แอปเปิลใช้การเชื่อมต่อแบบ HTTPS กับ App Store บน iOS แล้ว

By mk Founder on Tag: Apple, Security, App Store, iOS, HTTPS
Apple

แอปเปิลเปลี่ยนมาใช้วิธีส่งข้อมูลแบบเข้ารหัส HTTPS สำหรับการเชื่อมต่อทั้งหมดของ App Store บนแพลตฟอร์ม iOS แล้ว

ก่อนหน้านี้การส่งข้อมูลระหว่าง App Store ไปยังอินเทอร์เน็ตไม่ถูกเข้ารหัส (หรือเข้ารหัสเพียงบางส่วน) ทำให้ผู้ใช้งานมีโอกาสโดนดักข้อมูลระหว่างทาง (เช่น Wi-Fi สาธารณะ หรือ spoofing) และนำข้อมูลไปใช้งานต่อได้ทันที

การเปลี่ยนแปลงครั้งนี้ย่อมช่วยให้ผู้ใช้ iOS ปลอดภัยกันมากขึ้นครับ

ที่มา - Ars Technica

Read more

Azure ลืมเปลี่ยน Certificate บริการที่ต้องใช้ HTTPS ทำงานไม่ได้

By lew Founder on Tag: SSL, HTTPS, Digital Certificate, Microsoft, Microsoft Azure
SSL

เมื่อวานนี้บริการ Azure ของไมโครซอฟท์เกิดหยุดทำงานไปหลายส่วน เนื่องจากใบรับรองดิจิตอล (digital certificate) ของบริการเหล่านี้หมดอายุลงเมื่อวันศุกร์ที่ผ่านมา

บริการที่หยุดจากสาเหตุนี้ได้แก่ Access Control 2.0, Media Encoding, Management Portal, Media On-Demand Streaming, Service Bus, Storage, Web Sites โดยทั้งหมดเกิดจากบริการ Storage ใช้งานไม่ได้ทำให้บริการที่เหลือหยุดทำงานไปโดยปริยาย

ปัญหานี้เกิดขึ้นพร้อมกันทั่วโลก และไมโครซอฟท์กำลังแก้ปัญหาอยู่

ที่มา - Windows Azure Service Dashboard

Read more

Chrome เข้ารหัสคำค้นหาใน Omnibox เป็นค่าดีฟอลต์แล้ว

By mk Founder on Tag: Google, Browser, Search Engine, SSL, Chrome, HTTPS
Google

ทุกวันนี้ Chrome เข้ารหัสคำค้นหาที่เราพิมพ์ในกล่อง Omnibox ด้วย SSL ก่อนส่งไปยังเซิร์ฟเวอร์ของกูเกิลเพื่อความปลอดภัยและความเป็นส่วนตัว แต่ Chrome จะทำแบบนี้ก็ต่อเมื่อผู้ใช้ล็อกอินด้วย Google Account ที่ตัวเบราว์เซอร์เท่านั้น

แต่ใน Chrome 25 (ปัจจุบันยังมีสถานะเป็น Beta) เปลี่ยนค่าตรงนี้แล้ว โดยผู้ใช้ Chrome ทุกรายไม่ว่าจะล็อกอินหรือไม่ จะถูกเข้ารหัสเวลาค้นหาผ่าน Omnibox เสมอ

Chrome ไม่ใช่เบราว์เซอร์ตัวแรกที่ใช้นโยบายนี้ โดย Firefox เป็นเบราว์เซอร์ตัวแรกที่เริ่ม ตามด้วย Safari เป็นรายที่สอง

Read more

Yahoo! Mail รองรับการเชื่อมต่อ HTTPS ตลอดเวลาแล้ว

By lew Founder on Tag: Yahoo!, Security, HTTPS
Yahoo!

ในบรรดาบริการเว็บเมลหลักๆ ทั้งหมด Yahoo! Mail เป็นรายล่าสุดที่รองรับการเชื่อมต่อด้วย HTTPS ตลอดเวลา หลังจาก Hotmail รองรับไปแล้วเมื่อปี 2010 ส่วนกูเกิลเปิดมาก่อนหน้านั้น

อย่างไรก็ดี ตอนนี้ Yahoo! Mail ยังคงมีปัญหา XSS ที่ถูกขายในตลาดใต้ดินมาตั้งแต่ปีที่แล้ว ยังคงใช้งานได้ในตอนนี้ ถ้าใครใช้งาน Yahoo! Mail อยู่ แนะนำให้ไม่คลิกลิงก์ใดๆ เลยในเมลครับ

Read more

Nokia Asha 302 ถอดรหัส HTTPS บนเซิร์ฟเวอร์โนเกีย, เบราว์เซอร์เชื่อ Cert จากโนเกียให้ใช้ได้ทุกเว็บ

By lew Founder on Tag: Security, Nokia, HTTPS
Security

มีรายงานความปลอดภัยสำหรับ Nokia Asha 302 ว่าเมื่อผู้ใช้เข้าใช้งานเว็บใดๆ จะถูกชี้ไปยังเซิร์ฟเวอร์ของโนเกียแทน เช่น cloud13.browser.ovi.com โดยการตั้งค่าพรอกซี่เช่นนี้อาจจะไม่ใช่เรื่องแปลก เพราะต้องการบีบอัดเว็บก่อนส่งไปยังเบราว์เซอร์ แต่ปรากฎว่าบน Asha 302 แม้แต่เว็บที่เข้ารหัสก็ยังคงผ่านพรอกซี่

เบราว์เซอร์บน Asha 302 ถูกออกแบบมาให้เชื่อใบรับรองจากระบบบริการของโนเกีย เมื่อผู้ใช้เรียกเว็บผ่านโปรโตคอล HTTPS เบราว์เซอร์จะยังคงเรียกเว็บผ่านเซิร์ฟเวอร์ของโนเกียและเมื่อได้ใบรับรองการเข้ารหัสจากโนเกียก็ไม่มีการแจ้งเตือนผู้ใช้ใดๆ

Read more

Facebook เปิด HTTPS เป็นมาตรฐานแล้วในสหรัฐ ทั่วโลกจะตามมาในเร็วๆ นี้

By lew Founder on Tag: Security, Privacy, HTTPS, Facebook
Security

ช่วงหลังๆ บริการสำคัญที่มีข้อมูลส่วนตัวสูง เช่น เว็บเมล หรือบริการเครือข่ายสังคมออนไลน์ เช่น Gmail ที่เริ่มมีให้เลือกใช้ HTTPS ตลอดเวลาในตอนแรก และสุดท้ายก็เปิด HTTPS เป็นค่ามาตรฐาน ตอนนี้บริการอื่นๆ เช่น Hotmail, Twitter, Google+, และ Facebook ล้วนเป็นแนวทางเดียวกันคือมี HTTPS ให้เลือกใช้ทั้งหมด แต่สัปดาห์ที่ผ่านมา Facebook ก็ประกาศเปลี่ยนค่าเริ่มต้นของผู้ใช้ในสหรัฐฯ ให้ไปใช้งาน HTTPS เป็นค่าเริ่มต้น และต้องยกเลิกด้วยตัวเองหากไม่ต้องการ

ผู้ใช้กลุ่มแรกที่พบความเปลี่ยนแปลงนี้คือผู้ใช้ในสหรัฐฯ ส่วนผู้ใช้ที่เหลือทั่วโลกก็จะเปลี่ยนตามมา แต่ยังไม่กำหนดวันแน่ชัด

Read more

Firefox ประกาศใช้มาตรฐาน HSTS แล้ว

By pe3z Writer on Tag: Security, Internet, Firefox, HTTPS, HTTP, Mozilla
Security

มาตรฐาน HSTS เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บบังคับให้เบราว์เซอร์เชื่อมต่อกันแบบเข้ารหัสเสมอ (ดูข่าวเก่า) โดยสัปดาห์นี้ทาง Mozilla ได้ประกาศว่า Firefox ในรุ่นถัดไปจะบังคับให้ใช้มาตรฐาน HSTS แล้ว

Read more

ชี้แจงถึงความเข้าใจจากการเสนอข่าวด้านความปลอดภัยของทวิตเตอร์เรื่องเล่าเช้านี้

By pe3z Writer on Tag: Security, HTTPS, HTTP
Security

เมื่อเวลา 6 โมงเย็นวันนี้รายการเจาะข่าวเด่นทางไทยทีวีสีช่อง 3 ได้นำเสนอเกี่ยวกับภัยมิจฉาชีพออนไลน์ซึ่งผมพบว่าในข้อมูลที่นำเสนอนั้นมีบางส่วนที่อาจสร้างความไม่เข้าใจผ่านทางทวิตเตอร์เรื่องเล่าเช้านี้ เนื่องจากมีการทวีตในเรื่องนี้อยู่หลายทวีต แต่ผู้อ่านไม่ได้ทำการรีทวีตทั้งหมด เพียงแต่มีการรีทวีตที่ทำให้ข่าวนั้นเกิดการแตกประเด็นและอาจทำให้เกิดการเข้าใจผิดได้ ในฐานะที่ Blognone ก็เป็นหนึ่งในสื่อที่นำเสนอข่าวด้านเทคโนโลยีและความปลอดภัย การนำเสนอข่าวสารและข้อมูลที่ถูกต้องจึงเป็นเรื่องที่สำคัญมาก ดังนั้นผมขออนุญาตในการชี้แจงและแก้ไขข

Read more

HTTPS แบบบีบอัดข้อมูลถูกโจมตีสำเร็จ กูเกิลปิดการบีบอัดใน Chrome แล้ว

By lew Founder on Tag: Security, Browser, SSL, SPDY, HTTPS
Security

นักวิจัยด้านความปลอดภัยสองคน คือ Juliano Rizzo และ Thai Duong กำลังเตรียมนำเสนองานวิจัยด้านความปลอดภัยของ TLS ด้วยกระบวนการที่เรียกว่า CRIME ในงาน ekoparty วันที่ 21 ที่จะถึงนี้ แต่ระหว่างนี้ก็เริ่มมีการตรวจสอบว่าบั๊กความปลอดภัยนี้ได้รับการแก้ไขในเบราว์เซอร์ใดไปแล้ว และมีการรายงานออกมาว่ามันทำงานอย่างไร

Read more

Firefox 14 ออกแล้ว

By mk Founder on Tag: Firefox, Browser, HTTPS, Mozilla
Firefox

ครบรอบ 6 สัปดาห์ตามกำหนด ทาง Mozilla ก็ออก Firefox รุ่นจริงรุ่นต่อไปซึ่งนับเลขเวอร์ชันเป็น 14 แล้ว ของใหม่มีดังนี้

Read more

มาตรฐาน HSTS เข้าสู่ช่วงการให้ความเห็นสุดท้าย เตรียมโหวต

By lew Founder on Tag: Security, HTTPS, IETF
Security

มาตรฐาน HTTP Strict Transport Security (HSTS) เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ แม้ผู้ใช้จะไม่ระบุว่าต้องการใช้ HTTPS ก็ตามที กระบวนการนี้ทำให้ไม่มีการเชื่อมต่อแบบ HTTP ที่ดักฟังได้เลย ช่วยลดความเสี่ยงของผู้ใช้ลง

ที่ผ่านมามาตรฐานนี้ยังอยู่ในช่วงรับฟังความคิดเห็น แม้ว่ากูเกิลจะนำไปใช้งานในโครมอยู่นานแล้วก็ตาม โดยการโจมตีผ่านใบรับรองของ DigiNotar รอบล่าสุดเว็บจำนวนมากของกูเกิลก็รอดมาได้เพราะ HSTS

Read more

อุปกรณ์สแกน HTTPS ทำพลาด, ใส่ CA เดียวกันทุกเครื่อง

By lew Founder on Tag: Security, SSL, HTTPS
Security

บริษัท Cyberoam เป็นบริษัททำเครื่องตรวจสอบการใช้งานอินเทอร์เน็ตของพนักงานในบริษัท กระบวนการคือการบังคับให้พนักงานต้องติดตั้งใบรับรองหลัก (root CA) จากเครื่องของ Cyberoam ทำให้เครื่องนี้สามารถเข้าไปตรวจสอบการใช้งานได้ เพราะถอดรหัสที่เครื่องก่อนจะเข้ารหัสใหม่แล้วส่งไปยังตัวเว็บจริง แต่รายงานปรากฎว่า Cyberoam กลับใช้ CA ใบเดียวกันในทุกเครื่องที่ขายออกไป ทำให้ลูกค้าของ Cyberoam สามารถใช้ใบรับรองนี้ไปตรวจสอบการใช้งานเว็บในบริษัทอื่นๆ ได้ด้วย

Read more

ฟีเจอร์ New Tab ของ Firefox แสดงภาพหน้าจอของเว็บที่ใช้ HTTPS

By mk Founder on Tag: Security, Privacy, Firefox, Browser, HTTPS, Mozilla
Security

ฟีเจอร์ New Tab ที่เพิ่มเข้ามาใน Firefox 13 เริ่มเจอปัญหาเสียแล้ว เพราะเทคนิคการจับภาพหน้าจอมาแสดงเป็น thumbnail ในหน้า New Tab ทำให้ข้อมูลสำคัญๆ ของผู้ใช้หลุดออกมาให้เห็น

ผู้ใช้คนหนึ่งพบว่าข้อมูลบัญชีธนาคารของเขาถูกจับภาพมาแสดงใน thumbnail ซึ่งไม่ควรเกิดขึ้น เพราะเว็บไซต์เหล่านี้เข้ารหัสข้อมูลด้วย HTTPS เพื่อความปลอดภัยของข้อมูล

Read more

Firefox จะบังคับใช้ HTTPS สำหรับ Google Search ในเร็วๆ นี้

By mk Founder on Tag: Google, Privacy, Firefox, Search Engine, SSL, HTTPS
Google

Johnathan Nightingale ผู้บริหารระดับสูงของ Mozilla ให้ข้อมูลทางอีเมลกับ InfoWorld ว่าจะเริ่มทดสอบการเข้ารหัส SSL/HTTPS สำหรับการค้นกูเกิลจากช่องค้นหาของ Firefox Nightly ในเร็วๆ นี้

ถ้าทาง Mozilla ไม่พบปัญหาอะไร ฟีเจอร์นี้จะถูกผนวกเข้ามาใน Aurora และ Beta ตามมา ก่อนจะเข้ามายัง Firefox รุ่นหลัก โดยเริ่มจากภาษาอังกฤษก่อน

เหตุผลของ Mozilla คือประเด็นด้านความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ซึ่งจริงๆ แล้วทาง Mozilla อยากเปิดฟีเจอร์นี้มานานแล้ว แต่ในช่วงแรก กูเกิลยังไม่พร้อมรับทราฟฟิก HTTPS จากผู้ใช้ Firefox

Read more

EFF อัพเดต HTTPS Everywhere ตรวจสอบใบรับรอง SSL ที่เจาะได้ง่าย, อินเทลประกาศตัวสุ่มเลขในซีพียู

By lew Founder on Tag: Security, Intel, SSL, EFF, HTTPS
Security

ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก

Read more

EFF เปิดตัว HTTPS Everywhere 2.0

By pe3z Writer on Tag: Security, Privacy, Browser, EFF, HTTPS
Security

EFF (The Electronic Frontier Foundation) ได้เปิดตัวเวอร์ชัน 2.0 ของ "HTTPS Everywhere" สำหรับ Firefox และเวอร์ชันทดลองสำหรับ Chrome ซึ่งได้รวมเอาการอัพเดทที่สำคัญที่จะช่วยในการแจ้งเตือนผู้ใช้เกี่ยวกับความปลอดภัยในการใช้เว็บไซต์ต่างๆ

Read more

อิหร่านบล็อคอินเทอร์เน็ตอีกครั้ง

By pe3z Writer on Tag: Internet, Internet Censorship, SSL, VPN, Iran, HTTPS
Internet

หลังจากครั้งล่าสุดที่อิหร่านบล็อค HTTPS ทั้งประเทศ เมื่อวันที่ 12/02/12 พอวันนี้ 21/02/12 ก็เกิดการบล็อคอินเทอร์เน็ตขึ้นอีกครั้ง โดยคราวนี้แม้แต่ VPN ก็โดนไปกับเขาด้วยครับ

Read more

ทวิตเตอร์เปิด HTTPS เป็นมาตรฐานแล้ว

By lew Founder on Tag: Security, SSL, Twitter, HTTPS
Security

หลังจากทวิตเตอร์และเฟชบุ๊กล้วนมีตัวเลือกให้เปิด HTTPS ตลอดการใช้งานได้ ตอนนี้ทางฝั่งทวิตเตอร์ก็เปิดตัวเลือกนี้ให้กับผู้ใช้ทุกคนแล้ว โดยหลังจากนี้ทุกคนที่ต้องการเชื่อมต่อแบบไม่เข้ารหัสจะต้องปิดตัวเลือกนี้ด้วยตัวเอง

แนวทางนี้เป็นแนวทางเดียวกับจีเมลที่ค่อยๆ ปรับมาใช้ HTTPS ในแบบเดียวกัน

ด้วยแนวทางนี้รัฐบาลหลายๆ ประเทศคงมีปัญหากับการตรวจจับข้อความในทวิตเตอร์ตามมาเช่นเดียวกับบริการที่เข้ารหัสตลอดเวลาอื่นๆ เราคงต้องรอดูกันว่าแนวทางการเปิดให้รัฐบาลต่างๆ เข้าถึงข้อมูลที่เข้ารหัสเหล่านี้จะเป็นอย่างไร

Read more

ดับอนาถ อิหร่านบล็อค Google แบบ HTTPS, YouTube และบริการอีเมลจากทั่วโลก

By Be1con Contributor on Tag: Google, Internet Censorship, Gmail, YouTube, Hotmail, Iran, HTTPS
Google

ความเดิมจากตอนที่แล้วที่ทางอิหร่านได้ทำการบล็อค HTTPS ทั่วประเทศ แต่เรื่องราวมันกลับไม่จบลงง่าย ๆ เพราะว่าล่าสุด ทางอิหร่านได้ทำการบล็อคเว็บไซต์เพิ่มเติมจากที่บล็อคอยู่แล้ว คือ Google แบบเข้ารหัส HTTPS, YouTube, Gmail รวมถึงบรรดาเว็บเมลต่าง ๆ อย่างเช่น Hotmail เป็นต้น

Read more

อิหร่านบล็อค HTTPS ทั้งประเทศ

By mk Founder on Tag: Internet, Internet Censorship, Tor, SSL, Iran, HTTPS
Internet

กลุ่มผู้ใช้ Tor รายงานว่ารัฐบาลอิหร่านได้บล็อคทราฟฟิกอินเทอร์เน็ตส่วนที่เป็น HTTPS/SSL ทำให้เว็บไซต์ที่เชื่อมต่อผ่าน HTTPS ไม่สามารถใช้งานได้ ไม่ว่าจะเป็น Google, Yahoo, Facebook อะไรก็ตามที่ผ่าน HTTPS ย่อมโดนบล็อคทั้งหมด

ทางการอิหร่านไม่ได้ให้ข้อมูลใดๆ ในเรื่องนี้ ซึ่งสื่อตะวันตกคาดการณ์ว่าการบล็อค HTTPS ครั้งนี้เป็นการทดลองระบบเซ็นเซอร์อินเทอร์เน็ตของประเทศ (ลักษณะเดียวกับ Great Firewall ของจีน) ที่ทางรัฐบาลเคยประกาศไว้ว่าจะทำ และรอบนี้น่าจะทดสอบบล็อคเป็นการชั่วคราวเท่านั้น

Read more
Subscribe to HTTPS