อย่าลืมอัพเกรด พบบั๊กสำคัญใน OpenSSL และ GnuTLS

By lew Founder on Tag: Security, HTTPS, OpenSSL, GnuTLS
Security

รายงานบั๊กในซอฟต์แวร์เข้ารหัสสัปดาห์นี้สร้างความวิตกเป็นวงกว้างเมื่อทั้งโครงการ OpenSSL และ GnuTLS พบบั๊กสำคัญใกล้ๆ กันทั้งสองโครงการ

บั๊กที่ร้ายแรงที่สุดของ OpenSSL คือบั๊ก CVE-2014-0224 ที่เปิดให้คนร้ายสามารถดักฟังกลางทางได้ หากทั้งไคลเอนต์และเซิร์ฟเวอร์มีบั๊กเดียวกัน โดย OpenSSL รุ่นที่มีปัญหา ได้แก่ 0.9.8, 1.0.0, และ 1.0.1 กระทบวงกว้างทั้งลินุกซ์รุ่นใหม่และเก่า แม้จะไม่ร้ายแรงเท่า Heartbleed แต่ทุกคนควรอัพเกรดครับ

Read more

ทราฟิกอินเทอร์เน็ตครึ่งปีแรก เข้ารหัสเพิ่มขึ้นทั่วโลก

By lew Founder on Tag: Security, SSL, HTTPS
Security

บริษัท Sandvine ผู้ผลิตระบบวิเคราะห์ทราฟิกเน็ตเวิร์คออกรายงานวิเคราะห์การใช้งานอินเทอร์เน็ตทั่วโลกของครึ่งปีแรกปี 2014 เมื่อเปรียบเทียบกับช่วงเดียวกันของปีที่แล้วพบว่าการใช้งานแอพพลิเคชั่นที่เข้ารหัสเพิ่มขึ้นอย่างรวดเร็วทั่วโลก ตัวอย่างเช่นภูมิภาคละตินอเมริกาจากปีที่แล้วที่มีการใช้งาน SSL เพียง 1.8% ของอินเทอร์เน็ตทั้งหมด ปีนี้เพิ่มเป็น 10.37%

upic.me

Read more

[ไม่ยืนยัน] กูเกิลอาจเพิ่มคะแนน PageRank กับเว็บที่ใช้ HTTPS

By mk Founder on Tag: Search Engine, Rumor, PageRank, HTTPS, Google Search
Search Engine

Wall Street Journal รายงานข่าวว่ากูเกิลกำลังพิจารณาเพิ่มคะแนนผลการค้นหา (ที่เราเรียกกันว่า PageRank) ให้กับเว็บไซต์ที่เข้ารหัสข้อมูลผ่าน HTTPS เพื่อสร้างแรงจูงใจให้เว็บไซต์ต่างๆ หันมาใช้ HTTPS เพื่อความปลอดภัยที่มากกว่าเดิม

WSJ อ้างว่าข้อมูลนี้มาจาก Matt Cutts พนักงานของกูเกิลที่รับผิดชอบเรื่องการลบสแปมใน Google Search ว่ากูเกิลกำลังถกเรื่องนี้เป็นการภายในว่ามีความเหมาะสมแค่ไหน และกูเกิลยังไม่น่าจะเดินหน้าเรื่องนี้ในเร็ววันนี้

ที่มา - Wall Street Journal

Read more

เบื้องหลังความปลอดภัย Facebook: ทีมงาน 4 ทีม, บังคับพนักงานล็อกอิน 2 ชั้น

By mk Founder on Tag: Security, HTTPS, Facebook
Security

Joe Sullivan ประธานเจ้าหน้าที่ด้านความปลอดภัย (chief security officer) ของ Facebook ให้สัมภาษณ์เชิงลึกถึงนโยบายด้านความปลอดภัยของบริษัท

Sullivan บอกว่าเรื่องความปลอดภัยไม่สามารถทำให้สมบูรณ์ 100% ได้ แต่เป็นสิ่งที่ต้องพยายามปรับปรุงให้ดีขึ้นอยู่เสมอ (constant state of improvement) และ Facebook ก็พยายามสร้างวัฒนธรรมของการปรับปรุงด้านความปลอดภัยขึ้นมาในหมู่พนักงานขององค์กร

Read more

Gmail เปิดใช้ HTTPS ทุกกรณีรวมถึงทราฟฟิกภายในกูเกิลเอง, ปีที่แล้วอัพไทม์ 99.978%

By mk Founder on Tag: Google, Gmail, HTTPS
Google

Gmail รองรับ HTTPS มาได้หลายปีแล้ว แต่หลังจากข่าว NSA ดักข้อมูลที่วิ่งระหว่างศูนย์ข้อมูลของกูเกิล ทำให้บริษัทต้องปรับนโยบายใหม่ โดยประกาศว่าจะเข้ารหัสข้อมูลที่ส่งข้ามระหว่างศูนย์ข้อมูลกันด้วย

วันนี้กูเกิลประกาศว่า Gmail จะเข้ารหัสทราฟฟิกด้วย HTTPS ทุกกรณี ไม่ว่าจะเป็นทราฟฟิกจากเครื่องของผู้ใช้มายังศูนย์ข้อมูลของกูเกิล และทราฟฟิกภายในบริษัทของกูเกิลเองทั้งหมด

Read more

CloudFlare เปิดบริการเชื่อมต่อกับลูกค้าแบบ Full SSL (Strict) ปล่อยแพตซ์ nginx

By lew Founder on Tag: Security, HTTPS, Cloudflare
Security

ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

Read more

Tumblr รองรับ HTTPS

By lew Founder on Tag: Security, Tumblr, HTTPS
Security

ตามนโยบายของ Marissa Mayer ที่ประกาศให้บริการทั้งหมดของ Yahoo! ต้องรองรับการเข้ารหัส ตอนนี้บริการที่เพิ่งซื้อมาอย่าง Tumblr ก็รองรับ HTTPS แล้ว แต่ยังรองรับเฉพาะผู้ใช้ที่ล็อกอินแล้วเท่านั้น

สำหรับผู้ใช้ทั่วไปที่อ่านอย่างเดียว ยังไม่สามารถเปิดใช้ HTTPS ได้ แม้แต่หน้าประกาศนี้เองก็ไม่รองรับ HTTPS

Read more

Yahoo! เริ่มเข้ารหัสเว็บหลักแล้ว

By lew Founder on Tag: Yahoo!, Security, HTTPS
Yahoo!

แนวทางการเข้ารหัสทุกบริการของ Yahoo! กำลังเดินหน้าตามแผนที่ประกาศไปเมื่อปีที่แล้ว หลังจากเข้ารหัสบริการอีเมลตลอดเวลาเมื่อต้นเดือนที่ผ่านมา ตอนนี้เว็บหลักคือ www.yahoo.com ก็เชื่อมต่อด้วย HTTPS ตลอดเวลาแล้ว

แนวทางนี้จะมีผลกระทบสำคัญต่อเว็บทั่วไปคือการเข้าเว็บผ่านการค้นหาจาก Yahoo! จะไม่มีค่า referrer ให้ตรวจสอบว่าผู้ใช้เข้าเว็บจากคีย์เวิร์ดอะไรเช่นเดียวกับผลกระทบจากกูเกิลก่อนหน้านี้

Read more

Twitter API จะบังคับการเชื่อมต่อเฉพาะ HTTPS หลัง 14 ม.ค. นี้

By mk Founder on Tag: Development, Twitter, HTTPS
Development

Twitter ออกมาแจ้งนักพัฒนาที่ดึงข้อมูลจาก Twitter API ทุกคนว่า บริษัทจะเลิกอนุญาตให้เชื่อมต่อเพื่อดึงข้อมูลแบบ HTTP plaintext และเปลี่ยนไปใช้การเชื่อมต่อแบบ HTTPS (TLS/SSL) เพียงอย่างเดียว โดยจะมีผลตั้งแต่วันที่ 14 มกราคม 2014 เป็นต้นไป

การบังคับใช้ SSL จะมีผลกับ URL ที่มาจากโดเมน api.twitter.com ทุกกรณี ครอบคลุมถึงการล็อกอินด้วย OAuth และการเรียก REST API ทุกตัวด้วย

เท่าที่ทราบมาแถวนี้มีคนเขียนเชื่อมข้อมูลกับ Twitter กันพอสมควร ใครยังไม่ทราบก็รีบแก้โค้ดกันด่วน

ที่มา - Twitter Dev

Read more

Bing เริ่มเปิดบริการค้นหาแบบเข้ารหัสผ่าน HTTPS แล้ว

By mk Founder on Tag: Privacy, Search Engine, Bing, HTTPS, Microsoft
Privacy

เมื่อปีที่แล้ว กูเกิลเริ่มเข้ารหัสผลการค้นหาด้วย HTTPS ในทุกกรณี ส่งผลให้เว็บมาสเตอร์ดูข้อมูลคีย์เวิร์ดลำบากขึ้น ล่าสุดฝั่งของ Bing ก็เริ่มทำแบบเดียวกันแล้วครับ

ในเบื้องต้น Bing เพิ่งเปิด https://bing.com ให้เริ่มใช้งานและผู้สนใจต้องเข้าผ่าน URL โดยตรงเท่านั้น (ยังไม่มีตัวเลือกใดๆ ในหน้า Options ของเว็บ) ตัวแทนของไมโครซอฟท์ระบุว่าตอนนี้ Bing ยังอยู่ในช่วงทดสอบระบบ HTTPS เท่านั้น และพยายามหาวิธีช่วยเหลือให้ชุมชนคนทำเว็บหรือทำ SEO ไม่ลำบากเรื่องการหาข้อมูลคีย์เวิร์ดจนเกินไป

Read more

Qualys รายงาน HTTPS บน Yahoo! Mail ยังไม่ดีนัก

By lew Founder on Tag: Yahoo!, Security, HTTPS
Yahoo!

Yahoo! Mail เพิ่งเปิดบริการ HTTPS ตลอดเวลามาไม่นาน Ivan Ristic จาก Qualys รายงานถึงกระบวนการเข้ารหัสของ Yahoo! ว่ายังไม่น่าพอใจนักเพราะยังใช้ RC4 และกระบวนการแลกกุญแจที่ไม่รักษาความลับในอนาคต (forward secrecy)

Qualys พบว่า Yahoo! แบ่งการเข้ารหัสตามฟังก์ชั่นการทำงาน โดยเซิร์ฟเวอร์ในกลุ่ม login.yahoo.com ที่ใช้รับส่งรหัสผ่านจะใช้การเข้ารหัสแบบ AES ที่ปลอดภัยกว่า แต่ก็ไม่มีการป้องกันการโจมตีแบบใหม่ๆ เช่น BEAST หรือ CRIME อยู่ดี

Read more

Yahoo! Mail เปิดใช้ HTTPS ตลอดเวลาแล้ว

By mk Founder on Tag: Yahoo!, Security, SSL, E-mail, HTTPS
Yahoo!

Yahoo! Mail เป็นบริการอีเมลรายล่าสุดที่เปิดการเชื่อมต่อแบบเข้ารหัส HTTPS ตลอดเวลาในทุกกรณี ไม่ว่าจะเข้าผ่านเว็บ มือถือ แอพ POP3/IMAP/SMTP ก็จะเข้ารหัสแบบ 2048 บิตทั้งหมด

Yahoo! Mail เริ่มเปิดบริการ HTTPS เมื่อเดือนตุลาคมปีที่แล้ว และวันนี้ก็เปิดใช้เป็นค่าดีฟอลต์ตามที่สัญญาไว้

คู่แข่งอย่าง Gmail นั้นเปิดใช้ HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010

ที่มา - Yahoo! Tumblr

Read more

Yahoo! Mail เพิ่มตัวเลือกให้เชื่อมต่อแบบ HTTPS แล้ว

By mk Founder on Tag: Yahoo!, Security, SSL, E-mail, HTTPS
Yahoo!

Yahoo! Mail เป็นผู้ให้บริการอีเมลรายล่าสุดที่เปิดให้ใช้การเชื่อมต่อแบบ HTTPS เพื่อความปลอดภัยที่มากขึ้น โดยตอนนี้ยังเป็นตัวเลือกที่ต้องเข้าไปตั้งค่าเองในหน้า Advanced Settings

การเปลี่ยนแปลงนี้ถือว่าเป็นเรื่องดี แม้ว่าจะช้าไปนิดเพราะคู่แข่งอย่าง Gmail เปิด HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010 ส่วน Outlook.com ก็เปิดเป็นค่าดีฟอลต์แล้วเช่นกัน

ที่มา - Threatpost

Read more

กูเกิลเริ่มเข้ารหัสผลการค้นหาทุกกรณี เว็บมาสเตอร์ดูคีย์เวิร์ดลำบากขึ้น

By mk Founder on Tag: Search Engine, HTTPS, Google Search
Search Engine

กูเกิลเริ่มเปิดใช้การเชื่อมต่อ HTTPS กับการใช้งาน Google Search "ในทุกกรณี" ทำให้ผู้ใช้งานมีความเป็นส่วนตัวมากขึ้น แต่ในทางกลับกัน เจ้าของเว็บไซต์ที่ต้องการดูข้อมูลคีย์เวิร์ดก็จะลำบากมากขึ้น

Read more

Cryptanalysis ศาสตร์แห่งการถอดรหัส

By lew Founder on Tag: Security, In-Depth, SSL, Cryptography, HTTPS
Security

กระบวนการเข้ารหัสที่มีอยู่ในโลกมากมายและถูกพัฒนาอย่างต่อเนื่องจนทุกวันนี้ซับซ้อนในระดับที่ต้องการความรู้คณิตศาสตร์ระดับสูง เหตุผลสำคัญของการพัฒนาเหล่านี้คือการแข่งขันกับกระบวนการถอดรหัสที่พัฒนาอย่างต่อเนื่องเช่นเดียวกันศาสตร์ที่ว่าด้วยการถอดรหัสนี้เรียกว่า Cryptanalysis เป็นศาสตร์ที่อยู่คู่กับการเข้ารหัสมานาน เทคนิคและกระบวนการก็ซับซ้อนและใช้ในกรณีเฉพาะบางอย่างไปเรื่อยๆ

ในบทความนี้เราจะยกตัวอย่างบางเทคนิคที่ใช้กันในการถอดรหัส

Read more

นักวิจัยความปลอดภัยคาด RSA และ Diffie-Hellman จะไม่ปลอดภัยภายใน 5 ปี

By lew Founder on Tag: Security, SSL, Cryptography, HTTPS
Security

ทีมวิจัยความปลอดภัยจากบริษัท artemis นำเสนอความก้าวหน้าในวงการรหัสวิทยาในช่วงหลัง และคาดว่ากระบวนการแยกตัวประกอบตัวเลขขนาดใหญ่นั้นน่าจะมีการปรับปรุงประสิทธิภาพขึ้นอย่างมากภายในห้าปีข้างหน้า

Read more

[Black Hat] BREACH กระบวนการเจาะเว็บเข้ารหัสแบบใหม่, ป้องกันได้ยาก

By lew Founder on Tag: Security, Hacking, SSL, HTTPS, Black Hat
Security

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่ ซึ่งหากดักฟังแล้วก็ทำได้ง่ายเพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

Read more

Wikimedia เตรียมเปิดใช้ HTTPS ทั้งหมด สู้ศึก XKeyscore

By mk Founder on Tag: Wikipedia, Privacy, NSA, Wikimedia Foundation, HTTPS, Surveillance
Wikipedia

จากข่าว โครงการ XKeyscore ของ NSA ที่ดักฟังกิจกรรมของผู้ใช้ใดๆ บนอินเทอร์เน็ตที่วิ่งอยู่บน HTTP

ทาง Wikimedia Foundation องค์กรแม่ของ Wikipedia ออกมาแสดงความกังวลในเรื่องนี้ และประกาศแผนการใช้ HTTPS เพื่อปกป้องความเป็นส่วนตัวของผู้ใช้แล้ว

Read more

เฟซบุ๊กใช้ HTTPS เป็นมาตรฐานแล้ว

By lew Founder on Tag: Security, HTTPS, Facebook
Security

หลังจากเฟซบุ๊กเปิดให้ผู้ใช้เลือกเปิด HTTPS ใช้งานเป็นรายคนมาเป็นเวลาสองปี ตอนนี้การเข้าถึง www.facebook.com จะกลายเป็น HTTPS ทั้งหมด แต่ยังไม่เปิดบริการสำหรับ m.facebook.com ที่ยังเป็น HTTPS อยู่ 80%

กระบวนการอัพเกรดแบบบังคับเริ่มมาตั้งแต่ต้นปีที่ผ่านมา จนกระทั่งผู้ใช้กลุ่มสุดท้ายเพิ่งถูกบังคับจนครบ

Read more

กูเกิลเตรียมเปลี่ยนใบรับรอง SSL ไปเป็น 2048 บิตทั้งหมด

By lew Founder on Tag: Google, Security, SSL, Cryptography, HTTPS
Google

กูเกิลประกาศเปลี่ยนใบรับรอง SSL จาก 1024 บิตไปเป็นแบบ 2048 บิตทั้งหมดพร้อมกับเปลี่ยนสา่ยการรับรอง (certificate chain) ไปพร้อมกัน

กระบวนการนี้ไม่น่าจะกระทบผู้ใช้ นอกจากผู้ใช้ที่ใช้ไม่ได้อัพเดตระบบปฎิบัติการหรือใช้ไลบรารี SSL ของตัวเองรุ่นเก่า หรือซอฟต์แวร์ที่ฝังใบรับรองเข้ากับโค้ด ก็จะทำงานไม่ได้จากการอัพเดตครั้งนี้

แม้จะอัพเดตขนาดกุญแจไปเป็นขนาด 2048 บิต แต่ทุกวันนี้กระบวนการเข้ารหัสแบบกุญแจสมมาตรก็ยังใช้การเข้ารหัส RC4 แบบ 128 อยู่

Read more
Subscribe to HTTPS