SSL

ตรวจสอบ favicon ให้ดี อาจมีการใช้ favicon เพื่อทำให้เข้าใจผิดว่ากำลังใช้ https ที่มีใบรับรองที่ถูกต้อง

by

อ่านข่าวเรื่องอัพเดท Firefox 47 บน Android แล้วเอา favicon ออกจาก address bar เลยสนใจว่าเรื่องนี้ว่าเอาออกทำไม

อธิบายก่อนว่า favicon หรือ favourite icon เป็นรูปขนาดเล็ก (ไอคอน) ที่มักแสดงอยู่ แถวๆ URL ของเว็บ หรือเดี่ยวนี้คงไว้ใกล้ๆ กับหัวข้อเว็บกัน (title bar) ตามภาพด้านล่าง

favicon-in-desktop-browsersรูปนำมาจาก นำมาจาก https://css-tricks.com/favicon-quiz/

พอมาดูใน Firefox รุ่นบน Android และตำแหน่งที่ไว้ favicon ก็เข้าใจประเด็นว่าทำไมถึงต้องนำออกไป ตามภาพด้านล่าง

Mozilla_Firefox_Favicon_Removal

รูปนำมาจาก https://blog.mozilla.org/blog/2016/06/07/tab-video-improvements/

นั้นแสดงว่ามีรายงานว่าการไว้ favicon ตรงนั้น น่าจะถูกนำไปใช้ประโยชน์ในการหลอกผู้ใช้ว่าเว็บใช้ SSL/HTTPS ที่ปลอดภัยอยู่ (ซ้ำราย บนมือถือมักตรวจสอบ SSL/TLS fingerprint ได้ยาก iOS นี่เช็คไม่ได้เลย) ซึ่งใน browser เก่าๆ หรือบนมือถือที่มีพื้นที่จอจำกัด มักเอามาไว้ใกล้ๆ กัน หรือแสดงผลสลับกันตอนเปลี่ยน tab ทำให้สับสน ซึ่งประเด็นนี้ใน browser อื่นๆ เราก็ควรจะใส่ใจเช่นเดียวกัน เพราะบางครั้งก็สร้างความสับสนได้มากเช่นกัน (ตัวอย่างตามภาพท้ายเนื้อหา)

จากทั้งหมดที่กล่าวมา อยากให้คอยสังเกตและระมัดระวังในการใช้งานเว็บที่เราต้องส่งข้อมูลส่วนบุคคลเข้าไปกันสักหน่อย

2016-06-09_142953

 

2016-06-09 14.32.55

บั๊ก Heartbleed และความใส่ใจต่อการใช้ TLS/SSL ในเว็บคนไทย

by

ว่ากันตามจริง เว็บคนไทยส่วนใหญ่ไม่ได้รับผลกระทบจากบั๊ก Heartbleed กันเสียเท่าไหร่นัก เพราะ “ส่วนใหญ่ไม่ใช้ TLS/SSL” ซึ่งแม้แต่เว็บอันดับต้นๆ ของไทยเท่าที่ตรวจสอบก็ไม่ได้ใช้แม้จะมีการรับ-ส่งข้อมูลสำคัญเช่น ชื่อสมาชิก และรหัสผ่าน อย่าเป็นเรื่องปรกติ

ในความคิดเห็นส่วนตัวแล้วอยากให้มีการออกประกาศ เพื่อสร้างความใส่ใจต่อการคุ้มครองข้อมูลส่วนตัวว่า “เว็บไทยที่มีการรับข้อมูลที่สำคัญ จำพวกชื่อสมาชิก และรหัสผ่าน ควรใช้ TLS/SSL ในการติอต่อสื่อสารข้อมูลอย่างยิ่ง” เพราะเว็บคนไทยเราน้อยมากที่จะใช้ TLS/SSL ซึ่งหากเว็บที่ไม่ได้ใช้ TLS/SSL ในขั้นตอนการรับ-ส่งข้อมูลสำคัญเหล่านั้นเป็นปัญหาที่หนักหนาสาหัสกว่าบั๊กของ Heartbleed มากนัก เพราะปัญหาบั๊ก Heartbleed นั้นตั้งถูกตั้งบนสมมติฐานว่า private key อาจจะถูกขโมยไป ทำให้การดักฟังข้อมูลระหว่างเว็บและสมาชิกที่สื่อสารบน TLS/SSL ถูกดักฟังได้จากการใช้ private key ที่ถูกขโมยไปนำมาถอดรหัสเพื่อดักฟัง แต่เว็บที่ไม่มี TLS/SSL เพื่อบริการให้กับสมาชิกโดยป้องกันการถูกดักฟังนั้น คนดักฟังไม่ต้องสนใจว่าจะหาอะไรมาถอดรหัสออดแต่อย่างใด เพราะข้อมูลที่สื่อสารไปมานั้นมันเปลื่อยโล่งทั้งหมด ใครดักฟังก็เห็นได้ทันที และมันเป็นปัญหาที่ใหญ่กว่ามาก

ฉะนั้นใครใช้งานเว็บคนไทยที่ไม่ได้ใช้การติดต่อบน TLS/SSL เพื่อใช้ในการเข้ระบบ ควรใช้รหัสผ่านแยกจากบริการสำคัญอื่นๆ ทุกบริการ เพื่อความปลอดภัยสูงสุด!!!

หมายเหตุเพิ่มเติม: Heartbleed เป็นบั๊กที่เป็นข้อผิดพลาดของซอฟต์แวร์สำหรับการติดต่อสื่อสารที่ชื่อ OpenSSL ซึ่งเป็นเพียงซอฟต์แวร์ยอดนิยมสูงมากตัวหนึ่งในกลุ่มใช้ open souce software ที่ใช้เป็นมาตรฐานสำหรับการติดต่อสื่อสารแบบ TLS/SSL ซึ่งมีผลกระทบต่อระบบที่ใช้งาน TLS/SSL เป็นวงกว้างมาก แต่กระนั้นในตลาดก็ยังมีซอฟต์แวรเข้ารหัสในรูปแบบเดียวกันตัวอื่นๆ ที่ไม่ได้รับผลกระทบเช่นระบบ IIS ของ Microsoft (ที่ธนาคารไทยส่วนใหญ่ใช้) หรือซอฟต์แวร์เข้ารหัสการสื่อสารตัวอื่นๆ ที่ไม่ได้ใช้ OpenSSL เป็นตัวเข้ารหัสการติดต่อสื่อสารด้วย TLS/SSL