Open Standard

PCI DSS 3.2 มาแล้ว: แอดมินต้องใช้การล็อกอินสองขั้นตอนทุกกรณี

By lew

on 28 April 2016 - 15:27 Tag: Open Standard, Security, PCI-DSS, Information Security

Open Standard

มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน

ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน

สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด

วิศวกรกูเกิลเสนอมาตรฐาน WebUSB เลิกใช้ไดรเวอร์ สั่งอุปกรณ์ตรงผ่านเว็บ

By lew

on 13 April 2016 - 22:10 Tag: USB, Google, Web, Open Standard

USB

Reilly Grant และ Ken Rockot สองวิศวกรจากกูเกิลกำลังร่างมาตรฐาน WebUSB เพื่อเปิดทางให้อุปกรณ์ USB สามารถรับคำสั่งตรงจากเว็บได้โดยตรง

แนวทางนี้เป็นการแก้ปัญหาไดรเวอร์ที่ต้องติดตั้งเอง โดยหากมาตรฐานนี้ได้รับการยอมรับ อุปกรณ์จะสามารถประกาศได้ว่าตัวเองต้องการรับคำสั่งตรงจากเว็บใด และเบราว์เซอร์จะแจ้งให้ผู้ใช้เข้าเว็บนั้นๆ เพื่อไปอนุญาตให้เว็บเข้าถึงอุปกรณ์ได้

อัลกอริทึมแฮช BLAKE2 เป็นมาตรฐาน RFC7693 แล้ว

By lew

on 10 November 2015 - 13:13 Tag: Security, Open Standard, Cryptography, IETF, Hash

Security

BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF

กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว

HSTS สามารถใช้เปิดเผยประวัติการท่องเว็บได้

By lew

on 29 October 2015 - 02:58 Tag: Privacy, Browser, Open Standard, HTTPS

Privacy

มาตรฐาน HTTP Strict Transport Security (HSTS) ใช้เพื่อป้องกันไม่ให้เว็บเบราว์เซอร์เข้าเว็บผ่าน HTTP ในกรณีที่ผู้ใช้ไม่ได้ระบุ URL เป็น HTTPS โดยตรง เว็บเซิร์ฟเวอร์จะแจ้งเบราว์เซอร์ให้จำโดเมนว่าจำเป็นต้องเข้าผ่าน HTTPS เท่านั้น และเบราว์เซอร์จะไม่เข้าเว็บผ่าน HTTP อีกเลยตลอดช่วงเวลาที่กำหนด

Yan Zhu (@bcrypt) นำเสนอแนวทางการตรวจสอบประวัติการเข้าเว็บด้วยการจับเวลาการเข้าเว็บ ประกอบเข้ากับนโยบาย Content Security Policy (CSP) ที่สามารถกำหนดให้โหลดภาพผ่าน HTTP (ไม่เข้ารหัส) เท่านั้น ซึ่งเป็นนโยบายที่ไม่ค่อยมีใครทำกันแต่ก็สามารถใช้งานได้

กูเกิลและยาฮูประกาศรองรับมาตรฐานการยืนยันตัวตนผู้ส่งอีเมล DMARC

By lew

on 21 October 2015 - 18:50 Tag: Google, Yahoo!, Open Standard, IETF, Email

Google

กูเกิลและยาฮูประกาศรองรับมาตรฐาน DMARC ที่เสนอโดยยาฮู เพื่อยืนยันว่าผู้ส่งเป็นเจ้าของบัญชีจริง มาตรฐานนี้ผ่านเป็น rfc7489 เมื่อต้นปีที่ผ่านมา

ทั้งสองบริษัทประกาศร่วมกันที่จะรองรับมาตรฐานนี้โดยเร็ว ทางฝั่งยาฮูนั้นจะรองรับมาตรฐานนี้บนโดเมน ymail.com และ rocketmail.com ตั้งแต่เดือนพฤศจิกายนนี้ หลังจากเปิดใช้งานบน Yahoo! Mail ไปตั้งแต่ปีที่แล้ว ส่วนกูเกิลจะเริ่มรองรับเต็มรูปแบบภายในเดือนมิถุนายนปีหน้า

กูเกิลเสนอ Brotli ขั้นตอนวิธีบีบอัดเว็บแบบใหม่ บีบอัดได้มาก, ขยายได้เร็ว

By lew

on 23 September 2015 - 01:51 Tag: Google, Open Source, Internet, Web, Open Standard

Google

กูเกิลเปิดขั้นตอนวิธีบีบอัดเว็บแบบใหม่สู่สาธารณะครั้งแรกเมื่อปี 2013 ในชื่อ Zopfli ที่เป็นตัวบีบอัดไฟล์ในฟอร์แมต DEFLATE ที่ข้อมูลเล็กลงแต่เบราว์เซอร์สามารถใช้ตัวขยายเดิมได้ทันที ตอนนี้กูเกิลก็พัฒนาฟอร์แมตใหม่ในชื่อ Brotli มีจุดเด่นที่อัตราการบีบอัดสูง ขณะที่ประสิทธิภาพการขยายไฟล์ก็ยังสูงอยู่ด้วย

Brotli ใช้เทคนิคสมัยใหม่ ทำให้อัตราการบีบอัดดีกว่าขั้นตอนวิธีเดิมๆ ประสิทธิภาพการบีบอัดไฟล์ของ Brotli แย่กว่า gzip มาก โดยรวมแล้วข้อมูลจะเล็กกว่าการบีบอัดด้วย Zopfli (ซึ่งไม่ต้องแก้ไขเบราว์เซอร์) อยู่ 20-26%

มาตรฐานการใช้งานโดเมน .onion ผ่าน IANA เตรียมร่างเป็น RFC

By lew

on 10 September 2015 - 15:18 Tag: Internet, Privacy, Tor, Open Standard, IANA

Internet

โดเมน .onion เป็นโดเมนพิเศษของเครือข่าย Tor ที่พิสูจน์ความเป็นเจ้าของโดเมนด้วยกุญแจลับที่ใช้เชื่อมต่อเท่านั้น โดเมนที่โด่งดังเช่น facebookcorewwwi.onion สำหรับการเข้าเฟซบุ๊กผ่าน Tor แม้ที่ผ่านมาโดเมนนี้จะทำงานได้เป็นอย่างดี แต่ทาง Tor ร่วมกับวิศวกรของเฟซบุ๊กก็เสนอร่างมาตรฐานใหม่ให้การใช้โดเมนนี้มีความเป็นส่วนตัวมากขึ้น

ซ่อนใบไม้ต้องซ่อนในป่า ข้อเสนอใหม่กำหนดมาตรฐานส่วนเสริม HTTP/2 สำหรับใช้ VPN

By lew

on 7 September 2015 - 19:42 Tag: Open Standard, VPN, IETF

Open Standard

มาตรฐาน HTTP/2 แก้ปัญหาของ HTTP 1/1.1 ไปหลายอย่าง ทำให้ข้อมูลสามารถส่งได้อย่างมีประสิทธิภาพดีขึ้นมากโดยเฉพาะการส่งข้อมูลขนาดเล็ก ตอนนี้ Mark Nottingham ประธานกลุ่มพัฒนา HTTP/2 ก็โพสข้อเสนอใหม่สู่ IETF เสนอให้มีส่วนเสริมของ HTTP/2 เพื่อใช้เป็นโปรโตคอลสำหรับ VPN

การใช้ VPN ผ่าน HTTP/2 จะมีข้อดีสำคัญคือการดักจับข้อมูลเพื่อบล็อคบริการ VPN จะทำได้ยากขึ้น เพราะภายนอกแล้วมันจะเหมือนกับ HTTP/2 ทั่วไปทุกประการ

NIST ถอด Dual_EC_DRBG ออกจากคำแนะนำอย่างเป็นทางการ

By lew

on 29 June 2015 - 13:34 Tag: Security, Open Standard, NIST

Security

หลังการเปิดเผยเอกสารของ Snowden มาตรฐานความปลอดภัยส่วนหนึ่งที่ถูกโจมตีอย่างหนักคือ Dual_EC_DRBG ที่เอกสารของ NSA ระบุว่าทาง NSA เป็นผู้วางมาตรฐานนี้เองทั้งหมด เมื่อมีการค้นคว้าเพิ่มเติมพบว่ามาตรฐานนี้ได้เข้ามาในคำแนะนำของ NIST อย่างน่าสงสัยเพราะประสิทธิภาพแย่และมีความเป็นไปได้ที่จะวางช่องโหว่เอาไว้ เมื่อปีที่แล้วทาง NIST พยายามรักษาหน้าด้วยการออกร่างคำแนะนำใหม่ที่ถอด Dual_EC_DRBG ออกไปจากมาตรฐาน และตอนนี้ร่างคำแนะนำก็กลายเป็นเอกสารทางการแล้ว

Unicode พิจารณาอีโมจิใหม่ 38 ภาพเข้ามาตรฐาน Unicode 9.0 มีไอคอนเซลฟี่, facepalm, เป็ด, เบคอน, แตงกวา

By lew

on 26 May 2015 - 12:59 Tag: Open Standard, Unicode

Open Standard

กลุ่ม Unicode Consortium รับภาพอีโมจิ 38 ภาพเพื่อเข้าสู่กระบวนการพิจารณารวมไว้ในมาตรฐาน Unicode 9.0 ที่จะออกกลางปี 2016 โดยภาพหลายภาพเป็นภาพที่ได้รับความนิยมสูงในชุมชนออนไลน์อยู่แล้วจึงถูกเสนอเข้ามาในมาตรฐาน

ภาพที่เพิ่มเข้ามาที่ทั้งกลุ่มภาพไอคอนภาษามือ เช่น จับมือ, กำปั้น, โทรหา, เซลฟี่, หรือ facepalm ภาพกลุ่มท่าทาง เช่น คนเต้น, คนใส่สูท, หัวเราะจนนอนกับพื้น และภาพของกินอื่นๆ เช่น ครัวซอง, แตงกวา, เบคอน, มันฝรั่ง

ภาพทั้งหมดยังเป็นข้อเสนอและไม่ควรนำรหัสไปใช้งานจริง

ที่มา - Unicode Blog

HTTP/2 ประกาศเป็น rfc7540 แล้ว

By lew

on 15 May 2015 - 13:28 Tag: Open Standard, RFC, HTTP, IETF

Open Standard

HTTP/2 เตรียมประกาศเป็นมาตรฐานมาตั้งแต่เดือนกุมภาพันธ์ เมื่อวานนี้ทาง IETF ก็เผยแพร่เอกสารเป็น rfc7540 เป็นทางการแล้ว

RFC หรือ request for comments เป็นเอกสารที่ไม่ได้ขอความเห็นตามชื่อของมันเท่าใดนัก เพราะเอกสารที่ประกาศเป็น RFC จะเป็นมาตรฐานขั้นสุดท้ายที่ไม่มีการแก้ไขอีก จะมีเฉพาะการประกาศ RFC ใหม่เพื่อทดแทน RFC เดิมเท่านั้น

ที่มา - The Register

Red Hat เรียกร้องให้มีมาตรฐานวงการ Container, เสนอให้ใช้ Docker/Kubernetes

By mk

on 9 May 2015 - 00:35 Tag: Red Hat, Open Standard, Container, Kubernetes, Docker

Red Hat

ศึกมาตรฐานของวงการ container เข้มข้นขึ้นเรื่อยๆ บริษัทรายล่าสุดที่ลงมาร่วมวงคือ Red Hat ที่ประกาศตัวชัดเจนว่ายืนอยู่ข้างเดียวกับ Docker

Red Hat ออกมาบอกว่าโลกของ container ควรมีมาตรฐานเปิด (open standard) เพื่อให้เทคโนโลยีทำงานข้ามกันได้ และเสนอแนวทางมาตรฐานสำหรับเทคโนโลยี 4 ระดับ

[April Fools] กลุ่มทำงานภาษา C++, C, Objective-C, C#, COBOL ประกาศรวมภาษากลับเป็นหนึ่งเดียว

By lew

on 2 April 2015 - 08:16 Tag: Development, Open Standard, April Fools, Programming, C#, COBOL, C, Objective-C

Development

กลุ่มทำงาน (Working Group) การพัฒนาภาษาโปรแกรมบนมาตรฐาน ISO กลุ่ม WG11 (ภาษา C) และ WG16 (C++) ตกลงกันว่าจะรวมตัวภาษากลับมาเป็นภาษาเดียวกันอีกครั้งในปี 2016

เมื่อข่าวนี้ไปถึงกลุ่มทำงานของภาษาอื่นๆ กลุ่มทำงานที่แสดงความสนใจเข้าร่วมทันทีคือ Objective-C และเมื่อส่งอีเมลภายในออกไปไม่กี่ชั่วโมง ภาษา C# ก็แสดงความสนใจเข้าร่วมกันด้วยเช่นกัน ที่น่าแปลกใจคือ WG4 (COBOL) ระบุว่าสนใจพัฒนาภาษาใหม่นี้ด้วย เพื่อเผยแพร่การตั้งชื่อเป็นตัวอักษรใหญ่ในภาษาใหม่นี้ต่อไป

มีภาษาอื่นๆ ที่สนใจเข้าร่วมแต่ถูกปฎิเสธ ได้แก่ JavaScript, Rust, และ Snobol เนื่องจากไม่มีตัวซีใหญ่ในชื่อภาษา

น้ำตาจะไหล RFC20 มาตรฐาน ASCII เลื่อนขั้นเป็นมาตรฐานอินเทอร์เน็ตเต็มตัว

By lew

on 28 January 2015 - 16:35 Tag: Open Standard, IETF

Open Standard

มาตรฐาน ASCII ที่เราใช้พิมพ์ภาษาอังกฤษในคอมพิวเตอร์ทุกวันนี้ นับตั้งแต่ตัวอักษร, เครื่องหมาย, คำสั่ง เช่น ลบหรือขึ้นบรรทัดใหม่ ล้วนถูกกำหนดไว้ในตาราง ASCII ที่เขียนกำหนดไว้ใน RFC20 โดย Vint Cerf มาตั้งแต่ปี 1969 ผ่านมา 46 ปีตอนนี้ RFC20 ได้รับสถานะ "มาตรฐานอินเทอร์เน็ต" เต็มรูปแบบจาก IETF แล้ว

เหตุที่ RFC20 เพิ่งได้รับสถานะมาตรฐานอินเทอร์เน็ตเพราะมันถูกเขียนมาก่อนจะมีกระบวนการรับรองมาตรฐานอินเทอร์เน็ต ทำให้เอกสารอยู่ในสภาพไร้สถานะใน IETF มาโดยตลอด

NIST ออกร่างการพัฒนามาตรฐานใหม่ จัดความสัมพันธ์กับ NSA, ระบุชื่อคนพัฒนามาตรฐาน

By lew

on 27 January 2015 - 07:55 Tag: Security, Open Standard, Information Security, NIST

Security

หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง

ไฟร์ฟอกซ์เตรียมรองรับ meta referrer ในรุ่นต่อไป เก็บสถิติเว็บเข้ารหัสได้แล้ว

By lew

on 16 January 2015 - 21:16 Tag: Privacy, Firefox, Open Standard

Privacy

ในยุคหนึ่งการเก็บสถิติว่ามีคนเข้าเว็บจากช่องทางใดจะเก็บได้อย่างแม่นยำมาก เพราะเว็บส่วนมากไม่เข้ารหัส และส่ง URL ต้นทาง หรือที่เรียกว่า referrer ไปให้เว็บปลายทางทุกครั้งที่กดลิงก์ แต่สำหรับเว็บที่เข้ารหัสเป็น HTTPS เมื่อผู้ใช้กดลิงก์ เบราว์เซอร์จะไม่ส่งค่า referrer ไปให้เว็บปลายทาง ตอนนี้ไฟร์ฟอกซ์ก็เตรียมรองรับมาตรฐานใหม่เพื่อแก้ปัญหานี้

เจ้าของไม่เอาด้วย: John Gruber ไม่ยอมรับ Standard Markdown

By wiennat

on 5 September 2014 - 13:38 Tag: Open Standard

Open Standard

ผ่านไปยังไม่ทันข้ามวัน Standard Markdown ที่เพิ่งเปิดตัวออกมาก็โดน John Gruber ที่เป็นเจ้าของและผู้พัฒนาดั้งเดิมของ Markdown สั่งให้เปลี่ยนชื่อโครงการไปแล้วเรียบร้อย

เว็บใหญ่รวมพลังสร้างมาตรฐาน Markdown

By lew

on 5 September 2014 - 12:10 Tag: Open Standard

Open Standard

ภาษากำกับข้อความ (markup) แบบหนึ่งที่ได้รับความนิยมตามเว็บค่อนข้างมาก คือ Markdown ที่พัฒนาโดย John Gruber มาตั้งแต่ปี 2004 จุดเด่นของมันคือการเขียนที่ค่อนข้างเป็นธรรมชาติ หากใครเขียนเอกสารด้วยไฟล์เท็กซ์อยู่แล้วก็สามารถเปลี่ยนเป็น HTML ได้โดยแทบไม่ต้องปรับตัว

ปัญหาของ Markdown คือมันมีสเปคเป็นบล็อกของ Gruber เพียงบล็อคเดียว การอิมพลีเมนต์หลายชุดต่างกันไปโดยไม่มีการรับประกันความเข้ากันได้ ทำให้มีความต่างกันระหว่างตัวแปลง Markdown ต่างๆ อยู่เสมอ ที่ผ่านมามีกลุ่มพยายามทำชุดทดสอบเพื่อแก้ปัญหาความเข้ากันได้แต่ไม่ได้รับความนิยมนัก

ลาก่อนมาตรฐานเปิด Blink ยกเลิกแผนรองรับมาตรฐาน Pointer Events

By lew

on 17 August 2014 - 02:47 Tag: Apple, Web, Open Standard, W3C, Blink

Apple

ปัญหามาตรฐานเปิดสำหรับการรับอินพุตบนหน้าจอสัมผัสเป็นปัญหามายาวนานจนกระทั่งไมโครซอฟท์เคยทำแพตช์ให้ WebKit เพื่อให้รองรับมาตรฐานเปิด Pointer Events ตั้งแต่ปี 2012 แต่ล่าสุดมาตรฐาน Pointer Events ก็ดูจะพ่ายแพ้ต่อ Touch Events API ของแอปเปิลแล้วเมื่อ Blink ประกาศไม่รองรับ Pointer Events

มาตรฐาน USB 3.1 ออกแล้ว หัวต่อ Type-C แบบเสียบได้สองด้านเข้ามาตรฐานเป็นทางการ

By lew

on 13 August 2014 - 13:25 Tag: USB, Open Standard

USB

เมื่อวานนี้ทางกลุ่ม USB-IF ประกาศชุดมาตรฐาน USB 3.1 ปรับปรุงมาตรฐานเพิ่มเติมอีกหลายอย่าง มีสองมาตรฐานที่สำคัญคือ มาตรฐานหัวต่อ USB Type-C ที่สามารถเสียบหัวต่อได้ทั้งสองด้าน

การออกเป็นมาตรฐานเป็นทางการทำให้ผู้ผลิตสามารถนำไปผลิตอุปกรณ์ได้แล้ว หลังจากนี้เราน่าจะเริ่มเห็นอุปกรณ์ที่ใช้หัวแบบ Type-C กันในเร็วๆ นี้

หัวแบบ Type-C จะมีขนาดเท่าๆ กับหัว Micro-B แต่ทนทานต่อสัญญาณรบกวนได้ดีกว่า และตัวหัวต่อรองรับการจ่ายไฟได้สูงสุดถึง 5A หรือ 25W

นอกจากนี้มาตรฐานที่ออกมาพร้อมกันคือ USB-PD สำหรับการชาร์จไฟผ่านพอร์ต USB

Subscribe to Open Standard