Tags:
Node Thumbnail

แอปเปิลเปลี่ยนมาใช้วิธีส่งข้อมูลแบบเข้ารหัส HTTPS สำหรับการเชื่อมต่อทั้งหมดของ App Store บนแพลตฟอร์ม iOS แล้ว

ก่อนหน้านี้การส่งข้อมูลระหว่าง App Store ไปยังอินเทอร์เน็ตไม่ถูกเข้ารหัส (หรือเข้ารหัสเพียงบางส่วน) ทำให้ผู้ใช้งานมีโอกาสโดนดักข้อมูลระหว่างทาง (เช่น Wi-Fi สาธารณะ หรือ spoofing) และนำข้อมูลไปใช้งานต่อได้ทันที

การเปลี่ยนแปลงครั้งนี้ย่อมช่วยให้ผู้ใช้ iOS ปลอดภัยกันมากขึ้นครับ

ที่มา - Ars Technica

Tags:
Node Thumbnail

เมื่อวานนี้บริการ Azure ของไมโครซอฟท์เกิดหยุดทำงานไปหลายส่วน เนื่องจากใบรับรองดิจิตอล (digital certificate) ของบริการเหล่านี้หมดอายุลงเมื่อวันศุกร์ที่ผ่านมา

บริการที่หยุดจากสาเหตุนี้ได้แก่ Access Control 2.0, Media Encoding, Management Portal, Media On-Demand Streaming, Service Bus, Storage, Web Sites โดยทั้งหมดเกิดจากบริการ Storage ใช้งานไม่ได้ทำให้บริการที่เหลือหยุดทำงานไปโดยปริยาย

ปัญหานี้เกิดขึ้นพร้อมกันทั่วโลก และไมโครซอฟท์กำลังแก้ปัญหาอยู่

ที่มา - Windows Azure Service Dashboard

Tags:
Node Thumbnail

ทุกวันนี้ Chrome เข้ารหัสคำค้นหาที่เราพิมพ์ในกล่อง Omnibox ด้วย SSL ก่อนส่งไปยังเซิร์ฟเวอร์ของกูเกิลเพื่อความปลอดภัยและความเป็นส่วนตัว แต่ Chrome จะทำแบบนี้ก็ต่อเมื่อผู้ใช้ล็อกอินด้วย Google Account ที่ตัวเบราว์เซอร์เท่านั้น

แต่ใน Chrome 25 (ปัจจุบันยังมีสถานะเป็น Beta) เปลี่ยนค่าตรงนี้แล้ว โดยผู้ใช้ Chrome ทุกรายไม่ว่าจะล็อกอินหรือไม่ จะถูกเข้ารหัสเวลาค้นหาผ่าน Omnibox เสมอ

Chrome ไม่ใช่เบราว์เซอร์ตัวแรกที่ใช้นโยบายนี้ โดย Firefox เป็นเบราว์เซอร์ตัวแรกที่เริ่ม ตามด้วย Safari เป็นรายที่สอง

ผู้ใช้คงไม่รู้สึกถึงความเปลี่ยนแปลงนี้ แต่การปรับนโยบายครั้งนี้ช่วยแก้ปัญหาเรื่องความปลอดภัยและความเป็นส่วนตัวได้อีกระดับ

Tags:
Node Thumbnail

ในบรรดาบริการเว็บเมลหลักๆ ทั้งหมด Yahoo! Mail เป็นรายล่าสุดที่รองรับการเชื่อมต่อด้วย HTTPS ตลอดเวลา หลังจาก Hotmail รองรับไปแล้วเมื่อปี 2010 ส่วนกูเกิลเปิดมาก่อนหน้านั้น

อย่างไรก็ดี ตอนนี้ Yahoo! Mail ยังคงมีปัญหา XSS ที่ถูกขายในตลาดใต้ดินมาตั้งแต่ปีที่แล้ว ยังคงใช้งานได้ในตอนนี้ ถ้าใครใช้งาน Yahoo! Mail อยู่ แนะนำให้ไม่คลิกลิงก์ใดๆ เลยในเมลครับ

ที่มา - The Register

Tags:
Node Thumbnail

มีรายงานความปลอดภัยสำหรับ Nokia Asha 302 ว่าเมื่อผู้ใช้เข้าใช้งานเว็บใดๆ จะถูกชี้ไปยังเซิร์ฟเวอร์ของโนเกียแทน เช่น cloud13.browser.ovi.com โดยการตั้งค่าพรอกซี่เช่นนี้อาจจะไม่ใช่เรื่องแปลก เพราะต้องการบีบอัดเว็บก่อนส่งไปยังเบราว์เซอร์ แต่ปรากฎว่าบน Asha 302 แม้แต่เว็บที่เข้ารหัสก็ยังคงผ่านพรอกซี่

เบราว์เซอร์บน Asha 302 ถูกออกแบบมาให้เชื่อใบรับรองจากระบบบริการของโนเกีย เมื่อผู้ใช้เรียกเว็บผ่านโปรโตคอล HTTPS เบราว์เซอร์จะยังคงเรียกเว็บผ่านเซิร์ฟเวอร์ของโนเกียและเมื่อได้ใบรับรองการเข้ารหัสจากโนเกียก็ไม่มีการแจ้งเตือนผู้ใช้ใดๆ

Tags:
Node Thumbnail

ช่วงหลังๆ บริการสำคัญที่มีข้อมูลส่วนตัวสูง เช่น เว็บเมล หรือบริการเครือข่ายสังคมออนไลน์ เช่น Gmail ที่เริ่มมีให้เลือกใช้ HTTPS ตลอดเวลาในตอนแรก และสุดท้ายก็เปิด HTTPS เป็นค่ามาตรฐาน ตอนนี้บริการอื่นๆ เช่น Hotmail, Twitter, Google+, และ Facebook ล้วนเป็นแนวทางเดียวกันคือมี HTTPS ให้เลือกใช้ทั้งหมด แต่สัปดาห์ที่ผ่านมา Facebook ก็ประกาศเปลี่ยนค่าเริ่มต้นของผู้ใช้ในสหรัฐฯ ให้ไปใช้งาน HTTPS เป็นค่าเริ่มต้น และต้องยกเลิกด้วยตัวเองหากไม่ต้องการ

ผู้ใช้กลุ่มแรกที่พบความเปลี่ยนแปลงนี้คือผู้ใช้ในสหรัฐฯ ส่วนผู้ใช้ที่เหลือทั่วโลกก็จะเปลี่ยนตามมา แต่ยังไม่กำหนดวันแน่ชัด

Tags:
Node Thumbnail

มาตรฐาน HSTS เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บบังคับให้เบราว์เซอร์เชื่อมต่อกันแบบเข้ารหัสเสมอ (ดูข่าวเก่า) โดยสัปดาห์นี้ทาง Mozilla ได้ประกาศว่า Firefox ในรุ่นถัดไปจะบังคับให้ใช้มาตรฐาน HSTS แล้ว

มาตราฐาน HSTS จะช่วยให้ผู้ใช้งานสามารถเพิ่มเว็บไซต์ที่เราต้องการเชื่อมต่อผ่านทาง HTTPS ได้ผ่านทาง preload list (ดูตัวอย่างจาก Chrome) ผู้ใช้งานสามารถดาวน์โหลดเวอร์ชันเบต้ามาทดลองใช้งานก่อนได้ โดยในเวอร์ชันเต็มคาดว่าจะออกมาในเร็วๆ นี้ครับ

Tags:
Node Thumbnail

เมื่อเวลา 6 โมงเย็นวันนี้รายการเจาะข่าวเด่นทางไทยทีวีสีช่อง 3 ได้นำเสนอเกี่ยวกับภัยมิจฉาชีพออนไลน์ซึ่งผมพบว่าในข้อมูลที่นำเสนอนั้นมีบางส่วนที่อาจสร้างความไม่เข้าใจผ่านทางทวิตเตอร์เรื่องเล่าเช้านี้ เนื่องจากมีการทวีตในเรื่องนี้อยู่หลายทวีต แต่ผู้อ่านไม่ได้ทำการรีทวีตทั้งหมด เพียงแต่มีการรีทวีตที่ทำให้ข่าวนั้นเกิดการแตกประเด็นและอาจทำให้เกิดการเข้าใจผิดได้ ในฐานะที่ Blognone ก็เป็นหนึ่งในสื่อที่นำเสนอข่าวด้านเทคโนโลยีและความปลอดภัย การนำเสนอข่าวสารและข้อมูลที่ถูกต้องจึงเป็นเรื่องที่สำคัญมาก ดังนั้นผมขออนุญาตในการชี้แจงและแก้ไขข้อมูลบางส่วนให้ถูกต้องครับ

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัยสองคน คือ Juliano Rizzo และ Thai Duong กำลังเตรียมนำเสนองานวิจัยด้านความปลอดภัยของ TLS ด้วยกระบวนการที่เรียกว่า CRIME ในงาน ekoparty วันที่ 21 ที่จะถึงนี้ แต่ระหว่างนี้ก็เริ่มมีการตรวจสอบว่าบั๊กความปลอดภัยนี้ได้รับการแก้ไขในเบราว์เซอร์ใดไปแล้ว และมีการรายงานออกมาว่ามันทำงานอย่างไร

Tags:
Node Thumbnail

ครบรอบ 6 สัปดาห์ตามกำหนด ทาง Mozilla ก็ออก Firefox รุ่นจริงรุ่นต่อไปซึ่งนับเลขเวอร์ชันเป็น 14 แล้ว ของใหม่มีดังนี้

Tags:
Node Thumbnail

มาตรฐาน HTTP Strict Transport Security (HSTS) เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ แม้ผู้ใช้จะไม่ระบุว่าต้องการใช้ HTTPS ก็ตามที กระบวนการนี้ทำให้ไม่มีการเชื่อมต่อแบบ HTTP ที่ดักฟังได้เลย ช่วยลดความเสี่ยงของผู้ใช้ลง

ที่ผ่านมามาตรฐานนี้ยังอยู่ในช่วงรับฟังความคิดเห็น แม้ว่ากูเกิลจะนำไปใช้งานในโครมอยู่นานแล้วก็ตาม โดยการโจมตีผ่านใบรับรองของ DigiNotar รอบล่าสุดเว็บจำนวนมากของกูเกิลก็รอดมาได้เพราะ HSTS

กระบวนการให้ความเห็นรอบสุดท้ายจะต้องส่งความเห็นไปยัง IETF ภายในวันที่ 25 นี้ และการโหวตจะมีขึ้นใน "ไม่กี่สัปดาห์" ข้างหน้า

Tags:
Node Thumbnail

บริษัท Cyberoam เป็นบริษัททำเครื่องตรวจสอบการใช้งานอินเทอร์เน็ตของพนักงานในบริษัท กระบวนการคือการบังคับให้พนักงานต้องติดตั้งใบรับรองหลัก (root CA) จากเครื่องของ Cyberoam ทำให้เครื่องนี้สามารถเข้าไปตรวจสอบการใช้งานได้ เพราะถอดรหัสที่เครื่องก่อนจะเข้ารหัสใหม่แล้วส่งไปยังตัวเว็บจริง แต่รายงานปรากฎว่า Cyberoam กลับใช้ CA ใบเดียวกันในทุกเครื่องที่ขายออกไป ทำให้ลูกค้าของ Cyberoam สามารถใช้ใบรับรองนี้ไปตรวจสอบการใช้งานเว็บในบริษัทอื่นๆ ได้ด้วย

Cyberoam ออกแพตซ์สำหรับปัญหานี้แล้ว ทำให้ตัวเครื่องจะสร้างในรับรองใหม่ทั้งหมด เมื่อเครื่องผู้ใช้ในบริษัทจะเข้าเว็บที่เข้ารหัสจะถูกเตือนว่าใบรับรองไม่น่าเชื่อถือ ทำให้ผู้ใช้ทุกคนต้องเพิ่มใบรับรองใหม่เข้าไปในเครื่องก่อนจึงใช้งานต่อไปได้

Tags:
Node Thumbnail

ฟีเจอร์ New Tab ที่เพิ่มเข้ามาใน Firefox 13 เริ่มเจอปัญหาเสียแล้ว เพราะเทคนิคการจับภาพหน้าจอมาแสดงเป็น thumbnail ในหน้า New Tab ทำให้ข้อมูลสำคัญๆ ของผู้ใช้หลุดออกมาให้เห็น

ผู้ใช้คนหนึ่งพบว่าข้อมูลบัญชีธนาคารของเขาถูกจับภาพมาแสดงใน thumbnail ซึ่งไม่ควรเกิดขึ้น เพราะเว็บไซต์เหล่านี้เข้ารหัสข้อมูลด้วย HTTPS เพื่อความปลอดภัยของข้อมูล

ฝั่ง Mozilla เองก็รับทราบปัญหานี้ และเตรียมออกแพตช์แก้ในเร็วๆ นี้ โดยเบื้องต้นบอกว่าผู้ใช้จะปลอดภัยในระดับหนึ่ง เพราะภาพ thumbnail ถูกเก็บไว้ในเครื่องของผู้ใช้เท่านั้น และผู้ใช้สามารถเปลี่ยนไปใช้หน้า New Tab แบบว่างๆ เหมือนของเดิมได้ โดยกดไอคอนที่มุมขวาบนของหน้าจอ

Tags:
Node Thumbnail

Johnathan Nightingale ผู้บริหารระดับสูงของ Mozilla ให้ข้อมูลทางอีเมลกับ InfoWorld ว่าจะเริ่มทดสอบการเข้ารหัส SSL/HTTPS สำหรับการค้นกูเกิลจากช่องค้นหาของ Firefox Nightly ในเร็วๆ นี้

ถ้าทาง Mozilla ไม่พบปัญหาอะไร ฟีเจอร์นี้จะถูกผนวกเข้ามาใน Aurora และ Beta ตามมา ก่อนจะเข้ามายัง Firefox รุ่นหลัก โดยเริ่มจากภาษาอังกฤษก่อน

เหตุผลของ Mozilla คือประเด็นด้านความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ซึ่งจริงๆ แล้วทาง Mozilla อยากเปิดฟีเจอร์นี้มานานแล้ว แต่ในช่วงแรก กูเกิลยังไม่พร้อมรับทราฟฟิก HTTPS จากผู้ใช้ Firefox

ถ้า Firefox เปิดใช้ฟีเจอร์นี้เป็น default ก็จะกลายเป็นเบราว์เซอร์ตัวแรกที่ใช้ฟีเจอร์นี้ โดยตอนนี้ Chrome ยังเปิดใช้เฉพาะผู้ใช้ที่ล็อกอินผ่านตัวเบราว์เซอร์เท่านั้น

Tags:
Node Thumbnail

ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก

Tags:
Node Thumbnail

EFF (The Electronic Frontier Foundation) ได้เปิดตัวเวอร์ชัน 2.0 ของ "HTTPS Everywhere" สำหรับ Firefox และเวอร์ชันทดลองสำหรับ Chrome ซึ่งได้รวมเอาการอัพเดทที่สำคัญที่จะช่วยในการแจ้งเตือนผู้ใช้เกี่ยวกับความปลอดภัยในการใช้เว็บไซต์ต่างๆ

Tags:
Node Thumbnail

หลังจากครั้งล่าสุดที่อิหร่านบล็อค HTTPS ทั้งประเทศ เมื่อวันที่ 12/02/12 พอวันนี้ 21/02/12 ก็เกิดการบล็อคอินเทอร์เน็ตขึ้นอีกครั้ง โดยคราวนี้แม้แต่ VPN ก็โดนไปกับเขาด้วยครับ

Tags:
Node Thumbnail

หลังจากทวิตเตอร์และเฟชบุ๊กล้วนมีตัวเลือกให้เปิด HTTPS ตลอดการใช้งานได้ ตอนนี้ทางฝั่งทวิตเตอร์ก็เปิดตัวเลือกนี้ให้กับผู้ใช้ทุกคนแล้ว โดยหลังจากนี้ทุกคนที่ต้องการเชื่อมต่อแบบไม่เข้ารหัสจะต้องปิดตัวเลือกนี้ด้วยตัวเอง

แนวทางนี้เป็นแนวทางเดียวกับจีเมลที่ค่อยๆ ปรับมาใช้ HTTPS ในแบบเดียวกัน

ด้วยแนวทางนี้รัฐบาลหลายๆ ประเทศคงมีปัญหากับการตรวจจับข้อความในทวิตเตอร์ตามมาเช่นเดียวกับบริการที่เข้ารหัสตลอดเวลาอื่นๆ เราคงต้องรอดูกันว่าแนวทางการเปิดให้รัฐบาลต่างๆ เข้าถึงข้อมูลที่เข้ารหัสเหล่านี้จะเป็นอย่างไร

ที่มา - Twitter

Tags:
Node Thumbnail

ความเดิมจากตอนที่แล้วที่ทางอิหร่านได้ทำการบล็อค HTTPS ทั่วประเทศ แต่เรื่องราวมันกลับไม่จบลงง่าย ๆ เพราะว่าล่าสุด ทางอิหร่านได้ทำการบล็อคเว็บไซต์เพิ่มเติมจากที่บล็อคอยู่แล้ว คือ Google แบบเข้ารหัส HTTPS, YouTube, Gmail รวมถึงบรรดาเว็บเมลต่าง ๆ อย่างเช่น Hotmail เป็นต้น

ซึ่งการบล็อคครั้งนี้เป็นสัญญาณอย่างแน่ชัดว่า อิหร่านเริ่มจะเอาจริงกับการปิดกั้นสื่อในประเทศแล้ว

Tags:
Node Thumbnail

กลุ่มผู้ใช้ Tor รายงานว่ารัฐบาลอิหร่านได้บล็อคทราฟฟิกอินเทอร์เน็ตส่วนที่เป็น HTTPS/SSL ทำให้เว็บไซต์ที่เชื่อมต่อผ่าน HTTPS ไม่สามารถใช้งานได้ ไม่ว่าจะเป็น Google, Yahoo, Facebook อะไรก็ตามที่ผ่าน HTTPS ย่อมโดนบล็อคทั้งหมด

ทางการอิหร่านไม่ได้ให้ข้อมูลใดๆ ในเรื่องนี้ ซึ่งสื่อตะวันตกคาดการณ์ว่าการบล็อค HTTPS ครั้งนี้เป็นการทดลองระบบเซ็นเซอร์อินเทอร์เน็ตของประเทศ (ลักษณะเดียวกับ Great Firewall ของจีน) ที่ทางรัฐบาลเคยประกาศไว้ว่าจะทำ และรอบนี้น่าจะทดสอบบล็อคเป็นการชั่วคราวเท่านั้น

Tags:
Node Thumbnail

ก่อนหน้านี้กูเกิลเคยเปิดหน้าค้นหาแบบเข้ารหัสผ่านทาง encrypted.google.com มาก่อนแล้ว แต่หลังจากนี้กูเกิลก็ระบุว่าแผนการคือเว็บค้นหาทั้งหมดสำหรับผู้ใช้ที่ล็อกอินกับ Google Account จะกลายเป็น HTTPS โดยผู้ใช้ไม่ต้องทำอะไรเพิ่มเติม

ผู้ใช้ที่ไม่ได้ล็อกอินสามารถใช้ https://www.google.com เพื่อค้นหาแบบเข้ารหัสได้เช่นกัน หรือหากกลัวลืมก็ควรใช้ SSL enforcer ทั้งหลายเพื่อให้แน่ใจว่าการค้นหาจะเข้ารหัสทุกครั้ง

ที่มา - Google Blog

Pages