Tags:
China

บริษัทรักษาความปลอดภัยคอมพิวเตอร์ Mandiant รายงานถึงการโจมตีระบบคอมพิวเตอร์ที่ทางบริษัทเข้าไปสืบสวนตั้งแต่ปี 2006 พบว่ามีกว่า 140 กรณีที่เกี่ยวข้องกับกองทัพจีนในหน่วย 61398

ทาง Mandiant เรียกหน่วยนี้ว่าหน่วย APT1 โดยในการรวบรวมข้อมูล ไม่ได้มีหลักฐานเป็นหมายเลขไอพีไปยังหน่วยงานนี้โดยตรง แต่รายงานวิเคราะห์จากหลักฐานแวดล้อมอื่นๆ เช่น เครื่องมือที่ใช้, กระบวนการเจาะระบบ พบว่ามีทิศทางไปในทางเดียวกัน

รายงานระบุว่าทางบริษัทติดตามพฤติกรรมของกลุ่มแฮกเกอร์ที่มีความเชี่ยวชาญสูงจำนวนมาก ในจำนวนนี้มีมากกว่า 20 กลุ่มที่มาจากประเทศจีน แต่กลุ่ม APT1 นี้สามารถดำเนินกิจกรรมมาได้อย่างต่อเนื่องยาวนาน แสดงว่ามีเงินทุนพอที่จะจ่ายให้กับแฮกเกอร์ความสามารถสูงจำนวนมาก

การสืบต้นตอของการแฮกสามารถจำกัดวงได้เพียงเครือข่ายขนาดใหญ่จำนวนสี่เครือข่ายในเซี่ยงไฮ้ โดยสองเครือข่ายนั้นให้บริการในบริเวณเมืองใหม่ Pudong

จากการค้นคว้าข้อมูลของกองทัพจีน ทาง Mandiant พบว่าหน่วย 61398 ของจีนนี้มีวัตถุประสงค์การจัดตั้งตรงกับปฎิบัติการของกลุ่ม APT1 และที่ตั้งของหน่วยยังตรงกับที่ตั้งที่สืบกลับไปได้ ทำให้เป็นไปได้ว่าเป็นกลุ่มเดียวกัน

ในการติดตาม พบว่าหน่วยนี้บางครั้งหละหลวมถึงขั้นที่ใช้เครื่องของเหยื่อที่แฮกมาได้ เพื่อล็อกอินเข้าอีเมล, และบริการเครือข่ายสังคมออนไลน์ของตัวเอง

ทาง Madiant ระบุว่าการแฮกหนังสือพิมพ์ New York Times เมื่อเร็วๆ นี้เป็นผลงานของอีกกลุ่มหนึ่งที่เรียกว่ากลุ่ม APT 12

ที่มา - eWeek, Mandiant
APT1: Exposing One of China's Cyber Espionage Units (PDF)

Tags:
W3C

ที่ประชุม W3C เสนอร่างแรกของมาตรฐาน Encrypted Media Extensions (EME) หรือ "มาตรฐานการจัดการสิทธิ (DRM) สำหรับเนื้อหาในเว็บ" เปิดแก่สาธารณะ เป็นเวอร์ชั่นแรก มาตรฐานนี้จะรวมเอากระบวนการเก็บกุญแจถอดรหัสเนื้อหาเอาไว้ในเบราว์เซอร์, อัลกอริทึมสำหรับการถอดรหัส, และกระบวนการตรวจสอบว่าเบราว์เซอร์ยังคงออนไลน์อยู่ เพื่อจะรับชมเนื้อหาที่ดาวน์โหลดมา

บริษัทที่สนับสนุนมาตรฐานนี้ เช่น ไมโครซอฟท์, กูเกิล, โนเกีย, อโดบี, บีบีซี, Comcast อย่างไรก็ดี หนึ่งในตัวแทนของกูเกิลคือ Tab Atkins Jr. ผู้ร่วมทีมพัฒนา Chrome และดูแลการออกมาตรฐานเว็บได้ต่อต้านร่างนี้อย่างหนัก เขาระบุว่าเทคโนโลยี DRM ไม่สามารถเปิดกว้างและสร้างขึ้นอย่างเสรีได้, มาตรฐานจะไม่สามารถทำงานร่วมกันได้แม้จะมีมาตรฐานออกมาแล้ว, เว็บที่ใช้มาตรฐานนี้จะผูกติดกับเซิร์ฟเวอร์จัดการไลเซนส์ เมื่อผู้ให้บริการปิดเซิร์ฟเวอร์เหล่านี้ เนื้อหาจะเปิดไม่ได้อีก, และแนวคิดของ DRM ผิดพลาดในทางคณิตศาสตร์ มาตรฐานที่ยังใช้งานได้ในทุกวันนี้เป็นเพราะมันยังไม่เจอข้อผิดพลาดเท่านั้น แต่ท่าทีอย่างเป็นทางการของกูเกิลคือสนับสนุนร่างนี้ และกำลังเพิ่มฟีเจอร์นี้เข้าไว้ใน Chrome

ฝั่งผู้ให้บริการเนื้อหาอย่าง BBC ที่เข้าร่วมในทีมงานมาตรฐานนี้ก็ยอมรับว่ามาตรฐานนี้ไม่เพียงพอที่จะใช้งานได้อย่างปลอดภัย เว้นเสียแต่จะมีการปกป้องด้วยกระบวนการทางกฎหมาย

ผมคาดว่ามาตรฐานนี้จะสร้างความแตกแยกให้กับวงการเว็บอย่างมาก (แม้แต่ทีมกูเกิลด้วยกันเองยังมองต่างกัน) ทางฝั่ง Mozilla ซึ่งไม่ใช่หน่วยงานธุรกิจโดยตรงยังไม่ได้ออกมาแสดงท่าทีกับมาตรฐานนี้แต่อย่างใด แต่หากมาตรฐานนี้ถูกผลักดันมากกว่านี้ น่าจะมีหลายโครงการที่ประกาศปฎิเสธไม่รวมฟีเจอร์นี้เข้าไว้ในโครงการของตัวเองด้วยการแพตซ์ฟีเจอร์นี้ทิ้งไป อย่างโครงการลินุกซ์ดิสโทร์ที่ให้ความสำคัญกับแนวทางโอเพนซอร์สมากๆ หลายโครงการ

ที่มา - W3C

Tags:
Facebook

บั๊กใน Facebook Connect เมื่อวานนี้ทำให้ผู้เข้าชมเว็บไซต์ที่วาง widget ไว้ในเว็บทั้งหมดถูก redirect ไปยังหน้าเฟซบุ๊กเอง (ที่เป็นหน้า error) เป็นเวลาสิบห้านาที ส่งผลให้ผู้ใช้เว็บดังๆ ทั่วโลกไม่ว่าจะเป็น CNN, Washington Post, หรือ NBC News ไม่สามารถเข้าเว็บได้

เฟซบุ๊กไม่ได้ระบุอย่างชัดเจนว่าปัญหาเกิดจากอะไร บอกแต่เพียงเวลามีปัญหาเป็นเวลาสั้นๆ และทางเฟซบุ๊กได้แก้ปัญหาอย่างรวดเร็ว

ถ้าความผิดพลาดแบบนี้เกิดขึ้นบ่อยๆ เว็บไซต์ต่างๆ อาจจะต้องเตรียมความพร้อมด้วยการสร้างออปชั่นปิด widget ทั้งหมดจากเฟซบุ๊กเอาไว้ เผื่อจะเกิดเหตุการณ์แบบนี้ขึ้นอีกในอนาคต

ที่มา - NBC News

Tags:
China

ข้อมูลจาก China Internet Network Information Center (CNNIC) หน่วยงานด้านเครือข่ายของรัฐบาลจีน ประเมินว่าจีนมีผู้ใช้อินเทอร์เน็ต 564 ล้านรายนับถึงสิ้นปี 2012

ตลอดปี 2012 จีนมีผู้ใช้อินเทอร์เน็ตเพิ่มขึ้น 51 ล้านราย (เยอะกว่าผู้ใช้เน็ตในสเปนทั้งประเทศ) ทำให้อัตราการเข้าถึงอินเทอร์เน็ตของประชากรเพิ่มขึ้นเป็น 42.1% แล้ว ในระยะยาวจีนประเมินว่าจะมีผู้ใช้เน็ต 800 ล้านรายในปี 2015

ในรายงานของ CNNIC ยังระบุว่าผู้ใช้อินเทอร์เน็ตผ่านเครือข่ายไร้สายด้วย มีจำนวน 420 ล้านราย เพิ่มขึ้น 18.1% จากปีก่อน ในขณะที่สัดส่วนการใช้อินเทอร์เน็ตผ่านเดสก์ท็อป โน้ตบุ๊ก และร้านอินเทอร์เน็ตกลับลดลงเล็กน้อย

บริการยอดนิยมในจีนอย่าง microblog (ส่วนใหญ่เป็น Sina Weibo) ได้รับความนิยมเพิ่มขึ้น มียอดผู้ใช้งาน 309 ล้านราย, ผู้ซื้อสินค้าผ่านอินเทอร์เน็ตเพิ่มเป็น 242 ล้านคน

ที่มา - ZDNet

Tags:
FCC

FCC ออกหนังสือ "รายงานและคำสั่ง" (Report and Order) ปรับกระบวนการขออนุญาตให้บริการอินเทอร์เน็ตบนเครื่องบิน ที่ต้องใช้คลื่นความถี่เพื่อเชื่อมต่อกับดาวเทียมบนวงโคจรค้างฟ้า

กระบวนการขออนุญาตเพื่อให้บริการ Wi-Fi บนเครื่องบินเป็นกระบวนการที่ต้องขออนุญาตใช้คลื่นความถี่จาก FCC ที่ดูแลคลื่นความถี่และขออนุญาตด้านความปลอดภัยจาก FAA ที่ควบคุมการบินอีกครั้ง การปรับปรุงกระบวนการครั้งนี้จะทำให้การขอใช้คลื่นความถี่ดาวเทียมเพื่อการให้บริการอินเทอร์เน็ตมีความแน่นอนขึ้น แต่กระบวนการในฝั่งของ FAA นั้นก็ยังคงไม่มีกระบวนการชัดนัก โดยยังเป็นการขอเป็นครั้งๆ ไป

การให้บริการอินเทอร์เน็ตบนเครื่องบินยังเป็นกระบวนการที่หลายชาติยังไม่รองรับ ความสับสนเช่นกฎหมายที่ไม่ตรงกันของแต่ละชาติที่กำกับการใช้คลื่นความถี่ต่างกันทำให้การให้บริการบนเส้นทางบินระหว่างประเทศยิ่งยุ่งยาก ระหว่างนี้ชาติใหญ่ๆ อย่างสหรัฐฯ ที่มีเส้นทางบินในประเทศค่อนข้างมากน่าจะมีผลต่อกระบวนการกำกับบริการแบบเดียวกันในประเทศอื่นๆ เป็นอย่างมาก

ที่มา - eWeek

Tags:
Internet

สมาคมผู้ให้บริการอินเทอร์เน็ตไทย (TISPA) ออกมาคัดค้าน กสทช. เรื่องการเก็บค่าธรรมเนียมจากผู้ประกอบการโทรคมนาคม 2% ของรายได้ โดยชี้ว่าส่งผลให้ต้นทุนเพิ่มขึ้นมากและกระทบต่อผู้บริโภค

จากร่างประกาศ กสทช. ได้ระบุวิธีการเก็บค่าธรรมเนียมแบบใหม่ในอัตรา 2% ของรายได้ ในขณะที่ TISPA อันประกอบด้วยบริษัทผู้ให้บริการอินเทอร์เน็ต 18 ราย เห็นว่าควรพิจารณาเรียกเก็บค่าธรรมเนียมแบบเดิม ซึ่งมีการแบ่งวิธีคิดตามขนาดของผู้ประกอบการ ดังนี้

  • ผู้ประกอบการที่ไม่มีโครงข่ายของตนเองและเช่าโครงข่าย จ่าย 25,000 บาท/ปี
  • ผู้ประกอบการรายเล็กที่มีโครงข่าย จ่าย 250,000 บาท/ปี
  • ผู้ประกอบการรายใหญ่ที่มีโครงข่ายให้ผู้อื่นเช่า จ่าย 2% ของรายได้รวม

TISPA ให้เหตุผลประกอบว่า การเก็บค่าธรรมเนียมด้วยวิธีเดิมก็น่าจะทำให้ กสทช. ได้รับเงินเพียงพอต่อการดำเนินงานขององค์กรแล้ว หากเปลี่ยนมาเรียกเก็บด้วยวิธีใหม่ อาจทำให้ผู้ประกอบการบางรายไม่สามารถดำเนินธุรกิจต่อได้ อีกทางหนึ่งก็จะส่งผลต่อค่าบริการซึ่งจะเป็นภาระต่อผู้บริโภคในท้ายที่สุด

ค่าธรรมเนียมที่เป็นประเด็นนี้ เป็นคนละส่วนกับเงินกองทุน USO ซึ่ง กสทช. มีประกาศเรียกเก็บที่อัตรา 3.75% ของรายได้ โดยทาง TISPA เองก็ได้จ่ายเงินในส่วนดังกล่าวไปเรียบร้อยแล้ว

ที่มา - เดลินิวส์

Tags:
Google

งานประชุม WCIT-12 ที่จัดโดย ITU เริ่มขึ้นวันนี้ (3 ธ.ค.) ที่ดูไบ งานนี้มีความสำคัญคือแก้ไข "ข้อบังคับโทรคมนาคมระหว่างประเทศ" หรือที่เรียกย่อๆ ว่า ITR (รายละเอียดดูใน ข่าวเก่า)

กูเกิลเป็นหนึ่งในองค์กรที่ออกมาคัดค้านความพยายามของ ITU ในการกำกับดูแลอินเทอร์เน็ต และล่าสุดก็เปิดแคมเปญ Free and Open (แท็ก #freeandopen) เพื่อรวบรวมเสียงจากผู้ใช้อินเทอร์เน็ตทั่วโลกแล้วพล็อตเป็นแผนที่ เรียกร้องให้อินเทอร์เน็ตยังเป็นเครือข่ายเสรีสำหรับทุกคนต่อไป

ผู้สนใจก็เข้าไปร่วมลงชื่อได้ที่หน้า Take Action

ที่มา - Google Official Blog

Tags:
Internet

เพียง 48 ชั่วโมงหลังอินเทอร์เน็ตทั้งประเทศถูกตัดลง ตอนนี้การเชื่อมต่อเกือบทั้งหมดของซีเรียก็กลับมาเป็นปกติแล้ว โดยรัฐบาลระบุว่าเป็นฝีมือของผู้ก่อการร้ายที่เป็นฝ่ายโจมตีสายเชื่อมต่อทำให้อินเทอร์เน็ตถูกตัดขาด

ทางฝั่ง CloudFlare ผู้ให้บริการส่งต่อเนื้อหา (Content Delivery Network - CDN) ออกมาให้ความเห็นว่าการตัดการเชื่อมต่อสายไฟเบอร์สี่เส้นในเวลาเดียวกันโดยฝีมือของหน่วยงานอื่นนอกเหนือจากหน่วยงานของรัฐนั้นเป็นเรื่องที่เป็นไปได้ยาก

เวลาเริ่มต้นการตัดการเชื่อมต่อ คือ 10.26 UTC ภายในสองนาทีการเชื่อมต่อทั้งหมดก็ตัดขาดลง

ที่มา - C|NET, Reuters, CloudFlare, Renesys

Tags:
Internet

หลังจากที่มีการตัดอินเทอร์เน็ตทั้งประเทศจากประเทศอียิปต์ และประเทศซีเรีย เมื่อไม่นานมานี้ก็ก่อให้เกิดความกังวลในสถานการณ์การใช้งานอินเทอร์เน็ตในแต่ละประเทศพอสมควร ทาง Renesys ที่เป็นบริษัทผู้ให้บริการอินเทอร์เน็ตรายหนึ่งก็ได้ทำแผนที่มาให้ดูกันแบบสะดวกๆ ครับว่าประเทศไหนอยู่ในกลุ่มเสี่ยงที่จะถูกตัดอินเทอร์เน็ตได้ (แผนที่อยู่หลังเบรกนะครับ)

หลักเกณฑ์ที่ใช้ก็ไม่มีอะไรซับซ้อนครับ วัดตามจำนวนของผู้ให้บริการเชื่อมต่ออินเทอร์เน็ตออกต่างประเทศว่ามีทั้งหมดกี่ราย นับจากแผนที่เส้นทางการส่งข้อมูล (Routing table) ของอินเทอร์เน็ตที่ทางบริษัทตรวจจับได้ โดยแบ่งเกณฑ์ดังนี้

  • ความเสี่ยงสูงมาก โดยมีผู้ให้บริการเชื่อมต่อระหว่างประเทศ 1-2 ราย ทั้งหมด 61 ประเทศ ในนี้มีประเทศซีเรียอยู่ และยังรวมถึงเพื่อนบ้านเราอย่างเมียนมาร์ด้วย
  • ความเสี่ยงสูง หรือมีผู้ให้บริการเชื่อมต่อระหว่างประเทศไม่เกิน 10 ราย ถึงแม้ว่าจำนวนอาจจะเยอะ แต่ยังไม่เยอะพอที่จะแยกการเชื่อมต่อกันระดับกายภาพ ซึ่งอาจมีการใช้สายเคเบิลร่วมกันที่ทำให้สามารถตัดการเชื่อมต่อได้ค่อนข้างง่าย มีทั้งหมด 72 ประเทศ อียิปต์อยู่ในกลุ่มนี้ รวมถึงลาวด้วยเช่นกัน
  • ความเสี่ยงต่ำ มีผู้ให้บริการเชื่อมต่อระหว่างประเทศไม่เกิน 40 ราย ถือได้ว่ามีความเสี่ยงต่ำ เนื่องจากปริมาณการเชื่อมต่อเยอะพอที่จะมีการแยกสายเคเบิลเป็นหลายๆ เส้น ซึ่งการตัดการเชื่อมต่อออกหลายๆ วัน หรือตัดให้ได้อย่างทันทีทันใดเป็นไปได้ยากมาก กลุ่มนี้มีทั้งหมด 58 ประเทศ ประเทศไทย จีน และเวียดนามก็อยู่ในกลุ่มนี้เช่นกัน
  • ทนทานต่อการตัดการเชื่อมต่อ กลุ่มนี้เป็นประเทศที่มีลักษณะเป็นฮับของการเชื่อมต่ออินเทอร์เน็ต มีปริมาณการใช้งานข้อมูลสูงมาก รวมถึงมีผู้ให้บริการที่มีการเชื่อมต่อออกนอกประเทศเป็นปริมาณมากเกินกว่าที่จะสามารถควบคุมได้เบ็ดเสร็จ (มากกว่า 40 ราย) กลุ่มนี้มีทั้งหมดประมาณ 32 ประเทศไล่ตั้งแต่สหรัฐอเมริกาลงมา ซึ่งมาเลเซีย สิงคโปร์ และแม้แต่อินโดนีเซียก็อยู่ในกลุ่มนี้เช่นกัน
Tags:
ICANN

การจดทะเบียน TLD แบบอิสระครั้งแรกในโลกสร้างความกังวลใจให้กับหลายฝ่ายว่าจะมีการละเมิดกันจาก TLD ทั้งหลาย แต่กระบวนการตอนนี้ก็มีอนุกรรมการฝั่งประสานงานรัฐบาล (Governmental Advisory Committee - GAC) ส่งต่อคำร้องที่ได้จากหน่วยงานรัฐที่เป็นสมาชิก ว่า TLD ต่างๆ ที่อาจจะมีปัญหานั้นมีอะไรได้บ้าง ทั้งหมด 242 คำร้อง

ชื่อโดเมนที่ถูกร้องเรียนนั้นส่วนใหญ่เป็นโดเมนที่เกี่ยวข้องกับสถานที่ เช่น .amazon ถูกร้องเรียนโดยรัฐบาลบราซิลและเปรู .roma ก็ถูกร้องในแบบเดียวกัน และคำทั่วไป เช่น .health, .hotel, .website ล้วนถูกคัดค้าน แต่แบรนด์หลักๆ เช่น .apple หรือ .google ไม่มีการคัดค้านแต่อย่างใด

สำหรับ TLD ที่เกี่ยวข้องกับประเทศไทย ได้แก่ .thai และ .คอม นั้นยังไม่ถูกร้องเรียนในรอบนี้แต่อย่างใด โดยประเทศไทยมีตัวแทนใน GAC คือ ดร.ทวีศักดิ์ กออนันตกูล

การร้องเรียนของ GAC ชุดแรกเป็นเพียง "คำเตือนล่วงหน้า" (Early Warning) เท่านั้น ไม่ใช่คำคัดค้านอย่างเป็นทางการแต่อย่างใด คำเตือนเหล่านี้เป็นการส่งข้อความไปยังผู้รับใบอนุญาตว่าจะต้องตอบคำถามต่อคำร้องเหล่านี้ เช่น การเรียกร้องให้มีมาตรการป้องกันชื่อด้านแย่ๆ หรือต้องการให้ท้องถิ่นมีส่วนร่วมมากขึ้น แต่คำร้องส่วนมากก็จะขอให้ผู้ขอใบอนุญาตถอนใบอนุญาตออกไปเสีย

ผู้ส่งใบสมัครขอจดทะเบียน TLD มีทางเลือกสองทาง คือ ถอนใบขออนุญาตออกไปตั้งแต่ขั้นตอนนี้โดยรับเงินคืน 80% หรือเดินหน้าต่อไป

หลังจากผ่านรอบนี้ไปได้แล้ว ยังมีรอบการส่งคำคัดค้านอย่างเป็นทางการจาก GAC อีก

ที่มา - Engadget, GAC

Tags:
EU

สมาชิกสภายุโรปหลายรายคัดค้านกฎเน็ตจาก ITU ซึ่งเป็นข้อตกลงในการให้บริการอินเทอร์เน็ต ด้วยเหตุผลสำคัญคือ เป็นการปิดกั้นเสรีภาพด้านข้อมูลและทำให้นวัตกรรมถดถอย

กฏเน็ตของ ITU หรือที่เรียกสั้นๆ ว่า ITR: International Telecommunications Regulations ซึ่งครอบคลุมเรื่องมาตรฐานและข้อกำหนดในการให้บริการอินเทอร์เน็ตโดยกลุ่มสมาชิกของ ITU ก่อให้เกิดประเด็นโต้เถียงกันมาโดยตลอดในเรื่องความเหมาะสมในการให้อำนาจ ITU เข้ามาควบคุมระบบมากจนเกินไป โดยเฉพาะเรื่องการเซ็นเซอร์ข้อมูลและการคิดค่าบริการในการเข้าถึงระบบอินเทอร์เน็ต

สภายุโรปพยายามเตือนชาติสมาชิกให้ลงชื่อคัดค้านการถ่ายโอนอำนาจในการควบคุมระบบอินเทอร์เน็ตในครั้งนี้ ซึ่งแต่เดิมอยู่ในความดูแลขององค์กรจากสหรัฐอเมริกาอย่าง ICANN และ IANA

การลงมติเพื่อใช้กฎเน็ต ITU ตัวใหม่นี้จะทำในช่วงงาน WCIT ซึ่งจัดที่ดูไบในเดือนธันวาคม โดยจะนับคะแนนเสียงจากประเทศสมาชิกของ ITU (ไม่นับความเห็นจากกลุ่มสมาชิกภาคเอกชน) ซึงบ้านเราเอง กสทช. ก็เพิ่งออกมาให้ข้อมูลเมื่อไม่กี่วันก่อนถึงจุดยืนในการคัดค้านข้อกำหนดใหม่นี้เช่นกัน

ที่มา - ZDNet

Tags:
Internet

คำเตือน: บทความในชุดการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดประสงค์หลักเพื่อการศึกษา และการระมัดระวังของนักพัฒนา การทดสอบต้องทำในสภาพแวดล้อมปิดเท่านั้น (ตั้งเซิร์ฟเวอร์เฉพาะเอง ทดสอบเสร็จแล้วปิดบริการ) ห้ามทดสอบในเว็บจริงที่ให้บริการอยู่ หากผมทราบว่าสมาชิก Blognone มีการทดลอง โทษคือแบนถาวรอย่างเดียวไม่ว่าจะเกิดความเสียหายหรือไม่

ต่อจาก CSRF ปัญหาความปลอดภัยในเว็บที่พบได้มาก แต่ปัญหาอีกอย่างหนึ่งที่พบได้และมักมีอันตรายมากกว่าคือปัญหาความปลอดภัย Cross Site Scripting (XSS หรือบางครั้งเรียกว่า CSS) ที่เป็นช่องให้แฮกเกอร์สามารถนำสคริปต์อยากที่แฮกเกอร์ต้องการไปวางบนหน้าเว็บเป้าหมายได้

ปัญหา XSS เกิดจากเมื่อเว็บรับข้อมูลจากผู้ใช้โดยไม่มีการกรองสคริปต์ออกจากอินพุตของผู้ใช้ก่อน ไม่ว่าจะเป็นการรับผ่านยูอาร์แอล หรือจะรับผ่านแบบฟอร์มต่างๆ

Tags:
Firefox

มาตรฐาน HSTS เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บบังคับให้เบราว์เซอร์เชื่อมต่อกันแบบเข้ารหัสเสมอ (ดูข่าวเก่า) โดยสัปดาห์นี้ทาง Mozilla ได้ประกาศว่า Firefox ในรุ่นถัดไปจะบังคับให้ใช้มาตรฐาน HSTS แล้ว

มาตราฐาน HSTS จะช่วยให้ผู้ใช้งานสามารถเพิ่มเว็บไซต์ที่เราต้องการเชื่อมต่อผ่านทาง HTTPS ได้ผ่านทาง preload list (ดูตัวอย่างจาก Chrome) ผู้ใช้งานสามารถดาวน์โหลดเวอร์ชันเบต้ามาทดลองใช้งานก่อนได้ โดยในเวอร์ชันเต็มคาดว่าจะออกมาในเร็วๆ นี้ครับ

ที่มา - Mozilla Security Blog via Ars Technica, Threatpost

Tags:
Internet

ข่าวนี้เกี่ยวข้องกับข่าว สหรัฐฯ ประกาศคว่ำข้อตกลงการสื่อสารระหว่างประเทศฉบับใหม่ นะครับ ใครยังไม่ได้อ่านควรย้อนไปอ่านข่าวเก่าเสียก่อน

วันนี้ (25 ตุลาคม 2555) กสทช. ได้จัดงานเสวนาในประเด็นข้างต้น (แต่ครอบคลุมหัวข้อกว้างกว่า) ในชื่องานว่า "NBTC Public Forum 9: ITU จะกำกับดูแลอินเทอร์เน็ต ไทยควรมีท่าทีอย่างไร"

ผมได้ไปร่วมงานนี้มาด้วย เลยสรุปประเด็นที่น่าสนใจของวิทยากรบางท่านมาลง Blognone ครับ

Tags:
IETF

ต่อเนื่องจากข่าวเก่าเรื่องการตั้งคณะทำงานขึ้นมาร่างมาตรฐาน HTTP/2.0 ตอนนี้คณะทำงานที่ว่านี้เป็นรูปเป็นร่างขึ้นมาแล้วครับ เมื่อทาง IESG ที่เป็นหน่วยงานย่อยใน IETF หรือ Internet Engineering Task Force ที่เป็นหน่วยงานออกแบบร่างและรับรองมาตรฐานทางอินเทอร์เน็ตได้ให้อนุญาตให้มีคณะทำงานร่างมาตรฐาน HTTP/2.0 อย่างเป็นทางการแล้วครับ

มาตรฐาน HTTP ที่เราใช้กันอยู่แพร่หลายทุกวันนี้ ที่มีชื่อจริงๆ ว่า HTTP/1.1 ตาม RFC 2616 นั้นถูกร่างขึ้นมาตั้งแต่ปี ค.ศ. 1999 หรือกว่า 13 ปีมาแล้ว และด้วยความนิยมในการใช้งานของมาตรฐานนี้ที่เรียกได้ว่า บริการส่วนใหญ่บนอินเทอร์เน็ตต่างก็ทำงานกันบนมาตรฐานนี้ทั้งสิ้น ก็ได้ทำให้มันผ่านการตัดต่อเติมแต่งกันจนหลายๆ อย่างมีความซับซ้อน และตัวมาตรฐานเดิมเองก็มีข้อจำกัดหลายๆ อย่าง ซึ่งการร่างมาตรฐานใหม่นี้คาดหวังกันไว้ว่า

  • ช่วยเพิ่มความเร็วในการเข้าถึงข้อมูลของผู้ใช้ปลายทางเมื่อเทียบกับการใช้ HTTP/1.1 บน TCP
  • แก้ปัญหา head-of-line blocking ในกรณีของการใช้ HTTP pipelining
  • ลดปริมาณการเชื่อมต่อจากเบราว์เซอร์ไปยังเครื่องเซิร์ฟเวอร์ลง
  • ยังคงความหมายของนิยามในโปรโตคอล HTTP/1.1 ให้มากที่สุดเท่าที่จะทำได้
  • ระบุวิธีการทำงานข้ามระหว่างมาตรฐาน HTTP/2.0 และ HTTP/1.x อย่างชัดเจน
Tags:
Internet

เว็บดังยุคแรกๆ อย่าง Slashdot (ต้นแบบของ Blognone), SourceForge, และ Freecode (ชื่อเดิมคือ Freshmeat) ถูกขายให้กับกลุ่ม VA Linux มาตั้งแต่ช่วงปี 1999 ขายต่อไปมาจนกระทั่งมาอยู่ใต้ Geeknet ที่ดูแลเว็บไซต์ขายสินค้ากีคอย่าง ThinkGeek ด้วย และวันนี้ Geeknet ก็ได้ประกาศขายทั้งสามเว็บนี้ให้กับบริษัท Dice Holdings, Inc. ผู้บริหาร Dice.com เว็บหางานไอทีขนาดใหญ่

Tags:

หลัง RIPE NCC แจกไอพีจนหมด ก็ถึงช่วงเวลาตามหาว่าใครเป็นคนถือหมายเลขไอพีอย่างสิ้นเปลืองอยู่บ้าง และมีบล็อกเกอร์ชื่อว่า John Graham-Cumming พบว่ากระทรวงแรงงานและสวัสดิการสังคมของอังกฤษนั้น ถือหมายเลขไอพีวง 51.0.0.0/8 อยู่ทั้งวงโดยไม่มีการใช้งานที่มองเห็นจากอินเทอร์เน็ต

มูลค่าของหมายเลขไอพีในพื้นที่ที่ไม่มีบล็อค /8 เหลือแล้วจะมีมูลค่าสูงขึ้นเรื่อยๆ ตอนนี้ประมาณกันว่ามูลค่าหมายเลขไอพีของทั้งบล็อค /8 ประมาณ 16 ล้านหมายเลขนั้นมีมูลค่ารวม 500-1,500 ล้านดอลลาร์

ตอนนี้มีผู้นำเรื่องนี้เสนอไปยังเว็บเข้าชื่อเรียกร้องต่อทางรัฐบาลอังกฤษ ให้ปล่อยหมายเลขไอพีเหล่านี้ให้เอกชนได้ใช้งานกันต่อไป

ที่มา - e-petition

Tags:

Réseaux IP Européens Network Coordination Centre (RIPE NCC) หน่วยงานจัดสรรหมายเลขไอพียุโรปและตะวันออกกลางได้แจกจ่ายหมายเลขไอพีมาจนถึงบล็อกสุดท้ายแล้ว ซึ่งจะทำให้เข้าสู่โหมดประหยัดหมายเลขไอพีแบบเดียวกับที่ APNIC เข้าโหมดนี้ไปเมื่อปีที่แล้ว

ชื่อของช่วงนี้ทาง RIPE เรียกว่า Phase 2 ขณะที่ทาง APNIC เรียกว่า Stage 3 แต่โดยหลักการแล้วเหมือนกันคือเข้าสู่หมายเลขไอพีในวง /8 วงสุดท้ายของภูมิภาค

กติกาการจ่ายหมายเลขไอพีบล็อกสุดท้ายของ RIPE นั้นจะคล้ายกับ APNIC คือไม่มีใครสามารถขอบล็อกขนาดใหญ่กว่า /22 ได้อีกแล้ว และสมาชิกทุกคนจะขอได้อีกบล็อกเดียวเท่านั้น ทาง RIPE ยังบังคับให้สมาชิกที่จะขอ IPv4 จะต้องมีหมายเลข IPv6 อยู่แล้ว และย้ำว่าหมายเลข IPv4 ที่ให้ไปนั้นให้ไปเพื่อการเชื่อมต่อกับ IPv4 ย้อนหลังเป็นหลัก ขณะที่การขยายเน็ตเวิร์คใหม่แนะนำให้ใช้ IPv6 ทั้งหมด

สำหรับภูมิภาคอื่นๆ นั้น ARIN (อเมริกาเหนือ) เหลือ 3.02 บล็อค /8, AfrNIC (แอฟริกา) ยังเหลือประมาณ 2.61 บล็อค /8, และ LANNIC (อเมริกาใต้) เหลือ 3.22 บล็อค /8 โดยทุกที่กำลังใช้ไอพีหมดเร็วขึ้นเรื่อยๆ เพราะบรรดาผู้ให้บริการเร่งส่งคำร้องขอหมายเลขไอพีเพิ่มก่อนจะเข้าช่วงสุดท้ายกัน

กระบวนการย้ายไปยัง IPv6 ที่ออกแบบมานับสิบปีเห็นได้ชัดว่าไม่มีใครกระตือรือร้นที่จะปรับอย่างจริงจังตลอดมา หลังจากนี้ผู้ให้บริการอินเทอร์เน็ตทั่วโลกจะอยู่ในโหมด "ถูกบังคับ" เพราะไม่มีหมายเลขไอพีใหม่ให้บริการ และหากจะยังใช้ IPv4 ต่อไปจะต้องทำผ่าน NAT เท่านั้นแล้ว ซึ่งจะสร้างค่าใช้จ่ายทั้งระบบ NAT เองและค่าใช้จ่ายในการเก็บล็อกตามกฎหมายในหลายประเทศให้กับผู้ให้บริการอินเทอร์เน็ตอย่างหนัก

ที่มา - RIPE

Tags:
Internet

เว็บ W3Techs เปิดรายงานการสำรวจการใช้งานเทคโนโลยีต่างๆ บนหน้าเว็บในช่วงเวลาสองปีที่ผ่านมา พบว่า jQuery ที่เป็นไลบรารียอดนิยมนั้นมีการใช้งานถึง 50% ของเวบที่อยู่ในการสำรวจแล้ว และนับว่าเป็นเทคโนโลยีเว็บที่มีการเติบโตมากที่สุดในปี 2011 โดยยังไม่มีแนวโน้มว่าจะชะลอความเติบโตลง

เรื่องน่าสนใจคือเว็บที่ใช้ jQuery จำนวนมากเป็นการใช้งานร่วมกับไลบรารีอื่นๆ เช่น 49.5% ของเว็บที่ใช้ MooTools และ 49.2% ของเว็บที่ใช้ Prototype ก็ใช้งาน jQuery ร่วมไปด้วย

สำหรับเครื่องมืออื่นๆ เช่น Flash นั้นมีเว็บที่ใช้งานคิดเป็น 23.1% และลดลงเรื่อยๆ ส่วน Silverlight นั้นเหลือแค่ 0.25% และกำลังลดลงเรื่อยๆ อีกเช่นกัน

ที่มา - W3Techs

Tags:
Internet

มาตรฐาน WebRTC เป็นมาตรฐานใหม่ที่เสนอเข้าสู่ W3C โดยกูเกิลและได้รับการสนับสนุนจาก Mozilla และ Opera แต่ล่าสุดไมโครซอฟท์ซึ่งสงวนท่าทีต่อมาตรฐานนี้โดยตลอดก็เสนอมาตรฐานใหม่ขึ้นมาแข่งแล้วในชื่อ CU-RTC-Web

ไมโครซอฟท์ชี้ประเด็นที่ต้องเสนอมาตรฐานใหม่ว่า WebRTC ไม่เปิดช่องให้เบราว์เซอร์ทำงานร่วมกับโทรศัพท์ไอพีที่มีการติดตั้งไปจำนวนมากแล้วได้เลย และกระบวนการเชื่อมต่อก็ไปนำมาจากโปรโตคอล SIP ที่ค่อนข้างล้าหลัง

ไมโครซอฟท์อ้างว่ามาตรฐาน CU-RTC-Web นี้จะแก้ปัญหาของ WebRTC โดยเปิดให้นักพัฒนาเข้าควบคุมการส่งข้อมูลได้มากขึ้น เช่น การควบคุมแบนด์วิดท์ที่จะใช้งานจะมี API ทำให้สามารถควบคุมได้ว่าจะส่งข้อมูลมากน้อยแค่ไหน พร้อมกับลดขั้นตอนที่ไม่จำเป็นลงไปหลายส่วน

ปัญหาคือในตอนนี้ WebRTC นั้นได้รับการยอมรับไปแล้วจากสามเบราว์เซอร์หลักนอกจากไมโครซอฟท์ และคงยากที่จะให้อีกสามเบราว์เซอร์มายอมรับ CU-RTC-Web หากไมโครซอฟท์ยืนยันจะใช้มาตรฐานนี้ใน IE10 และไม่ยอมรับ WebRTC เราคงเห็นมาตรฐานแตกออกเป็นสองสาย

ที่มา - MSDN