lew | Blognone

Member for : Thu, 11/08/2005 - 11:15

ธนาคารธนชาต พร้อมเปลี่ยนบัตร ATM แบบชิป เริ่มให้บริการวันที่ 6 พฤษภาคมนี้

By lew

on 4 May 2016 - 14:25 Tag: Thailand, Banking, Bank of Thailand, Thanachart Bank

Thailand

เส้นตายการย้ายระบบบัตรเอทีเอ็มไปใช้งานบัตรชิปอยู่ที่วันที่ 16 พฤษภาคมนี้ ตอนนี้ธนาคารธนชาตก็ออกมาประกาศแล้วว่าจะเริ่มให้บริการตั้งแต่วันที่ 6 เป็นต้นไป

พบช่องโหว่ร้ายแรงใน ImageMagick รันโค้ดได้จากการอัพโหลดภาพ, ควรอัพเดตหรือแก้คอนฟิกทันที

By lew

on 4 May 2016 - 09:20 Tag: Security

Security

เมื่อคืนที่ผ่านมามีรายงานถึงช่องโหว่ CVE-2016-3714 ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถส่งคำสั่งเข้าไปรันบนเครื่องเซิร์ฟเวอร์ได้จากการฟิลเตอร์อินพุตที่ไม่ดีพอ

ไฟล์ภาพในฟอร์แมต SVG และ MVG เปิดให้ระบุถึงไฟล์เพิ่มเติมผ่าน HTTP/HTTPS ได้และเมื่อมีการเรียกไฟล์ภายนอกเช่นนี้ ตัว ImageMagick ก็จะเรียกคำสั่ง wget ผ่านฟังก์ชั่น system แฮกเกอร์สามารถใส่ URL ที่กระตุ้นให้มีการรันคำสั่งใดๆ เช่น https://example.com"|ls "-la ตัวคำสั่ง ls -la ก็จะถูกรันขึ้นมา

CloudFlare รองรับ HTTP/2 Server Push ยิงไฟล์แม้เบราว์เซอร์ยังไม่ได้ขอ

By lew

on 4 May 2016 - 02:33 Tag: Cloudflare, HTTP

Cloudflare

ฟีเจอร์หนึ่งของ HTTP/2 คือ Server Push ที่เปิดให้เซิร์ฟเวอร์สามารถส่งไฟล์ตามจากไฟล์แรกไปได้โดยที่ไม่ต้องรอเบราว์เซอร์อ่านไฟล์ HTML แล้วขอไฟล์อื่นๆ กลับมาเอง

ตัวอย่างไฟล์ที่ต้องส่งตามไปอยู่แล้ว เช่นไฟล์ CSS ที่ตามไปกับ HTML เสมอๆ แทนที่จะรอให้เบราว์เซอร์อ่าน HTML จนพบว่าต้องการ CSS เพิ่มเติมก็สามารถส่งไปให้เลยทันที

ตัวเว็บแอปพลิเคชั่นต้องรองรับฟีเจอร์นี้ และประกาศไฟล์ที่สามารถส่งต่อไปได้เลยไว้ใน HTTP header เป็นฟิลด์ Link

กองทุน CII สร้างป้ายแนะนำโครงการโอเพนซอร์สที่มีแนวการทำงานได้มาตรฐาน

By lew

on 4 May 2016 - 02:22 Tag: Core Infrastructure Initiative, Open Source, Security

Core Infrastructure Initiative

Core Infrastructure Initiative (CII) กองทุนที่สร้างขึ้นมาเพื่อสนับสนุนความปลอดภัยซอฟต์แวร์โอเพนซอร์ส ไม่ให้มีเหตุการณ์แบบ Heartbleed เป็นครั้งที่สอง ออกโครงการ Best Practices Badge ป้ายรับรองแบบรับรองตัวเองว่าโครงการโอเพนซอร์สใดมีแนวทางการทำงานที่ได้มาตรฐานบ้าง

ป้ายนี้หน้าตาเหมือนป้ายอื่นๆ ที่แปะในโครงการโอเพนซอร์สระบุความครอบคลุมของการทดสอบ หรือการสถานะการคอมไพล์รอบล่าสุด แต่การแปะป้ายนี้จะต้องให้ผู้ดูแลโครงการเข้าไปทำแบบสอบถามว่าผ่านเงื่อนไขต่างๆ หรือไม่

เงื่อนไขสำคัญๆ ได้แก่

OpenSSL ปล่อยแพตช์ความปลอดภัยความร้ายแรงสูงสองตัว

By lew

on 4 May 2016 - 01:47 Tag: OpenSSL, Security

OpenSSL

OpenSSL ปล่อยแพตช์ความปลอดภัยชุดเดือนพฤษภาคม โดยมีช่องโหว่ความร้ายแรงสูงสองรายการ

รายการแรกเป็นช่องโหว่การใช้หน่วยความจำของตัวเข้ารหัส ASN.1 จากบั๊กสองบั๊กที่ไม่ใช่บั๊กความปลอดภัย บั๊กแรกเจอตั้งแต่ปีที่แล้วโดยทีมงาน Red Hat และนักวิจัยอิสระ Hanno Böck และอีกบั๊กหนึ่งพบเมื่อต้นเดือนมีนาคมที่ผ่านมา จากการตรวจโค้ดด้วย libFuzzer ทีมงาน Project Zero วิเคราะห์ผลกระทบเมื่อแฮกเกอร์ใช้บั๊กทั้งสองรายการพบว่ามีความร้ายแรงสูงจึงรายงานไปยัง OpenSSL

Uber ขยายความร่วมมือ Alipay ใช้งานได้ 68 ประเทศทั่วโลก

By lew

on 3 May 2016 - 13:48 Tag: Alipay, Uber

Alipay

Uber ร่วมมือกับ Alipay ในการรับจ่ายเงินมาตั้งแต่ปี 2014 และเริ่มขยายประเทศที่รองรับ Alipay รวมไต้หวัน, ฮ่องกง, และมาเก๊า เมื่อต้นปีที่ผ่านมา ตอนนี้ทั้งสองบริษัทก็ประกาศขยายความร่วมมือเป็นทุกประเทศที่ Uber ให้บริการ รวม 68 ประเทศ

ความร่วมมือนี้จะทำให้ผู้ใช้ Alipay เมื่อเดินทางออกนอกจีนจะเห็นไอคอน Uber ขึ้นมา และสามารถกดเรียกรถได้จากแอปโดยตรง แต่เมื่ออยู่ในจีนจะต้องเรียกผ่านแอป Uber เท่านั้น

EMC เปิดตัว Virtustream Storage Cloud คลาวด์สตอเรจระดับองค์กร เน้นความทนทานข้อมูล

By lew

on 3 May 2016 - 13:35 Tag: EMC, Cloud Storage, Enterprise

EMC

EMC เปิดตัวบริการ Virtustream Storage Cloud ที่เน้นความน่าเชื่อถือในแง่ความคงทน (durability) ของข้อมูล โดยใช้ API แบบเดียวกับ AWS S3 ทำให้ทำงานร่วมกับแอปพลิเคชั่นเดิมๆ ได้ง่าย

บริการนี้จะมีสองระดับ ได้แก่ ระดับมาตรฐาน (Standard) ที่จะปกป้องข้อมูลอยู่ในเขตเดียวกัน และแบบพิเศษ (Premium) ที่จะสำรองข้อมูลข้ามเขตเพื่อเพิ่มความทนทาน ขณะที่รูปแบบการใช้งานก็มีสองระดับคือ แบบปกติ และแบบใช้งานไม่บ่อย (Infrequently Accessed)

รายงานวิเคราะห์ความปลอดภัย Samsung SmartThings เฟรมเวิร์คยังมีข้อจำกัด นำไปสู่การโจมตีได้ง่าย

By lew

on 3 May 2016 - 01:46 Tag: SmartThings, Internet of Things, Security, Samsung

SmartThings

ทีมวิจัยร่วมระหว่างมหาวิทยาลัยมิชิแกนและ Microsoft Research รายงานถึงการวิเคราะห์ความปลอดภัยของเฟรมเวิร์ค SmartThings ที่ตอนนี้อยู่ภายใต้ซัมซุง (รีวิวอุปกรณ์ใน Blognone) โดยวิเคราะห์เฟรมเวิร์คสำหรับส่วน SmartApps ที่เปิดให้พัฒนาเข้ามาพัฒนาแอปพลิเคชั่นควบคุมบ้านได้ พบว่ามีแนวโน้มที่เฟรมเวิร์คจะให้สิทธิ์กับแอปพลิเคชั่นเกินความจำเป็น จนกระทั่งทำให้แอปพลิเคชั่นสามารถเข้าถึงข้อมูลสำคัญๆ ได้ทั้งที่ฟังก์ชั่นการทำงานไม่จำเป็น

CloudFlare เปิด CDN ในไทย ใช้ศูนย์ข้อมูลของ JasTel

By lew

on 2 May 2016 - 21:33 Tag: Cloudflare, CDN

Cloudflare

CloudFlare บริการ CDN ชื่อดังที่ช่วยกระจายข้อมูลไปยังผู้ใช้ทั่วโลก เปิดศูนย์ข้อมูลในไทยโดยตั้งอยู่ที่ศูนย์ข้อมูลของ JasTel เป็นศูนย์ข้อมูลแห่งที่ 79 ของบริษัท และเป็นแห่งที่ 32 ในเอเชีย จากเดิมที่ต้องเชื่อมต่อไปยังศูนย์ข้อมูลในฮ่องกง หรือสิงคโปร์

ลิงก์ DigitalOcean มีปัญหา บริการคลาวด์บางส่วนเชื่อมต่อไม่ได้

By lew

on 29 April 2016 - 13:59 Tag: DigitalOcean, Cloud Computing

DigitalOcean

เมื่อช่วงเที่ยงที่ผ่านมาลิงก์เข้าออกจากสิงคโปร์มีปัญหาหลายจุดทำให้การเชื่อมต่อบางส่วนมีปัญหา Blognone เองพบว่าผู้ใช้จากบาง ISP ไม่สามารถเข้าเว็บได้ (เพราะมี CDN อยู่ที่สิงคโปร์)

ลิงก์ที่มีการแจ้งปัญหาเป็นลิงก์เข้าออกไปยัง DigitalOcean ผมพบว่า ISP ในไทยเองหลายรายก็ไม่สามารถเชื่อมต่อได้

สนช. ผ่านพ.ร.บ. คอมพิวเตอร์ฯ วาระแรก: แจ้งเตือนลบข้อมูล, บล็อคเว็บแม้ไม่ผิดกฎหมาย

By lew

on 29 April 2016 - 11:57 Tag: Law, Thailand

Law

เมื่อวานนี้สภานิติบัญญัติแห่งชาติโหวตผ่านร่างพ.ร.บ.ว่าด้วยความผิดเกี่ยวกับคอมพิวเตอร์ ฉบับใหม่มีการแก้ไข้เนื้อหาหลายอย่าง สำหรับคนทำงานไอทีโดยทั่วไป จุดสำคัญของร่างนี้ที่ผมพบคงมี 3 จุดสำคัญ

Google Apps for Work ได้รับการรับรอง ISO 27017 และ ISO 27018

By lew

on 29 April 2016 - 01:29 Tag: Google, Enterprise, Cloud, Google Apps

Google

กูเกิลประกาศผลการรับรองมาตรฐานรอบล่าสุดสำหรับบริการ Google Apps for Work ที่ได้รับการรับรองเพิ่มเติมสองมาตรฐาน ได้แก่ ISO 27017 สำหรับความปลอดภัย และ ISO 27018 สำหรับความเป็นส่วนตัว

ISO 27017 จะตรวจสอบว่าความรับผิดชอบด้านความปลอดภัยของกูเกิลและลูกค้าแบ่งกันชัดเจน, ข้อมูลของลูกค้าถูกปกป้องจากผู้ที่ไม่ได้รับอนุญาตและลูกค้ารายอื่นๆ, นโยบายสำหรับเครือข่ายเสมือนปลอดภัยเท่าๆ กับเครือข่ายจริง, และลูกค้ามีเครื่องมือเพียงพอที่จะตรวจสอบว่ากูเกิลดูแลข้อมูลอย่างไร

เอชพีเปิดตัว Chromebook 13 เครื่องระดับสูงสำหรับธุรกิจและการใช้งานในบ้าน

By lew

on 29 April 2016 - 01:17 Tag: HP, Chromebook

เอชพีเปิดตัว Chromebook 13 โครมบุ๊กระดับสูงที่มีสเปคเหนือกว่าโครมบุ๊กราคาประหยัดทั่วไปหลายอย่าง ทั้งหน้าจอ, ซีพียู, และการเชื่อมต่อ

ตัวซีพียูใช้ Core รุ่นที่ 6 เริ่มจาก Pentium 4405Y ไปจนถึง Core M7 แรมเริ่มต้นที่ 4GB ไปถึง 16GB หน่วยความจำแฟลช 32GB เท่ากันทุกรุ่น และหน้าจอเริ่มตั้งแต่ 1080p ไปจนถึง QHD+ (3200 x 1800) สำหรับจอ 1080p จะมีจอด้านให้เลือก แต่ QHD+ จะเป็นจอกระจกเท่านั้น

PCI DSS 3.2 มาแล้ว: แอดมินต้องใช้การล็อกอินสองขั้นตอนทุกกรณี

By lew

on 28 April 2016 - 15:27 Tag: Open Standard, Security, PCI-DSS, Information Security

Open Standard

มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน

ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน

สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด

ขยันเรียนก็ซื้อ Humble Bundle ได้ Humble Book Bundle Hacking รวมหนังสือความปลอดภัย

By lew

on 28 April 2016 - 14:08 Tag: Humble Bundle, Book, Security

Humble Bundle

Humble Bundle อาจจะดังมาจากการขายเกมเป็นแพ็กในราคาถูกแต่อีกหมวดหนึ่งที่ผมใช้งานบ่อยๆ คือหมวดหนังสือ ล่าสุดก็มี Humble Book Bundle Hacking จากสำนักพิมพ์ No Starch Press รวมหนังสือความปลอดภัยและความเป็นส่วนตัวมาในชุดเดียว

Node.js ออกรุ่น 6.0 LTS

By lew

on 28 April 2016 - 09:19 Tag: Node.js, Open Source

Node.js

โครงการ Node.js ประกาศออกรุ่น 6.0 หลังจากออกรุ่น 5.0 เมื่อหกเดือนก่อน โดยรุ่น 6.0 จะเป็นรุ่นซัพพอร์ตระยะยาว (long term support - LTS) ระหว่างนี้รุ่น 5.0 จะมีเวลาซัพพอร์ตไปอีกสองเดือนเพื่อให้เวลาในการอัพเกรด

Node.js 6.0 จะรองรับ ECMAScript 6 แล้วถึง 93% จากการอัพเกรดเอนจิน V8 การอัพเกรด ส่วนการอัพเกรดฟังก์ชั่นภายในนั้นเป็นการอัพเกรดย่อยๆ เป็นส่วนใหญ่

รุ่นนี้จะมีอายุซัพพอร์ตแบบแอคทีฟไปอีก 12 เดือน และหลังจากนั้นจะเข้าสู่โหมดซัพพอร์ตระยะยาวที่จะแก้เฉพาะบั๊กความปลอดภัยและบั๊กร้ายแรงเท่านั้นอีก 18 เดือน ดังนั้นหากใครเริ่มใช้งานตั้งแต่ตอนนี้ก็จะหมดอายุใช้งานช่วงปลายปี 2019

สิ่งที่ควรรู้ก่อนจะเตรียมใช้ VoWiFi แทน Roaming

By lew

on 27 April 2016 - 09:48 Tag: dtac, Samsung

dtac

dtac เปิดตัวบริการ VoWiFi มาตั้งแต่เดือนมีนาคมที่ผ่านมา บริการนี้ทำให้เราสามารถโทรผ่านเครือข่าย dtac ได้ไม่ว่าเราจะอยู่ที่ไหน ทำให้สามารถใช้บริการทดแทนการโทรโรมมิ่งข้ามเครือข่ายได้ บริการนี้ผมมองว่าน่าสนใจอย่างมาก เพราะตัวผมเองก็พยายามแฮก Raspberry Pi ให้ใช้งานได้แบบเดียวกันมาแล้ว

ช่วงเดือนที่ผ่านมาผมมีโอกาสไปต่างประเทศและทดสอบฟีเจอร์นี้ ด้วยความช่วยเหลือของซัมซุงที่ให้โทรศัพท์ Galaxy S6 edge มายืมใช้งาน หลังจากลองใช้งานจริงมาพักหนึ่งก็พบสิ่งที่ควรตระหนักบางข้อครับ

BlackBerry PRIV ได้รับ Marshmallow วันที่ 3 พฤษภาคมนี้

By lew

on 27 April 2016 - 09:18 Tag: Marshmallow, BlackBerry

Marshmallow

BlackBerry ยังโชว์ว่า PRIV ยังได้อัพเดตต่อเนื่อง โดยจะเริ่มได้รับอัพเดต Marshmallow วันที่ 3 พฤษภาคมนี้หลังจากทดสอบแบบเบต้ามาไม่ถึงหนึ่งเดือน

Marshmallow บน PRIV ยังเพิ่มฟีเจอร์ความสามารถเพิ่มเติม เช่น การปรับแต่งสิทธิของแอปด้วย DTEK ให้ละเอียดขึ้น, คีย์บอร์ดรองรับการรูดเพื่อเดาคำ, BlackBerry Hub รองรับแอปพลิเคชั่นเพิ่มเติม เช่น Instagram, Skype, Slack, และ Pinterest

แม้ว่าต้องรอหลายเดือนกว่าจะได้ Marshmallow แต่ BlackBerry ก็เคยรายงานว่าอัพเดตแพตช์ความปลอดภัยนั้นได้รับหลังจากกูเกิลปล่อยแพตช์แทบจะทันทีทั้งสี่รอบที่ผ่านมา

คุยกับผู้บริหารเพนกวิน, MVNO รายล่าสุดของไทย

By lew

on 26 April 2016 - 19:40 Tag: Thailand, MVNO, Penguin SIM, Mobile

Thailand

เพนกวินเป็น MVNO รายใหม่ของไทยที่เพิ่งเปิดตัวไปเมื่อเดือนมีนาคมที่ผ่านมา ตอนนี้ผ่านมาเกือบสองเดือนทางผู้บริหารของเพนกวินก็เชิญบล็อกเกอร์มาพูดคุยกัน ผมสรุปคำถามบางส่วนในงานมาครับ

สถานะการณ์ของเพนกวินตอนนี้มีซิมที่ขายออกไปแล้วประมาณ 100,000 เลขหมาย และผู้ใช้งานที่แอคทีฟจริงๆ อยู่ที่ประมาณ 70,000-80,000 เลขหมาย โดยมีซิมที่อยู่ในช่องทางจำหน่ายกำลังกระจายออกไปอีก 200,000 ซิม โดยเป้าหมายของซิมเพนกวินคือตั้งใจจะให้เป็นซิมราคาประหยัด

คณะกรรมาธิการยุโรปเตรียมลงทุนพันล้านยูโร วิจัยคอมพิวเตอร์ควันตัม

By lew

on 26 April 2016 - 14:21 Tag: European Commission, Quantum Computer

European Commission

คณะกรรมาธิการยุโรป (European Commission) ประกาศเตรียมลงทุนพันล้านยูโรสำหรับการพัฒนาเทคโนโลยีควันตัม มีกำหนดเริ่มโครงการในปี 2018

โครงการนี้เป็นส่วนหนึ่งของ European Cloud Initiative ที่จะลงทุนระบบคลาวด์รวม 6.7 พันล้านยูโร ส่วนหลักๆ เป็นโครงสร้างสำหรับการจัดการข้อมูล 3.5 พันล้านยูโร โครงการเทคโนโลยีควันตัมพันล้านยูโร และโครงการอื่นๆ

รายละเอียดโครงการนี้จะประกาศเพิ่มเติมในงาน Quantum Europe Conference กลางเดือนพฤษภาคมนี้