt บริการออกใบรับรองดิจิตอลสำหรับเว็บที่ให้บริการฟรี เริ่มให้บริการต่อสาธารณะ จากช่วงบริการในวงปิดที่มีโดเมนต่างๆ ใช้งานอยู่ก่อนแล้วกว่า 26,000 โดเมน หลังจากเปิดบริการไม่ถึงวัน ตอนนี้ทางโครงการก็ออกใบรับรองไปแล้วกว่า 36,000 โดเมน

รายชื่อโดเมนที่ออกใบรับรองโดย Let's Encrypt เปิดเผยผ่านกระบวนการ Certificate Transparency โดยโพสอยู่ที่ crt.sh

Tags:
Node Thumbnail

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL

Tags:
Node Thumbnail

อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้

ผมเองลองเข้าเว็บอเมซอนวันนี้ก็สังเกตว่าแทบทุกหน้าสามารถใช้งานผ่าน HTTPS ได้ทั้งหมดแล้ว จากเดิมที่หน้าส่วนใหญ่ไม่รองรับและหากพยายามเข้าผ่าน HTTPS ก็จะถูก redirect มายังหน้า HTTP แม้จะยังสามารถเข้าผ่าน HTTP ได้ด้วยก็ตาม สำหรับผู้ใช้ที่กังวลว่าจะมีข้อมูลรั่วไหลก็สามารถใช้ปลั๊กอิน SSL Enforcer มาบังคับให้เบราว์เซอร์ใช้ HTTPS ตลอดเวลาได้

Tags:
Node Thumbnail

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

Tags:
Node Thumbnail

ไมโครซอฟท์มีกำหนดการหยุดรองรับใบรับรองที่ใช้ SHA-1 ในการรับรองในวันที่ 1 มกราคม 2017 แต่งานวิจัยใหม่ๆ ก็แสดงความน่ากลัวของการใช้ SHA-1 มากขึ้นเรื่อยๆ เมื่อเดือนที่แล้วมอซิลล่าประกาศว่าอาจจะร่นระยะเวลายกเลิก SHA-1 ขึ้นมาเป็นวันที่ 1 กรกฎาคม ตอนนี้ทางไมโครซอฟท์ก็ออกมาประกาศแนวทางเดียวกันแล้ว

ทางไมโครซอฟท์ระบุว่าจะประเมินความจำเป็นร่วมกับเบราว์เซอร์อื่นๆ ต่อไป ระหว่างนี้ผู้ดูแลระบบทั้งหลายก็ควรเร่งอัพเดตใบรับรองของตัวเองกันโดยเร็ว

การกดดันจากผู้ผลิตเบราว์เซอร์รายใหญ่อย่างต่อเนื่องทำให้การอัพเดตใบรับรองเป็นไปอย่างรวดเร็ว ในช่วงเวลาไม่ถึงสองปี ใบรับรองที่เคยใช้ SHA-1 กว่า 70% ถูกอัพเดตเป็น SHA-2 แล้ว

Tags:

มาตรฐาน HTTP Strict Transport Security (HSTS) ใช้เพื่อป้องกันไม่ให้เว็บเบราว์เซอร์เข้าเว็บผ่าน HTTP ในกรณีที่ผู้ใช้ไม่ได้ระบุ URL เป็น HTTPS โดยตรง เว็บเซิร์ฟเวอร์จะแจ้งเบราว์เซอร์ให้จำโดเมนว่าจำเป็นต้องเข้าผ่าน HTTPS เท่านั้น และเบราว์เซอร์จะไม่เข้าเว็บผ่าน HTTP อีกเลยตลอดช่วงเวลาที่กำหนด

Yan Zhu (@bcrypt) นำเสนอแนวทางการตรวจสอบประวัติการเข้าเว็บด้วยการจับเวลาการเข้าเว็บ ประกอบเข้ากับนโยบาย Content Security Policy (CSP) ที่สามารถกำหนดให้โหลดภาพผ่าน HTTP (ไม่เข้ารหัส) เท่านั้น ซึ่งเป็นนโยบายที่ไม่ค่อยมีใครทำกันแต่ก็สามารถใช้งานได้

Tags:
Node Thumbnail

Adam Langley นักวิจัยด้านความปลอดภัยของกูเกิล (เป็นคนเสนอให้ CA ต้องเปิดเผยการออกใบรับรองตั้งแต่ปี 2011) ออกมาอธิบายแนวคิดการพัฒนาของ BoringSSL ไลบรารีเข้ารหัสที่กูเกิลแยกโครงการออกมาจาก OpenSSL ว่าแม้จะมี API คล้ายกับ OpenSSL แต่มีความแตกต่างกันลงลึกถึงระดับล่างจำนวนมาก

Tags:
Node Thumbnail

เบราว์เซอร์หลักๆ จากกูเกิล, มอซิลล่า, และไมโครซอฟท์ล้วนประกาศแนวทางการเลิกรองรับใบรับรองดิจิตอลที่ใช้ SHA-1 (อ่านบทความอธิบาย) แต่การโจมตีรอบล่าสุดแสดงว่าต้นทุนการโจมตีกำลังถูกลงอย่างรวดเร็ว และเป็นไปได้ที่เราจะเห็น SHA-1 ค่าซ้ำกันในเร็วๆ นี้ ทางมอซิลล่าจึงออกมาแจ้งเตือนว่าอาจจะร่นกำหนดเวลาการหยุดรองรับ SHA-1 เข้ามา เป็นวันที่ 1 กรกฎาคม 2016 หรือเลื่อนขึ้นมา 6 เดือน

นอกจากนี้ ในไฟร์ฟอกซ์เวอร์ชั่น 43 จะเริ่มเตือนใบรับรองที่ใช้ SHA-1 ที่ออกใบรับรองหลังวันที่ 1 มกราคม 2016 แนวทางนี้จะเร็วกว่ากำหนดการของโครมขึ้นมาอีกหลายเดือน

Tags:
Node Thumbnail

Richard Barnes หัวหน้าฝ่ายความปลอดภัยของไฟร์ฟอกซ์ ทวีตประกาศมาตรการความปลอดภัยล่าสุดในไฟร์ฟอกซ์เวอร์ชั่น 44 ที่จะเตือนผู้ใช้ว่าเว็บไม่ปลอดภัย หากหน้าเว็บนั้นๆ มีแบบฟอร์มรหัสผ่านอยู่ในเว็บ และตัวเว็บเชื่อมต่อแบบไม่เข้ารหัส

แนวทางนี้เป็นเพียงการทดสอบในรุ่น Nightly เท่านั้น รุ่นที่เราใช้งานกันทั่วไปยังเป็นรุ่น 41 และกว่ารุ่น 44 จะออกมาจริงยังต้องใช้เวลาอีกหลายเดือน และยังไม่มีการยืนยันว่าแนวทางนี้จะใช้งานในรุ่นจริง

Tags:
Node Thumbnail

ทีมวิจัย WeakDH ที่เคยเปิดเผยช่องโหว่ Logjam ตีพิมพ์รายงานวิจัย ประเมินค่าใช้จ่ายในการเจาะกระบวนการแลกกุญแจ Diffie-Hellman (DH) ที่ขนาด 1024 บิตแล้วพบว่าค่าใช้จ่ายในการเจาะระบบเข้ารหัสนี้น่าจะง่ายพอที่ NSA จะเจาะการเข้ารหัส และเอกสารของ Edward Snowden ที่หลุดออกมาชี้นำให้เห็นว่า NSA อาจจะใช้กระบวนการนี้ในการเจาะการเชื่อมต่อเข้ารหัสสำคัญๆ หลายจุด

Tags:
Node Thumbnail

ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์

งานวิจัยนี้แสดงความง่ายของการสร้างข้อมูลที่มีค่าแฮชตรงกัน จากฟังก์ชั่น SHA1 compression function โดยคลัสเตอร์ของทีมวิจัยสามารถปลอมค่าแฮชจากฟังก์ชั่นนี้ได้ในเวลาเพียง 10 วัน แม้ว่าจะไม่ได้แสดงการปลอม SHA1 โดยตรง แต่ทีมงานวิจัยก็ระบุว่ากระบวนการปลอมค่าจากฟังก์ชั่นที่นำเสนอแสดงให้เห็นว่าเป็นไปได้ที่จะปลอมค่า SHA1 โดยตรงด้วยต้นทุนที่ต่ำกว่าที่เคยคาดกันมาก

Tags:
Node Thumbnail

กูเกิลเปิด HTTPS สำหรับบริการหลักๆ ของตัวเองมานาน แต่บริการ Blogger นั้นกลับไม่รองรับ HTTPS มานาน และวันนี้ทางกูเกิลก็เปิดให้เจ้าของบล็อกเลือกเปิด HTTPS ได้เองแล้ว

กูเกิลระบุว่าตอนนี้ยังเป็นช่วงเริ่มต้นเท่านั้นแต่เปิดให้เจ้าของบล็อคที่สนใจเปิดใช้งานกันก่อน ข้อจำกัดคือการใช้โดเมนส่วนตัวยังใช้งานไม่ได้ และหลายครั้งอาจจะมีปัญหากับโพสเพราะมีการฝังเนื้อหาจากเว็บไม่เข้ารหัสเอาไว้

Tags:
Node Thumbnail

US CERT ออกประกาศแจ้งเตือนช่องโหว่เบราว์เซอร์ที่สามารถถูกยิงคุกกี้เข้าไปยังเว็บที่เข้ารหัสได้ และทำให้ผู้ใช้ถูกหลอกให้กรอกข้อมูลทั้งที่กำลังใช้งานอยู่ในเว็บเข้ารหัส

การยิงคุกกี้ (cookie injection) ทำได้เพราะนักพัฒนาเว็บสามารถกำหนดได้ว่าคุกกี้จะใช้งานเฉพาะ HTTPS ด้วยการต่อท้ายคุกกี้ด้วยข้อความ "secure" แต่การกำหนดนี้สามารถกำหนดขณะใช้งาน HTTP ที่ไม่เข้ารหัสก็ได้

แนวทางการโจมตี แฮกเกอร์จะต้องดักฟังการเชื่อมต่อที่ไม่เข้ารหัส และปลอมตัวเป็นเว็บโดเมนเดียวกัน ส่งข้อมูลเว็บแบบไม่เข้ารหัสไปยังเบราว์เซอร์เพื่อให้เบราว์เซอร์ตั้งค่าคุกกี้ในโดเมนที่เข้ารหัสแล้ว

Tags:
Node Thumbnail

โครงการแจกใบรับรองฟรี Let's Encrypt เข้าสู่ช่วงปล่อยใบรับรองจริงช่วงแรก โดยยังไม่ได้รับรองรับรองซ้อนมาจาก IdenTrust ทำให้ไม่เบราว์เซอร์ทั่วไปไม่รองรับ (จะขึ้นหน้าจอเตือน Invalid Certification Authority)

ใบรับรองชุดแรกออกมาตั้งแต่เมื่อวานนี้ และทาง Let's Encrypt ประกาศเริ่มต้นเข้าสู่ช่วงออกใบรับรองในวันนี้

ระหว่างนี้หากต้องการให้เบราว์เซอร์เชื่อถือเว็บที่ Let's Encrypt รับรองจะต้องติดตั้งใบรับรองของ ISRG ลงในเครื่อง ใบรับรองทดสอบอยู่ที่เว็บ helloworld.letsencrypt.org

Node Thumbnail

การเข้ารหัสแบบ RC4 มีความปลอดภัยต่ำ เพราะกระบวนการสุ่มเลขไม่ดีเท่าที่ควร ซึ่งในแวดวงความปลอดภัยเองก็เตรียมถอด RC4 ออกจากมาตรฐาน IETF มาได้สักพักแล้ว

วันนี้ผู้พัฒนาเบราว์เซอร์รายใหญ่ 3 ค่ายคือ Google, Microsoft, Mozilla ออกมาประกาศแผนว่าจะถอดการใช้งาน RC4 ออกจากเบราว์เซอร์ของตัวเอง (Chrome, IE, Edge, Firefox) พร้อมกันในช่วงต้นปี 2016

การถอด RC4 ไม่ส่งผลกระทบต่อผู้ใช้ทั่วไปมากนัก เพราะปัจจุบันเราใช้การเชื่อมต่อปลอดภัย HTTPS ผ่านโพรโทคอล TLS 1.2 ในขณะที่ RC4 จะถูกใช้ต่อเมื่อเซิร์ฟเวอร์ไม่รองรับ TLS 1.2 หรือ 1.1 และถอยกลับ (fallback) มาเชื่อมต่อผ่าน TLS 1.0 แทน

Tags:
Node Thumbnail

Let's Encrypt บริการออกใบรับรองโดเมนฟรีมีกำหนดการเปิดบริการทั่วไปกลางเดือนกันยายนนี้ ตอนนี้ทางโครงการก็ออกมาประกาศเลื่อนออกไปเป็นวันที่ 16 พฤศจิกายนแล้ว

กำหนดการนี้เลื่อนออกไปจากเดิมประมาณสองเดือนสำหรับบริการทั่วไป และสองเดือนครึ่งสำหรับการเปิดบริการเฉพาะกลุ่ม

ทางโครงการไม่ได้บอกเหตุผลของการเลื่อนไว้ตรงๆ แต่บอกเพียงว่าเพื่อใช้เวลาปรับปรุงระบบ

ที่มา - Let's Encrypt

Tags:
Node Thumbnail

ที่งานประชุมวิชาการ Symposium On Usable Privacy and Security ปีนี้ ทีมวิจัยของกูเกิลได้สำรวจความแตกต่างระหว่างผู้เชี่ยวชาญความปลอดภัยและผู้ใช้ทั่วไปว่ามีแนวทางการป้องกันตัวเองต่างกันอย่างไรบ้าง

แบบสำรวจส่งให้กับผู้เชี่ยวชาญผ่านเว็บบล็อคของกูเกิล และชักชวนออนไลน์ โดยต้องทำงานเกี่ยวกับความปลอดภัยคอมพิวเตอร์มาอย่างน้อยห้าปี เทียบกับแบบสำรวจผ่านจากผู้ใช้ Amazon Mechanical Turk ที่ความน่าเชื่อถือสูง (ผ่านงานมาอย่างน้อย 500 งาน และได้มี approval rate 95% ขึ้นไป) คำถามหลักของแบบสำรวจคือ ให้บอกรายการ 3 สิ่งที่สำคัญที่สุดเพื่อความปลอดภัยออนไลน์

Tags:
Topics: 
Node Thumbnail

กระบวนการเข้ารหัสแบบ RC4 มีความเป็นไปได้ที่จะถูกเจาะมานานจากปัญหาคุณภาพเลขสุ่มเทียมที่ไม่ดีนัก แต่ก่อนหน้านี้แม้ RC4 จะมีความปลอดภัยต่ำกว่าที่ออกแบบไว้แต่ก็ยังไม่มีใครสาธิตการถอดรหัสภายในเวลาที่เป็นจริงนัก งานวิจัยล่าสุดจาก Mathy Vanhoef และ Frank Piessens นำเสนอการถอดรหัส cookie จาการเชื่อมต่อเว็บได้ภายในเวลาเพียง 75 ชั่วโมงเข้าใกล้การโจมตีอย่างจริงจังมากขึ้น

กระบวนการถอดรหัสนี้ นักวิจัยวางเว็บล่อให้เหยื่อเปิดทิ้งไว้เว็บล่อนี้จะส่ง request ไปยังเว็บที่เข้ารหัสด้วย HTTPS แบบ RC4 ด้วยความถี่ถึง 4450 ครั้งต่อวินาที ตัวนักวิจัยดักฟังข้อมูลทั้งหมด

Pages