lew | Blognone

Member for : Thu, 11/08/2005 - 11:15

IETF เสนอโค้ดตอบกลับ HTTP 451 สำหรับการบล็อคเว็บโดยรัฐบาล

By lew

on 21 December 2015 - 12:34 Tag: Internet Censorship, IETF

Internet Censorship

ร่างเอกสาร IETF นำเสนอโดยเสนอให้โค้ด HTTP 451 เป็นโค้ดสำหรับการบล็อคเว็บสำหรับรัฐบาล โดยเปิดช่องทางให้เปิดเผยหน่วยงานที่สั่งบล็อคเว็บและช่องทางติดต่อกลับ

ชื่อเต็มของ HTTP 451 คือ "Unavailable For Legal Reasons" ตัวเลขรหัส 451 น่าจะล้อเลียนมาจากหนังสือเรื่อง Fahrenheit 451 ที่พูดถึงโลกอนาคตที่รัฐบาลปิดกั้นการรับรู้ข้อมูลด้วยการเผาหนังสือ

ตัวอย่างหน้าเว็บที่ถูกบล็อคดังนี้

PCI SSC ประกาศเลื่อนบังคับใช้ TLS 1.1 ไปอีกสองปี

By lew

on 21 December 2015 - 12:04 Tag: Security, PCI-DSS

Security

PCI SSC หน่วยงานผู้ออกมาตรฐานความปลอดภัย PCI DSS ประกาศเลื่อนการบังคับให้หน่วยงานที่ได้รับรองเลิกใช้ SSL ทุกรุ่น และ TLS 1.0 แล้วหันไปใช้ TLS 1.1 ไปอีกสองปี จากเดิมกำหนดเส้นตายไว้เดือนมิถุนายน 2016 เป็นเดือนมิถุนายน 2018

ทาง PCI SSC ระบุว่าได้รับเสียงแสดงความเห็นจากอุตสาหกรรม ระบุว่าระยะเวลาเปลี่ยนเทคโนโลยีน้อยเกินไปเพราะบริการบางรายเชื่อมต่อกับลูกค้านับพันราย และยังมีประเด็นการปรับเปลี่ยนใบรับรองให้เลิกใช้ใบรับรอง SHA-1 ภาระของผู้ให้บริการรับจ่ายเงินจึงมากอยู่แล้ว

FBI เข้าตรวจสอบโค้ดลับในไฟร์วอลล์ Juniper นักวิจัยเริ่มพบรหัสผ่านลับแล้ว

By lew

on 19 December 2015 - 17:47 Tag: Security, USA, FBI, Juniper

Security

โค้ดลับในไฟร์วอลล์ของ Juniper Networks ถูกฝังโค้ดลับเอาไว้ทำให้แฮกเกอร์สามารถล็อกอินด้วยสิทธิ์ผู้ดูแลระบบได้หากรู้รหัสผ่านลับ วันนี้ทาง CNN ก็รายงานว่า FBI กำลังเข้าตรวจสอบโค้ดนี้ เพราะอาจจะถูกฝังมาเพื่อเจาะเครือข่ายของรัฐบาลได้

ตอนนี้ยังไม่แน่ชัดว่ามีหน่วยงานรัฐบาลใดบ้าง ทางกระทรวงความมั่นคง (Department of Homeland Security) ระบุว่ากำลังค้นหาอยู่ว่ามีหน่วยงานใดใช้ ScreenOS อยู่บ้าง

เครือข่ายพลเมืองเน็ตเรียกร้องรัฐบาล ต้องสนับสนุนการตรวจสอบ

By lew

on 19 December 2015 - 16:45 Tag: Internet Censorship, Thailand

Internet Censorship

ช่วงเดือนที่ผ่านมาในไทยมีการจับกุมจากเหตุการณ์บนอินเทอร์เน็ตหลายครั้ง ทางเครือข่ายพลเมืองเน็ตก็ออกแถลงการณ์ระบุว่าเจ้าหน้าที่รัฐกระทำการอย่างเป็นปัญหาต่อสิทธิและเสรีภาพ และตีความกฎหมายเกินตัวบท โดยแถลงความเห็น 4 ประเด็น

Juniper ตรวจพบโค้ดใน ScreenOS เปิดช่องให้แฮกเกอร์เข้าจัดการเครื่องได้, ถอดรหัส VPN

By lew

on 18 December 2015 - 14:05 Tag: Security, Juniper

Security

Juniper Networks ประกาศอัพเดตนอกรอบ เนื่องจากตรวจสอบโค้ดของ ScreenOS รุ่น 6.2.0r15 ถึง 6.2.0r18 และ 6.3.0r12 ถึง 6.3.0r20 พบว่ามีโค้ดที่ไม่ได้รับอนุญาตโผล่เข้ามา โค้ดนี้จะเปิดช่องทางให้คนที่รู้ช่องโหว่สามารถล็อกอินด้วยผู้ใช้ "system" เข้ามาในระบบได้ ขณะที่อีกช่องโหว่หนึ่งเปิดช่องให้แฮกเกอร์สามารถถอดรหัสการเชื่อมต่อ VPN ได้

ช่องโหว่นี้ถูกจัดระดับความร้ายแรง CVSS อยู่ที่ 9.8 คะแนนเป็นระดับวิกฤติ ผู้ดูแลระบบควรอัพเดตไปใช้ ScreenOS รุ่นล่าสุดโดยเร็ว

V8 ปรับปรุงคุณภาพเลขสุ่ม จับรูปแบบได้ยากขึ้น เริ่มใช้ใน Chrome 49

By lew

on 17 December 2015 - 21:44 Tag: Open Source, Chrome

Open Source

เอนจินจาวาสคริปต์ V8 ที่เป็นพื้นฐานสำคัญของโครม อิมพลีเมนต์ฟังก์ชั่น Math.random() ด้วยฟังก์ชั่น MWC1616 มาโดยตลอด แต่หลังจากรุ่น 4.9.41.0 จะปรับเป็นฟังก์ชั่น xorshift128+

ฟังก์ชั่น MWC1616 ทำงานได้เร็วและเรียบง่าย แต่ปริมาณเลขสุ่มที่ผลิตได้ก่อนจะเริ่มซ้ำไม่มากนัก ในกรณีที่ดีที่สุดอาจจะได้ถึง 2^32 บิต แต่บางสถานะเริ่มต้นก็สร้างเลขซ้ำหลังจากสุ่มไปเพียง 40 ล้านบิต ในแง่สถิติแล้วก็มีคุณสมบัติไม่ดีนัก ขณะที่ฟังก์ชั่น xorshift128+ มีคุณบัติที่ดีกว่ามาก สามารถสร้างเลขสุ่มได้ถึง 2^128 - 1 บิต และคุณสมบัติทางสถิติก็ดีกว่า

Project Zero แจ้งเตือนแฮกเกอร์ส่งโค้ดเข้าไปรันในเซิร์ฟเวอร์ FireEye ได้

By lew

on 17 December 2015 - 14:18 Tag: Security, FireEye, Project Zero

Security

Project Zero ของกูเกิลแจ้งเตือนว่าเซิร์ฟเวอร์ตรวจสอบข้อมูลของ FireEye มีช่องโหว่ทำให้แฮกเกอร์สามารถส่งโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ ช่องโหว่นี้มีความร้ายแรงสูงและทาง FireEye ปล่อยอัพเดตตั้งแต่ไม่กี่ชั่วโมงหลังได้รับแจ้ง หากใครไม่ได้เปิดระบบอัพเดตอัตโนมัติไว้ควรเร่งอัพเดต

ช่องโหว่อยู่ในส่วนการตรวจสอบไฟล์ .jar ของ FireEye ที่ดีคอมไพล์โค้ดออกมาตรวจสอบ และหากพบว่าโค้ดมีความพยายามซ่อนสตริง ตัวดีคอมไพล์จะพยายามรันโค้ดเพื่อดึงเอาสตริงออกมา แนวทางนี้กลายเป็นช่องทางให้แฮกเกอร์สามารถสร้างไฟล์ jar เพื่อกระตุ้นให้ FireEye รันโค้ดที่ต้องการ

งานประชุมอินเทอร์เน็ตจีน: ผู้นำจีนประกาศปกป้องอธิปไตยอินเทอร์เน็ต, ในงานแจกโค้ดปลดบล็อคเว็บ

By lew

on 17 December 2015 - 13:15 Tag: Internet Censorship, China

Internet Censorship

งาน World Internet Conference ที่จีนเป็นงานประชุมอินเทอร์เน็ตที่ผู้นำเข้าร่วมมากมาย รวมถึง สี จิ้นผิง ประธานาธิบดีจีน ที่ประกาศอธิปไตยในการกำกับดูแลอินเทอร์เน็ตในแบบที่แต่ละประเทศเลือกเอง หลังจากที่จีนถูกวิจารณ์ว่าจำกัดสิทธิ์ผู้ใช้งานด้วยการกำหนดโทษจากการโพสข้อความและบล็อคการใช้งานเว็บต่างๆ อย่างต่อเนื่อง

ตำรวจอังกฤษคุมตัวผู้ต้องสงสัยชายอายุ 21 เกี่ยวข้องกับการแฮกเว็บ VTech

By lew

on 17 December 2015 - 09:00 Tag: Hacking, United Kingdom

Hacking

เว็บ VTech ผู้ผลิตของเล่นจากฮ่องกงถูกแฮกไปเมื่อต้นเดือนที่ผ่านมา ตอนนี้ตำรวจอังกฤษคุมตัวผู้ต้องสงสัยชายอายุ 21 คนหนึ่งที่ถูกระบุว่าเกี่ยวข้องกับการแฮกครั้งนี้

การแฮกเว็บ VTech เป็นการรั่วไหลข้อมูล (data breach) ครั้งใหญ่ที่สุดอีกครั้งหนึ่ง กระทบคนกว่า 6 ล้านคน รวมถึงเด็กจำนวนมาก แม้แฮกเกอร์จะเปิดเผยข้อมูลเพียงบางส่วนให้กับนักข่าว

ตำรวจระบุว่าการจับกุมนี้เป็นเพียงการสืบสวนเบื้องต้นเท่านั้น และยังต้องสอบสวนต่ออีกมาก

ที่มา - BBC

Backblaze เปิดบริการคลาวด์สตอเรจ B2 ให้คนทั่วไปใช้งาน

By lew

on 17 December 2015 - 08:38 Tag: Backblaze, Cloud Storage

Backblaze

บริการคลาวด์สตอเรจ B2 ของ Backblaze มีจุดขายสำคัญที่ราคาถูกกว่าบริการอื่นๆ และมีส่วนฟรีเพียงพอสำหรับการใช้งานพื้นๆ ตอนนี้เปิดให้บริการกับคนทั่วไปแล้ว ไม่ต้องรอคำเชิญอีกต่อไป

B2 ยังอยู่ในสถานะเบต้าอยู่แม้จะเปิดให้คนทั่วไปใช้งาน พร้อมระบุว่ากระบวนการเชิญผู้ใช้งานในตอนแรกเป็นไปอย่างช้าๆ ผู้ได้รับคำเชิญคนแรกรายงานบั๊กคนเดียว 18 รายการ จากนั้นจึงค่อยๆ เชิญกลุ่ม 5 คน, 10 คน, 100 คน, 1,000 คน, และ 3,000 คน รวมผู้ใช้งานช่วงรับเชิญ 15,000 คน

หนังสือความปลอดภัยคอมพิวเตอร์พื้นฐานเริ่มรับคำสั่งซื้อล่วงหน้าแล้ว อ่านบทตัวอย่างได้ที่นี่

By lew

on 16 December 2015 - 23:27 Tag: Blognone, Announcement

Blognone

เมื่อสัปดาห์ที่แล้วผมโพสแนะนำหนังสือความปลอดภัยคอมพิวเตอร์พื้นฐานไป ตอนนี้ขั้นตอนก็เข้าสู่กระบวนการพิมพ์เป็นที่เรียบร้อยแล้ว ทาง Readery ผู้จัดจำหน่ายของเราก็เปิดรับคำสั่งซื้อล่วงหน้าเรียบร้อยแล้ว โดยตัวหนังสือน่าจะได้จริงช่วงหลังปีใหม่

สำหรับคนที่สนใจ ผมวางบทตัวอย่างไว้ให้อ่านฟรีในโพสนี้ 1 บทประกอบการตัดสินใจ

ไฟร์ฟอกซ์ออกรุ่น 64 บิตสำหรับวินโดวส์แล้ว

By lew

on 16 December 2015 - 13:03 Tag: Firefox, Mozilla

Firefox

หลังจากค้างอยู่ใน 32 บิตมานาน มอซิลล่าก็ปล่อยไฟร์ฟอกซ์รุ่น 64 บิตสำหรับวินโดวส์แล้วในวันนี้ รองรับ Windows 7 เป็นต้นไป

ตัวไฟร์ฟอกซ์ 64 บิตจะจำกัดการรองรับปลั๊กอิน ทำให้ปลั๊กจำนวนหนึ่งไม่สามารถใช้งานได้อีกต่อไป แต่ข้อดีคือประสิทธิภาพในบางเว็บและเกมน่าจะดีขึ้น

AWS เปิดให้บริการ EC2 แบบ t2.nano แล้วราคาเดือนละ 4.75 ดอลลาร์

By lew

on 16 December 2015 - 12:49 Tag: Cloud Computing, Amazon EC2, AWS

Cloud Computing

Amazon Web Service เปิดตัวเครื่อง t2.nano มาตั้งแต่เดือนตุลาคม ตอนนี้ก็ได้เวลาเปิดให้ใช้งานจริงแล้ว โดยราคาแบบ on-demand อยู่ที่เดือนละ 4.75 ดอลลาร์ หรือชั่วโมงละ 0.0065 ดอลลาร์ ในสหรัฐฯ เป็นเครื่องรุ่นแรกที่คิดราคาแบบทศนิยมสี่หลัก ส่วนในสิงคโปร์ราคา 0.01 ดอลลาร์ต่อชั่วโมง

ราคานี้ถูกกว่า t2.micro ที่เคยเป็นเครื่องเล็กที่สุดเท่าตัว และหากจ่ายล่วงหน้าสามปีจะถูกลงเหลือเดือนละ 2.1 ดอลลาร์เท่านั้น เซิร์ฟเวอร์เช่นนี้เพียงพอสำหรับการใช้งานง่ายๆ เช่น เว็บขนาดเล็กที่คนเข้าไม่เกิน 25,000 ครั้งต่อเดือน

พบช่องโหว่ถูกโจมตีแล้วใน Joomla! 1.5 ขึ้นไป ควรอัพเกรดทันที

By lew

on 15 December 2015 - 10:47 Tag: Security, Joomla!

Security

Joomla! รายงานช่องโหว่ remote code execution จากการตรวจสอบข้อมูล session ก่อนเซฟลงฐานข้อมูลไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันได้ และปัญหาใหญ่คือช่องโหว่นี้ถูกโจมตีเป็นวงกว้างแล้วตั้งแต่วันเสาร์ที่ผ่านมา

บอร์ด ESP-12F พร้อม USB, LED, เซ็นเซอร์แสง

By lew

on 15 December 2015 - 01:39 Tag: Internet of Things, Espressif

Internet of Things

ESP8266 มีบอร์ดพัฒนารุ่นใหม่ ESP-12F ฟีเจอร์น่าสนใจคือมันมีพอร์ต USB อยู่ในตัวทำให้ไม่ต้องต่อบอร์ดเพื่อโปรแกรมเพิ่มเติม บนตัวบอร์ดเอง

นอกจากพอร์ต micro USB สองพอร์ต (น่าจะสำหรับจ่ายไฟและโปรแกรมแยกกัน) ยังมี photo resister สำหรับจับความสว่าง และ RGB LED เปลี่ยนสีได้ตามกำหนด

นอกจากตัวฮาร์ดแวร์แล้ว ซอฟต์แวร์ที่ให้มายังมีบริการ Witty Cloud ที่เชื่อมต่อบอร์ดเข้ากับแอปบนแอนดรอยด์เพื่อควบคุมการทำงานของบอร์ดได้

ก่อนหน้านี้บอร์ดที่สามารถเชื่อมต่อ USB ได้แบบเดียวกันคือบอร์ด NodeMCU ที่ราคาประมาณ 5-6 ดอลลาร์ บอร์ด ESP-12F นี้ราคาถูกลงมาอยู่ที่ 4-5 ดอลลาร์ พร้อมเซ็นเซอร์พื้นฐาน

นายกฝรั่งเศสระบุจะไม่มีการแบน Tor และฟรี Wi-Fi ในมาตรการความปลอดภัยใหม่

By lew

on 14 December 2015 - 13:58 Tag: Internet Censorship, France

Internet Censorship

เมื่อสัปดาห์ที่แล้วมีร่างกฎหมายรายงานโดยหนังสือพิมพ์ Le Monde ระบุข้อเสนอให้แบนฟรี Wi-Fi และ Tor ตอนนี้ Manuel Valls นายกรัฐมนตรีฝรั่งเศส ก็ออกมาระบุว่ายังไม่มีการพิจารณาแนวทางที่ระบุมาแต่อย่างใด

เขาระบุว่าตำรวจจำเป็นต้องพิจารณาประโยชน์ต่อเศรษฐกิจของอินเทอร์เน็ตร่วมไปกับการบล็อคการใช้งานเพื่อการก่อการร้าย

ข้อเสนอระบุให้แบนการใช้งานฟรี Wi-Fi ในช่วงสถานการณ์ฉุกเฉิน โดยตัวข้อเสนอเองก็มีปัญหาเพราะในช่วงสถานการณ์ฉุกเฉินประชาชนจำนวนมากอาศัยอินเทอร์เน็ตฟรีเหล่านี้ตรวจสอบข้อมูลข่าวสาร และรับคำแนะนำว่าควรทำอะไรต่อไป

Namecheap และ GoDaddy วิจารณ์ใบรับรองฟรี ถูกวิจารณ์กลับ

By lew

on 14 December 2015 - 13:19 Tag: SSL, TLS, GoDaddy, Namecheap, Digital Certificate, Let's Encrypt

SSL

โครงการใบรับรองดิจิตอลฟรี Let's Encrypt เพิ่งเปิดให้บริการต่อสาธารณะไม่กี่วัน กลุ่มอำนาจเก่าผู้เสียผลประโยชน์ อย่าง GoDaddy และ Namecheap ก็ออกมาเคลื่อนไหว

ฝั่ง Namecheap นั้นออกมาเขียนบล็อกโจมตี ระบุข้อเสียของใบรับรองดิจิตอลฟรี ระบุว่าใบรับรองฟรีนั้นเพียงแค่เพิ่มการเข้ารหัสท่านั้น และไม่ได้ตรวจสอบผู้รับใบรับรองก่อนที่จะมอบใบรับรอง (ซึ่งไม่จริง เพราะ Let's Encrypt นั้นตรวจสอบผู้ถือครองโดเมน)

ขณะที่ GoDaddy ก็ออกหน้าเปรียบเทียบใบรับรอง และระบุว่าการทำเว็บเพื่อการค้านั้นต้องใช้ใบรับรองแบบ Extended Validation เท่านั้น

Symantec ยกเลิก root CA ตัวแรกๆ ของ Verisign

By lew

on 14 December 2015 - 11:50 Tag: Security, Symantec, VeriSign

Security

VeriSign CA ที่ดำเนินการโดย Symantec ประกาศยกเลิก "Class 3 Public Primary Certification Authority" สำหรับการใช้งานเว็บ ซึ่งเป็น root CA ที่ใช้งานมาตั้งแต่ปี 1996 จากเดิมที่ใบรับรองจะหมดอายุในวันที่ 8 กุมภาพันธ์ 2028 แต่คาดว่า Symantec ไม่ได้ออกใบรับรองใดๆ ด้วย CA นี้นานแล้ว จึงไม่น่ามีผลกระทบ

ใบรับรองนี้เป็นใบรับรองที่ยังใช้ RSA 1024 ซึ่งในสมัยปี 1996 ถือว่ามีความแข็งแรงเพียงพอต่อการใช้งาน แต่เมื่อเวลาผ่านไป RSA 1024 กลับเสี่ยงต่อการถูกถอดรหัสได้เร็วกว่าที่คาดไว้ในยุคนั้น ใบรับรองสมัยใหม่ถูกแนะนำให้ใช้งาน RSA 2048/4096 หรือใช้กระบวนการเข้ารหัสแบบ elliptic curve แทนที่

OROID-C0 บอร์ด Cortex-A5 สี่คอร์ ตั้งเป้าราคา 25 ดอลลาร์

By lew

on 11 December 2015 - 23:17 Tag: South Korea, Single Board Computer, ODROID

South Korea

Hardkernel ผู้ผลิตบอร์ดคอมพิวเตอร์ขนาดเล็กจากเกาหลีใต้เตรียมเปิดตัวบอร์ด ODROID-C0 บอร์ดขนาดเล็กที่ย่อส่วนจาก ODROID-C1+

ODROID-C0 ยังใช้ซีพียู Amlogic S805 ที่เป็น Cortex-A5 สี่คอร์เช่นเดิม พร้อมแรม 1GB ช่อง microSD และ eMMC สิ่งที่หายไปคือพอร์ต USB และอีเธอร์เน็ต จุดเด่นสำคัญคือมันมีวงจรชาร์จแบตเตอรี่ Li-Ion มาในตัว ทำให้สามารถซื้อแบตเตอรี่มาต่อได้เลย เหมาะสำหรับงานที่ต้องการความต่อเนื่อง

ทาง Hardkernel ยังไม่ได้กำหนดราคาขาย แต่ตั้งเป้าหมายไว้ว่าจะทำราคา 25 ดอลลาร์

กูเกิลปล่อย Android Emulator ตัวใหม่ใน Preview Channel แล้ว

By lew

on 11 December 2015 - 16:31 Tag: Google, Android

Google

กูเกิลปล่อย Android Emulator ตัวใหม่ เพิ่มความสามารถหลายอย่าง แต่ที่สำคัญที่สุดสำหรับนักพัฒนาคงเป็นความเร็ว ที่ตอนนี้ตัวอีมูเลเตอร์บนพีซีจะทำงานเร็วกว่าในโทรศัพท์จริงแล้ว

ความเร็วของอีมูเลเตอร์ได้จากการปรับเร่งความเร็วบนชุดคำสั่ง x86 เป็นมาตรฐาน และการรองรับมัลติโปรเซสเซอร์บน Android 6.0 ในขณะที่ ADB เองก็ปรับโครงสร้างภายในทำให้ความเร็วดีกว่าเดิมมาก ช่วยให้การวางไฟล์ apk ขนาดใหญ่ทำได้เร็วขึ้น

นอกจากด้านประสิทธิภาพแล้วอีมูเลเตอร์ตัวใหม่ยังปรับปรุงอินเทอร์เฟซหลายอย่าง สามารถซูมภาพ ปรับขนาดหน้าจอ และวางไฟล์ลงไปบนอีมูเลเตอร์แบบ drag and drop ได้โดยตรง