Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้
- การคลิกลิงก์เก่าที่เป็น http:// จะถูกอัพเกรดเป็น https:// โดยอัตโนมัติ หากเชื่อมต่อ https:// ไม่สำเร็จถึงค่อยกลับมาเป็น http:// แปลว่าผู้ใช้จะเข้าเว็บผ่าน HTTP ในกรณีที่ไม่มี HTTPS ให้ใช้งานเท่านั้น ไม่ได้เข้า HTTP โดยบังเอิญหรือไม่ตั้งใจ (แม้มี HTTPS ให้ใช้) อีกต่อไป
- การดาวน์โหลดไฟล์ผ่าน HTTP จะเห็นข้อความแจ้งเตือนว่าไฟล์อาจไม่ปลอดภัย การเตือนจะมีผลกับไฟล์ทุกประเภท ยกเว้นไฟล์ภาพ เสียง วิดีโอ ที่ค่อนข้างปลอดภัยในตัวเองอยู่แล้ว
ผู้ใช้บางส่วนจะเข้าใช้งานโหมด HTTPS-First โดยอัตโนมัติ โหมดนี้จะบังคับทุกเพจโหลดผ่าน HTTPS และหากเว็บนั้นไม่มี HTTPS จะขึ้นหน้าจอแจ้งเตือนแบบเต็มหน้า กูเกิลบอกว่าเป้าหมายปลายทางคือเปิด HTTPS-First เป็นดีฟอลต์สำหรับทุกคน แต่ตอนนี้ยังไปไม่ถึงจุดนั้น จึงจะทยอยเปิดบางส่วนไปก่อน
- ผู้ใช้ที่เข้าโครงการ Google Advanced Protection Program และล็อกอินบัญชีใน Chrome
- ผู้ใช้ที่เปิดโหมด Incognito
- เว็บไซต์ที่ Chrome รู้ว่าเราเข้าผ่าน HTTPS เป็นปกติ ต่อไปจะเปิดอัตโนมัติ
- ผู้ใช้ที่แทบไม่เข้าผ่าน HTTP เลย ต่อไปจะเปิดอัตโนมัติ
ที่มา - Chromium Blog
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- สงคราม GenAI บนคลาวด์ในปี 2024 ไปถึงไหนกันแล้ว | Cloudnone x AWS
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
Comments
นึกถึงส่วนเสริม HTTPS Everywhere
บางเว็บมีแต่ html กับ public static file จะ HTTPS ไปทำไม
ถ้าไม่ใช่คนกลางจะมองเห็นว่าเราเข้าเว็บอะไรบ้าง content อะไรซึ่งลดความเป็นส่วนตัว
และคนกลางอาจจะแก้ไขข้อมูลได้ เช่นจากต้นฉบับเป็นรูปดอกไม้ เปลี่ยนเป็นรูกนก หรือเลวร้ายเลยเปลี่ยนให้ไปโหลดไวรัสแทน ซึ่งไม่ปลอดภัย
ถ้าหน้านั้นเป็นการกรอกฟอร์ม แล้วกรอกรหัสผ่าน หรือรหัสบัตรเครดิต นั่นก็ทำให้คนกลางเอาข้อมูลไปใช้ได้
😮👍
ผมก็ลืมไป คนกลางมันแก้ไขได้ด้วย ไม่ใช่แอบดูได้อย่างเดียว
ปัญหาคือ เวลา SETUP พวก Router ที่มันยัง DEFAULT เป็น http จะมีให้ exception ไหมหรือ Force เลย บางที User อาจจะสับสนได้ อีอันคือพวกระบบกล้องวงจรปิดที่บางตัว support แต่เป็น Self Sign Cert ที่ดันไม่เข้ากับ standard ใหม่แล้วเผลอเปิดไว้
Texion Business Solutions
self sign ยัง accept ได้ แต่ไม่ sign เลยไม่น่าจะดี
ถ้าถึงขั้นนั้นผมแนะนำให้ใช้ private VPN ไปเลย ผมทำบ่อยตอนใช้เครือข่ายภายใน อยู่นอกบ้าน
ถามเป็นความรู้หน่อย
การทำของเดิมเป็น HTTPS นี่ใช้ efforts เยอะมั้ยครับ หรือมันจะต้องคิดถึงสิ่งต่างๆมาน้อยแค่ไหนครับ
เช่น ถ้าผมไปจ้างเค้าทำเวบเสร็จแล้ว ผมก็ใช้มานานละใช้เป็นแบบ user แต่คราวนี้ต้องเปลี่ยนเป็น https อันนี้คือเปิดคู่มือมาแล้วมำตามได้เลยมั้ยครับ
network protocol เขาออกแบบแยกกันเป็นชั้นครับ เวลาแก้ใขมันจะได้ไม่ต้องแก้ทุกชั้นครับ https://en.wikipedia.org/wiki/OSI_model
HTTP:
client > create HTTP request (client) > man-in-middle (network) > receive HTTP request (server) > Our app
HTTPS:
client > create HTTP request (client) > encrypt to HTTPS (client) > man-in-middle (network) > receive HTTPS request (server) > decrypt to HTTP (server) > Our app
ถ้า web/mobile API/เว็บ "ทั่วไป" ไม่ต้องแก้ code อะไรครับ config ที่ server application ก็ใช้ได้แล้ว
ปัญหาระดับ app ก็ยังเกิดได้ครับ อย่าง wordpress นี่เจอ redirect loop
ถ้าหน้าเว็บก็ไม่เท่าไหร่ครับ แทบไม่มีผล เดี๋ยวนี้ cert ก็ ฟรี เจนง่ายด้วย
ที่มีปัญหาหลักๆก็ เป็นพวก ie เก่าๆ คอมเก่าๆ จะเข้าพวก tls 1.3 ไม่ได้
กับพวก api ต้องแก้ code นิดหน่อย ให้รองรับ protocal แล้วดูเรื่อง การตรวจสอบ cert ไม่งั้นตอน call จะ error
แบบนีปลอดภัยขึ้นเยอะ 55555
chrome://flags/#insecure-download-warnings
บ้านเรา บางเว็บก็ไม่ได้เข้าผ่าน https จริงแหละ แต่ส่วนใหญ่ก็คงเป็นเว็บเก่ากันเยอะ