หนังสือพิมพ์ The Guardian รายงานว่า มีการค้นพบช่องโหว่ในเบราว์เซอร์ Chrome ที่ยอมให้ใครก็ได้ที่สามารถเข้าถึงคอมพิวเตอร์ได้สามารถดูรหัสผ่านเพื่อการล็อกอินเข้าโปรไฟล์อีเมล เว็บสังคมออนไลน์ ฯลฯ จากหน้าการตั้งค่าได้โดยที่ไม่ต้องระบุตัวตนก่อน
การเรียกดูรหัสผ่านนั้นก็ง่ายแสนง่าย โดยผู้ใช้เพียงไปที่หน้า Settings เลือกมุมมองการตั้งค่าขั้นสูง ไปที่ส่วน Passwords and forms คลิกปุ่ม Manage saved passwords เพื่อเข้าส่วนจัดการรหัสผ่านที่ถูกบันทึกไว้ ถึงแม้รหัสผ่านจะถูกซ่อนไว้ในรูปดอกจัน แต่หากผู้ใช้คลิกที่รหัสผ่านและคลิกปุ่ม Show ก็จะเห็นรหัสผ่านได้เลย
The Guardian อ้างคำพูดของ Justin Schuh หัวหน้าทีมพัฒนา Chrome ว่ากูเกิลตระหนักถึงช่องโหว่นี้แต่ไม่มีแผนจะแก้ไขมัน Tim Berners-Lee นักฟิสิกส์ผู้ออกแบบ HTML และเว็บให้สัมภาษณ์ว่าน่าผิดหวังเป็นอย่างยิ่งต่อการตอบสนองของกูเกิล
ถึงแม้ผู้บุกรุกจะต้องเข้าถึงคอมพิวเตอร์เพื่อดูรหัสผ่านของคนอื่น (เข้าถึงเครื่องโดยตรงหรือรีโมตจากระยะไกล) แต่ก็มีเครื่องคอมพิวเตอร์จำนวนมากที่ถูกแบ่งปันให้ใช้ร่วมกันในที่บ้านหรือที่ทำงาน นอกจากนั้นถึงจะกล่าวว่าใครก็ตามที่สามารถเข้าถึงคอมพิวเตอร์ได้ก็สามารถล็อกอินเข้าเว็บไซต์โดยใช้ข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์ แต่การที่สามารถมองเห็นรหัสผ่านได้โดยตรงก็ทำให้ผู้ไม่ประสงค์ดีสามารถจดรหัสไปเข้าถึงข้อมูลผู้ใช้บนโลกอินเทอร์เน็ตในภายหลังได้
ที่มา: หนังสือพิมพ์ The Guardian ผ่าน 9to5Mac
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
อ้าวเขาเรียกว่าช่องโหว่หรอครับ ผมเห็นนานละนะ มีตั้งแต่สมัย Firefox ละ
ถ้าอันนี้ถึงกับเรียกว่าช่องโหว่ ซึ่งผมเชื่อว่าหลายๆ คนใน blognone รู้ตั้งนานแล้ว
แบบนี้จะเรียกว่าอะไรดีอ่ะครับ User error แล้วบอกว่าเป็นช่องโหว่ ?
ก่อนอ่านข่าวนี้นึกว่าเป็นช่องโหว่เจาะเข้าระบบเพราะโค๊ดอะไรยังไง อ่านเสร็จเงิบครับ - -"
+1 ครับ ช่องโหว่.... โอ้ โนววว
ผมกลับไม่คิดว่าเรื่องนี้เป็น "ช่องโหว่" แฮะ จริงๆ การที่ให้คนอื่นมาใช้เบราว์เซอร์ที่เซฟรหัสผ่านไว้เต็มเครื่อง แถมทิ้งเครื่องไว้ปล่อยให้เค้าทำอะไรก็ได้ตามใจชอบนี่ต่อให้ Chrome มันแก้ไม่ให้โชว์รหัสผ่านก็คงช่วยอะไรไม่ได้อยู่ดีแหละ
ผมคิดว่าจริงๆ แล้วเขาอาจจะหมายถึงการตั้งรหัสผ่านก่อนเขาถึงข้อมูลส่วนนั้น เหมือนอย่างใน Firefox รึเปล่าครับ
Firefox มีให้ตั้ง Master Password ได้ก็จริง แต่ก็ไม่ได้ถูกเปิดใช้งานมาเป็นค่า Default ดังนั้นถ้ามีคนมาใช้เครื่องเราได้เค้าก็สามารถดูรหัสผ่านได้เหมือนกัน ต่อให้ Chrome ทำฟังก์ชัน Master Password ออกมาผมก็คิดว่าคงไม่ได้ต่างอะไรกับ Firefox อ่ะครับ
ประเด็นของผมคือ ถ้าเซฟรหัสผ่านไว้เต็มเครื่อง แถมตั้ง Master Password ไว้ด้วย การที่ให้คนอื่นมาเล่นคอมเราโดยที่เราไม่รู้ว่าเค้าจะทำอะไรกับเครื่องบ้างนี่มันก็ยังอันตรายอยู่ดีครับ อย่าง Firefox เอง ถ้าเข้าถึงเครื่องได้ก็แค่ก็อบไฟล์ Password database ที่อยู่ใน User profile มา ต่อให้มี Master Password ก็แคร็กออกมาได้อยู่ดี
คือถ้าปล่อยให้เค้าเข้ามาถึงเครื่องได้ขนาดนั้นเรื่องข้อมูลพวกนี้มันคงไม่น่าจะป้องกันได้ครับ ทำได้มากสุดก็แค่ถ่วงเวลาให้มันแคร็กรหัสผ่านนานๆหน่อย ผมเองก็ยังคิดไม่ออกเหมือนกันว่าจะแก้ไข Chrome ยังไงให้รหัสผ่านไม่หลุดในกรณีที่มีผู้ไม่หวังดีสามารถ Physical access หรือ Full access ตัวเครื่องได้ :/
ช่องโหว่นี้ผมพบมันมานานแล้ว
รู้รหัสผ่านคนที่ใช้คอมเครื่องเดียวกันหมดเลย นึกว่ารู้กันแล้วซะอีก
ผมเห็น The Guardian เพิ่งลงข่าวนะครับ อีกอย่างผมแทบไม่เคยใช้ Chrome เลยครับ ใช้แต่ IE ประจำ เลยไม่ทราบว่าช่องโหว่นี้มีมานานแล้ว
ป.ล. ผมไม่เคยให้เบราว์เซอร์เก็บรหัสผ่านเลยนะ อีกอย่างข่าวนี้น่าจะเป็นประโยชน์ อย่างน้อยก็คนที่ไม่รู้การใช้งาน Chrome เชิงลึกจะได้หาทางป้อนกัน อาทิ ล็อกหน้าจอคอมพิวเตอร์ทุกเครื่องเมื่อไม่ได้ใช้ ไม่ให้เบราว์เซอร์เก็บรหัสผ่าน ใช้ปลั๊กอินที่บันทึกรหัสผ่านได้และไม่ถูกเปิดเผยรหัสผ่านได้โดยง่าย หรือกระทั่งไปใช้เบราว์เซอร์อื่นที่จัดการเรื่องนี้ได้ดีกว่า
เบราเซอร์น่ะเก็บได้ครับ แต่ปัญหาคือ Google เก็บรหัสผ่านเป็น Plaintext ไม่มีการเข้ารหัสเลย
ผมนี่งงมาก
ผมทดสอบแล้วเป็นเช่นนั้นจริง ส่วนตัวผมไม่เรียกว่าอันนี้เป็นช่องโหว่ เพราะ มีปุ่มให้กด Show จริง
เป็นความตั้งใจที่จะมีอยู่แล้ว
สิ่งนี้ผมเรียกว่าความไม่ใส่ใจเรื่อง Security ของทาง Google มากกว่า
ดีที่ส่วนตัวเลิกใช้ Save Password บน Browser ไปแล้ว อิอิ
แหม๋...ทำไปได้
seeking for New Frontier...
ถ้าลองไปอ่านคำอธิบายเต็ม ๆ แล้วจะเห็นว่าจริง ๆ ไม่ใช่ไม่ใส่ใจเรื่อง Security แต่ตรงกันข้ามครับ คือเค้าอาจจะใส่ใจมากเกินไป คำอธิบายของเค้าคือเข้าใช้ security ของตัว OS ในการแยกว่าผู้ใช้คนไหนเข้าถึงไฟล์ไหนได้หรือไม่ได้ ถ้าถึงขนาดเข้าเป็น user คนนั้นได้แล้วต่อให้ซ่อน password ตรงนี้ก็เข้าไปล้วงความลับจากทางอื่นได้อีกมากมาย เพราะฉะนั้นเค้าไม่ต้องการให้ผู้ใช้มีความคิดผิด ๆ ว่ามันมีความปลอดภัยอะไรอยู่เลยเพราะฉะนั้นไม่ควรให้คนที่ไม่ไว้ใจเข้ามาใช้ตั้งแต่แรกครับ
ขอฉีกไปที่ mail client อย่าง Thunderbird ก็มีฟีเจอร์นี้นะครับ
edit - Firefox ก็มีนะ
....... It's not exploited, It's a feature!
Chrome(28): แสดงรหัสผ่านได้เลย
Firefox(23): แสดงรหัสผ่านได้เลย
IE(10): แสดงรหัสผ่าน ต้องใส่รหัสของ User ที่ Logon windows ก่อน
IE(10): แสดงรหัสผ่าน ต้องใส่รหัสของ User ที่ Logon windows ก่อน
แล้วถ้าตอนเข้า Windows ไม่ได้ตั้งรหัสผ่านไว้ล่ะ
อันนั้นก็ขึ้นกับเจ้าของเครื่องละครับ ==
ສະບາຍດີ :)
Safari: ต้องใส่รหัสผ่านของยูสเซอร์ก่อนเหมือนกัน
แล้วถ้าไม่ตั้งไว้นี้ ???
เห็นตั้งแต่ปีมะโว้
ข่าวนี้ผมว่าเหมือนหนังสือพิมพ์ The Guardian จะหาข่าวมาโจมตี Google มากกว่านะ
ผมมองว่าเป็น Feature มากกว่า Bug ซึ่งเพิ่มความสะดวกสบาย แต่ก็ไปแบกรับความเสี่ยงเอาไว้เอง
เพิ่งรู้สึกเหรอเนื่ย..
มันเป็นฟังก์ชั่นที่่ดีตอนที่ลืมรหัสผ่านเข้าเว็บนะ.. TT__TT
ใช่ครับ เห็นมานานแล้ว และผมก็ไม่เคยบันทึกรหัสผ่านไว้บน Chrome เลย เห็นอย่างคุณ line ว่าครับ น่าจะเป็นความไม่ใส่ใจเรื่อง Security ของทาง Google มากกว่า
ช่องโหว่ คุณพระ !
ห่วง Security จริงๆ ก็อย่าให้ Browser Save Password สิครับ
(มันใช่หรือที่ห่วง Security แต่อยากเก็บบันทึก Password ไว้บน PC) หรือไม่ก็ใช้โหมด Incognito แทนสิ
ส่วนตัวผมใช้ Firefox ก็มี Master Password กันเอาไว้อีกชั้น
User Error ชัดๆ
ส่วนหนึ่งก็ User Error ครับ แต่อีกส่วนก็เป็นความไม่ใส่ใจของ Google ลองนึกถึงว่าเป็นผู้ใช้ธรรมดาที่ไม่ค่อยรู้เรื่องเขาจะรู้ไหมครับว่ารหัสเว็ปต่างๆที่เก็บไว้มันไม่ปลอดภัย เพราะส่วนใหญ่ก็เก็บรหัสไว้กันเพราะมันสะดวกดี อย่าคิดแบบอิงจาก geek มากไปครับ
Password WiFi ที่ Save ไว้ ก็กด Show ได้นะครับ ก็นี่มันอยู่ในเครื่องผู้ใช้แล้ว ไม่ได้ Remote มาดู Password จากภายนอก ถ้าบุคคลภายนอกสามารถ Access User Account ของเจ้าของ PC เครื่องนั้นได้ก็ถือว่าหนักมากแล้วนะครับ
ถ้าเกิดว่าผู้ใช้ที่ไม่รู้เรื่องใช้งานในร้านเน็ตละครับ มีกันไว้ก็ดีกว่าครับ เช่นไม่สามารถเก็บรหัสผ่านได้ หรือเก็บได้แต่ไม่สามารถดูรหัสได้ ถ้าจะเก็บแบบดูรหัสผ่านได้ต้องลงชื่อเข้าใช้ใน chrome ก่อนแล้วก็เก็บแบบแยก user เพื่อให้ user อื่นไม่สามารถกดดูได้
ถ้าขนาดไปร้านเน็ตแล้วกดเซฟพาร์ดเวิร์ดนี่ก็ไม่รู้จะพูดไงแล้วนะครับ ไม่ต้องเปิดดูหรอก คนต่อไปมาใช้ก็เข้าได้เลย - -"
A smooth sea never made a skillful sailor.
ลองนึกถึงคนที่ไม่รู้เรื่องพวกนี้ครับ ก็ตามที่ผมเขียนไว้ข้างบนคือไม่ล็อกอิน chrome ก็จะไม่จำรหัสมันก็จะแก้เรื่องคนที่เข้าใช้งานคนต่อไปกดแล้วเข้าเลย เพราะผมเจอหลายที่ครับในโรงพยาบาลมั่ง ในร้านเน็ตมั่งกดเข้าไป FB ใครเนี้ย
เป็นไอเดียที่ดีนะครับ ผมเข้าใจแล้วก็เห็นด้วยเลยหล่ะ
แต่มันเป็นการแก้ปัญหาที่ปลายเหตุไปนิด ซึ่งถ้าแก้ที่ต้นเหตุเลย ผู้ใช้ควรที่จะศึกษาและทำความเข้าใจเกี่ยวกับการใช้คอมในที่สาธารณะครับ (ใข้อย่างไรให้ปลอดภัย) เพราะมันมีภัยอันตรายในคอมพิวเตอร์ที่เราไม่รู้จักอยู่เยอะ ทั้ง Virus, Keylogger, Sniffing, Exploit ฯลฯ
ลำพังผม Login Facebook บนคอมพิวเตอร์หรือแทปเล็ตที่ไม่ใช่ของตัวเองผมยังรู้สึกแหยงๆ เลย ยิ่งถ้าธุรกรรมทางการเงินนี่ผมจะไม่ทำบน Device ที่มัน Untrust อย่างเด็ดขาด
ทั้งหมดนี้ก็เพื่อตัวเราเองครับ ทาง Google ก็ไม่คิดจะแก้ไขปัญหานี้ด้วย อีกทั้ง Browser ในโลกนี้ก็ไม่ได้มีเฉพาะ Chrome ดังนั้น ใช้งานอะไรก็ตามผู้ใช้ก็ต้องศึกษาทำความเข้าใจ ถ้าเป็นห่วงเรื่องความปลอดภัย ผู้ใช้ก็ต้องทำความรู้จักกับภัยคุกคาม ซึ่งนี่น่าจะเป็นวิธีที่ดีที่สุดครับ เพื่อนหญิงผม Low-Tech มาก แต่ก็ใช้โหมด In-private Browsing เป็นครับ แต่สอนให้ไม่กี่นาที
แก้ที่ตัวผู้ใช้เอง ดีที่สุด
ถ้าจะไม่รู้เรื่องขนาดนั้น คงช่วยอะไรไม่ได้แล้วล่ะครับ จะใช้คอมทั้งที ก็ควรจะต้องหัดเรียนรู้ที่จะไม่เซฟรหัสผ่าน ไม่จำ Login ไว้ในเครื่องที่ไม่ใช่ของตัวเองนะ ไม่ใช่ว่าจะโยนเป็นหน้าที่คนอื่นซะหมด
เห็นด้วยนะครับ อย่างตัวผมก็มั่นใจในนโยบายความปลอดภัยของ Google ในระดับหนึ่ง ถ้าเว็บทั่วไปที่ไม่เกี่ยวกับธุรกรรมทางการเงิน พอมีแถบให้จำพาสเวิร์ดขึ้นมาก็กด Save password แบบไม่ลังเล ยอมรับครับว่าส่วนหนึ่งเป็นความไม่หละหลวมของตัวเราเองด้วย เป็นแค่ user ธรรมดาที่นานๆ ถึงจะไปยุ่งกับ Settings สักที
User Error ผมก็ว่างั้น ผมเจอครั้งแรกกับ Firefox หลังจากนั้นผมก็ลองหาวิธีดูของ IE, Chrome ก็ดูได้เหมือนกัน
firefox ก็เป็น ถ้าตั้งให้จำpass แต่ดันไม่ตั้งmaster password กดโชว์เป็นclear textได้ตามใจชอบเลย
แต่ถ้าตั้งmaster passwordแล้วมันจะถามpass อีกครั้ง(แต่ก็ทำให้ถามทุกครั้งก่อนจะใช้ระบบจำpass ด้วยเช่นกัน อาจทำให้รู้สึกรำคาญ)
+1
อันนี้ออกแนวจงใจแบบแปลกๆ - -"
ถ้ามันจะมี Hacker เข้ามาถึงเครื่องคอมคนอื่นได้แบบนี้ มันก็ไม่ต่างอะไรกับได้คอมไปทั้งเครื่องแล้วละ ไม่ว่าจะ Remote เข้ามา หรือ เดินมากดหน้าคอมเอาตรงๆ - -"
เครื่องคอมที่บ้านผมใช้คอมคนเดียวครับ แต่ไม่เคยใช้ บริการจำรหัสผ่านเลย ตั้งแต่จำได้ในยุคแรกๆ ที่ ie เก็บรหัสไว้ใน registry ก็ไม่กล้าให้ web browser ช่วยจำรหัสให้
Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project
ผมไม่เคยให้ IE Remember อะไรเลย ยิ่งยุคสมัยที่พวก Spyware สามารถฝัง Toolbar ลง IE ได้ง่ายๆ
ผมก็ไม่คิดจะใช้งาน IE อีกเลย
คือถ้าเลือกให้จำรหัสผ่านไว้ มีแสดงตรงนี้ผมคิดว่าไม่น่าจะเกี่ยวกับความไม่ใส่ใจนะครับ เพราะถึงไม่มี settings อันนี้ แต่ถ้าให้จำรหัสไว้ยังไงคนอื่นก็เข้ามา log in ได้อยู่ดี ปกติเครื่องผมเองก็ไม่เคยให้มันจำรหัสผ่านอะไรเลย ใส่ใหม่ตลอด
ของผมจำเป็นต้องให้มันจำครับ
เพราะผมมีpassword 2ชุดหลัก 8ชุดย่อย แล้วแตกแขนงตามอักษรตัวที่xของแต่ละwebsite,user
ผมขอร้องล่ะ Chrome อย่าเอามันออกเลย ไอปุ่ม Show Password นี่ช่วยชีวิตผมไว้หลายครั้งละ >.<
จริงมากๆ ครับ
ช่างไฟสมัครเล่น (- -")
ใช้ Lastpass จ่ะ
บางทีอาจไม่ต้องกดดูรหัสผ่านในโปรแกรมหรอก ข้างจอก็มีแปะอยู่ 555
เป็นบัคที่มีปุ่มให้บัคทำงานเสร็จสรรพ นักพัฒนากูเกิ้ลโครมช่างล้ำลึกยิ่งนัก
มันจะเข้าไปตรงนั้นได้มันต้องรู้รหัสผ่าน windows แล้วอะ มัน user error ชัดๆ
เห็นว่าเป็น User Error เหมือนกัน
ผมลืมประจำ พอลืมเมื่อไหร่ก็เข้าไปกด show ดู
^
^
that's just my two cents.
เพราะรู้แบบนี้เลยไม่ให้เบราว์เซอร์ใดๆ เก็บรหัสไว้เลย เก็บทุกอย่างไว้ใน 1password หมด
รหัสผ่านถูกบันทึกไม่เท่าไหร่ เพราะ chrome มัน encrypt password
แต่ไอ้ที่น่าตบคือมันไม่ยอมเปลี่ยน code วิธีการ encrypt password นะสิ
software decrypt พาสของ chrome เพียบ...
เจอไวรัสพวกจับ file client upload "Login Data" ทีจบแห่
แถมทำกันง่ายๆ ซะด้วยสิ -*-)
มันเป็นฟีเจอร์ครับ ไม่ใช่บั๊ก
อีกอย่างมันก็ไม่ได้บังคับให้เราต้อง save password ถ้าจะ save แปลว่า user สั่งให้ save เอง
บางเว็บที่ไม่ต้องการให้ user save password ได้ ก็มี attribute นี้ให้ใช้ (พบได้ตามเว็บ ebanking ทั่วไป)
< input type="password" autocomplete="off" />
ไปใช้ net เครื่องคนอื่น หรือร้านเน็ต ถ้ามี chrome หรือ firefox ก็ใช้โหมด Incognito ตลอด ใช้เสร็จก็ปิดทิ้งด้วย
ฝึกที่ตัวเองให้ระมัดระวังความปลอดภัยดีกว่าครับ อย่าหวังพึ่งพาเครื่องมือเลย
--
ผมเคยบ่นมานานมากแล้ว และใน forum ของ Chrome ก็มีคนตั้งคำถามเรื่องนี้ แน่นอนว่าทางแก้อย่าง Firefox คือให้มีตั้ง master password เพื่อป้องกันอีกชั้นหนึ่งแทน ซึ่งก็ตอบโทจย์ได้ในระดับที่น่าพอใจ แต่ดูเหมือนทางฝั่ง Chrome ไม่นำพากับการเพิ่ม master password ผมเลยไม่ใช้ระบบ saved password บน Chrome และย้ายมาใช้ LastPass แทน เพราะรองรับการ sync ระกว่าง Browser/Devices และปลอดภัยกว่าเยอะ แถมมีระบบที่รัดกุมกว่า ทั้ง master password และ 2 factor authen อีกด้วย
อย่างนี้ต้องเรียกว่าเป็น "ช่องโหว่ของฟีเจอร์" สินะคับ?
ช่างไฟสมัครเล่น (- -")
มันไม่ใช่ช่องโหว่ซะทีเดียว
การจดจำรหัสผ่านของเว็ป ต้องเข้าใจว่า ทุกเว็ปในโลก
Chrome ไม่สามารถจดจำรหัสแล้วเข้ารหัสทางเดียวได้เลย ( เช่น เก็บแล้ว MD5 ซะ )
เพราะว่า Chrome ยังมีความจำเป็นต้องเก็บรหัสเป็น text เพียวๆ เนื่องจากเว็ปทุกเว็ปมีมาตรฐานการล็อกอินที่ไม่เหมือนกัน
Chrome จึงทำได้แค่ เอารหัสไป fill ใส่ในช่อง Login From
ถึง Chrome จะไม่แสดงผลรหัส แต่มันก็ต้องเก็บรหัสไว้ที่ใดที่หนึ่งของเครื่อง ในรูปแบบ Text อยู่ดี
ไม่ว่าจะยังไง ถ้าเราจะให้ Browser จดจำรหัสเอาไว้ เราก็ต้องรู้เรื่องนี้ด้วย
การที่จะแก้ไข โดยเอาปุ่ม Show รหัสออกไป ไม่ได้หมายความว่า ความปลอดภัยจะสูงกว่าเดิมมากมายนัก
ทำไมหลายคนโทษ user ทำเหมือนว่าคนที่ไม่รู้ย่อมผิดไปเสียหมด ในวงการนี้คุณอาจจะรู้เยอะกว่าคนอื่นแต่ในทางกลับกันคนอื่นย่อมมีบางเรื่องที่เขารู้ดีกว่าคุณแน่นอน ผมว่ามันไม่แปลกเลยที่หลายคนจะไม่รู้เรื่อง security ขั้นพื้นฐานแบบนี้ คนอีกจำนวนมากที่มีประสบการณ์การท่องเว็บเพียงเล็กน้อยไม่ได้มานั่งเล่นหน้าคอมทุกวันแบบเรา ๆ พอเจออะไรแปลก ๆ โผล่ขึ้นมาก็กดไว้ก่อน บางคนอ่านภาษาอังกฤษไม่ออกก็กด yes กด ok อย่างเดียวก็มี (ในกรณีที่ไปเล่น Chrome เครื่องที่มี UI ภาษาอังกฤษ)
ตอนแรกที่ใช้ Chrome ผมก็งงเหมือนกันว่าเล่นแสดง plain text password กันง่าย ๆ แบบนี้เลยหรือแต่ผมก็ยังใช้ต่อไปเพราะความสะดวกและคอมพิวเตอร์ที่บ้านผมก็ใช้เพียงคนเดียว อย่างไรก็ตามผมว่ามันยังดู "มักง่าย" อยู่เหมือนกัน อาจจะไม่ถึงกับควรเรียกว่าเป็นช่องโหว่แต่ควรเรียกว่าเป็นความมักง่ายของระบบรักษาความปลอดภัยให้กับผู้ใช้ของ Google Chrome มากกว่า
That is the way things are.
นี่คือความไม่รู้ และไม่ยอมเรียนรู้ (อ่านไม่ออกก็ควรเรียกใครสักคนมาช่วย) การไม่รู้ไม่แปลก แต่แปลกที่ไม่ยอมเรียนรู้
โครมทำให้การล้วงข้อมูลง่ายเป็นความผิดพลาดอย่างหนึ่ง เพราะโครมเขาให้ใช้ในเครื่องส่วนตัว และถ้าเป็นเครื่องสาธารณะโครมมีโหมด "ไม่ระบุตัวตน" ให้อยู่แล้ว (ซึ่งต่อให้คลิกให้จำรหัสไว้ มันก็จะล้างค่าให้อยู่ดี)
ปล.โครมเข้ารหัสพาสเวิร์ดครับ แต่มันก็ยังแฮกง่ายอยู่ดี
เรื่อง mode "ไม่ระบุตัวตน" นี่ไม่ต้องพูดถึงหรอกครับ ลองไปสำรวจสุ่มตรวจประชาชนดูว่ามีคนรู้จัก Chrome กี่เปอร์เซ็นต์ก่อนค่อยมาว่ากันดีกว่า จะไปคาดหวังให้คนทั่วไปรู้ลึกรายละเอียด feature ของ program ลึกแบบนั้นคงจะเป็นไปได้ยาก
ไม่ต้องไปมองไกล ลองถามคนเรียนสายศิลป์รุ่นราวคราวเดียวกันจบจากมหาวิทยาลัยมีชื่อเสียงดูก่อนก็ได้ครับว่า "รู้ไหมว่า Chrome มี mode ไม่ระบุตัวตน?" คนใช้คอมพิวเตอร์ทำงานทุกวันบางคนยังไม่รู้เรื่องนี้ก็มีครับ
ผมคิดว่าคนอื่นคงจะไม่สนใจเรื่อง feature ของ browser มากเหมือนคนแถวนี้หรอกครับ ต่างคนต่างหลากหลายอาชีพหน้าที่การงานความสนใจ บางคนก็คงมองว่า browser เอาไว้เล่น internet อย่างเดียวก็พอ เลือกอันที่เร็วที่สุด settings ไม่ต้องไปสนใจ feature ไม่ได้ใช้ เรื่องอื่นในชีวิตที่สำคัญกว่ามีอีกมาก
ผมว่าเรื่องแค่นี้ระดับ Google น่าะจะคิดหาวิธีแก้ไขและทำให้ดีกว่านี้ได้ไม่ยาก แต่การตอบแบบขอไปทีอย่างว่ารู้แต่ไม่คิดจะทำอะไรนี่ฟังแล้วรู้สึกไม่ดีเท่าไรครับ
ปล. ลองดูตัวอย่าง 2 ท่านด้านล่างได้ครับ
That is the way things are.
ถ้ามองว่าปัญหานี้เป็นปัญหาของระบบ ถ้าผมลองเทียบกับกรณีคนเสียเงินเพราะลูกๆ หลานๆ กดมั่วๆ ซื้อพวก In-App Purchases ของแอปเปิล หรือของเพลย์สโตร์
แบบนี้เป็นปัญหาของผู้ใช้หรือปัญหาของแอปเปิล/กูเกิลครับ?
ถ้าเป็นปัญหาของแอปเปิล/กูเกิล ทำไมแอปเปิล/กูเกิล ไม่เตือนผู้ใช้ว่าผูกบัตรแล้วไม่ตั้งค่าอะไรแล้วจะกดซื้อได้อัตโนมัติ
หรือเป็นปัญหาของผู้ใช้ ที่ไม่อ่านหรือเรียนรู้การตั้งค่าอะไรเลย? ซื้อไอแพดมาผูกบัตรแล้วก็จบเลย?
กรณีโครม: ลูกค้าไม่รู้ว่าถ้าเซฟรหัสแล้วจะมองเห็นรหัสผ่านได้?
กรณีแอพเปิลสโตร์/เพลย์สโตร์: ลูกค้าไม่รู้ว่าถ้าไม่ปิด In-App Purchases ใครๆ ก็กดซื้ออะไรในแอพได้?
ย้ำอีกครั้ง ผมไม่ได้ว่าโครมไม่มีปัญหา มันมี แถมเจาะง่ายกว่าใคร แต่มันก็ต้องโทษผู้ใช้ด้วย ไม่ใช่บอกว่าก็ผู้ใช้งานไม่เก่ง ไม่รู้ เป็นที่ซอฟต์แวร์
In-app purchase ของ Google เป็นอย่างไรผมไม่รู้นะแต่ของ Apple จะบังคับให้ใส่ password ยืนยันก่อนจ่ายเงินซื้อเสมอ คนที่ไม่รู้ password จะซื้อไม่ได้
เข้าใจอะไรผิดหรือเปล่าครับ ทำไมเอามาเทียบกันได้ ?
That is the way things are.
ปัญหาท่านแก้ง่ายๆ ด้วยการ "รู้" ครับ
จากคำพูดที่ว่า "เรื่องอื่นในชีวิตที่สำคัญกว่ามีอีกมาก"
แปลว่าเรื่อง password คนไม่สำคัญกับคนพวกนี้หรอกครับ (ชีวิตจริงของคนพวกนี้คงจะแปะ password ไว้ข้าจอคอมนั่นแหละ)
คงไม่ต้องกด setting เข้าไปดู password ให้ยุ่งยากหรอก
โดนพื้นฐานแล้ว มันก็ควรคิดได้ว่าถ้าตั้งให้จำ password เอาไว้ ใครมาใช้เครื่องก็เข้าเว็บได้เลย อันนี้ไม่ต้องพึ่งพาความรู้ด้านเทคนิคด้วยครับ
สมมติว่า Google ตั้ง Save Password เป็น default disabled เอาไว้ แล้วดันมีคนไปเปิด (มันเป็นเครื่องสาธารณะ) แบบนี้ต้องโทษใครต่ออ่ะครับ
งดโทษแมวนะครับครับ XD
ผาก password ไว้กับคนอื่นนี่ถ้าไม่โทษ user จะให้ไปโทษใครลาะครับ ถ้าจะบอกว่า user หลายครไม่รู้ หรืออ่านภาษาอังกฤษไม่ออก (ผมไม่อยากจะพูดตรงๆว่าโง่แล้วอยากจะใช้นะครับ)
ปล. ประชาชนทำผิด แล้วอ้างว่าไม่รู้กฎหมายไม่ได้ ฉันใดก็ฉันนั้น
ย้ายไปข้างบน
มันก็ใช้ง่ายดีนะ เวลาจำพาสเวิร์ดไม่ได้ผมก็มักจะมาเปิดดู เพราะบางกรณีบราวเซอร์จะไม่กรอกพาสเวิร์ดให้
บางกรณีก็ไปใช้เครื่องอื่นหรือบราวเซอร์ตัวอื่น
มันมีนานแล้ว งั้นก็ไปเรียกร้องให้ครบทุกค่ายเลยครับงั้นหน่ะ - -
มันมีนานแล้วแต่ไม่ใช่ว่าทุกคนบนโลกใบนี้จะเห็นและรู้ว่ามันมีอยู่นะครับ
แค่ให้ผู้อื่นใช้งาน user ของเราที่login ไว้มันก็ไม่ปลอดภัยแล้วละค่ะ ใช้เครื่องสาธารณะมันก็เป็นสามัญสำนึกที่ต้องไม่บันทึกรหัสผ่าน ข่าวออกมาเช่นนี้ดูจะรุนแรงไปหน่อยนะค่ะ
ไม่เคยรู้นะนี่ 555
ผมเพิ่งรู้อ่ะ (-__-"
รหัสผ่าน Chrome มันเก็บไว้ที่นี่ C:\Users\\Appdata\Local\Google\Chrome\User Data\Default\Login Data
เป็น sql lite โดดๆ decrypt พาสก็ง่ายมาก google พี่แกโดนเจอะไปเป็นปีแล้วก็ไม่ยอมเปลี่ยน
ถ้าเจอเข้าเว็ปติดไวรัสแฝง spyware แอบ remote กลับขึ้น server ก็จบเห่แล้วครับ user ไม่รู้ตัวแต่โดนไปเรียบร้อยก็สมควรโดนด่าอยู่ เอาจริงๆ น่าจะเป็น browser ที่ระบบความปลอดภัยต่ำสุดแล้วมั้ง -*-)
Firefox รุ่นปัจจุบัน (Firefox 23) ก็โชว์รหัสผ่านได้ครับ ไม่เห็นมีใครบอกว่าเป็นช่องโหว่เลย ทำไมไม่บอกให้หมดทุก Browser เลยหละ กะทำลาย Chrome ชัดๆ
เพราะมันเข้าถึงได้ยากกว่า เพราะมี Master Password ในการช่องป้องกันอีกชั้นก่อนเข้าถึงรหัสผ่านจริงๆ
สำหรับ Chrome ที่มีการให้ใช้ Google Account ผูกกับตัว Browser อยู่ ซึ่งไหนๆ ก็ login แล้ว ก็ควรมีข้อกำหนดว่าต้อง login ตัว Google Account ก่อน แล้วถึงจะใช้ save password ได้ แล้วถ้าอยากดูรหัสผ่านนั้น ก็ login ด้วยตัว Google Account ก่อนสักนิด เพื่อยืนยันอีกชั้นนึงก็ยังได้นะ
รหัสผ่านหลายอย่างอยากเซฟไว้กับคอมพิวเตอร์ส่วนตัวของตัวเอง เพราะไม่ได้มีความสำคัญมา ไม่อยากจำเยอะ แต่ก็ไม่อยากให้คนอื่นรู้ แต่บางทีจำเป็นเพื่อนต้องการมาใช้คอมพิวเตอร์เราด่วนๆ เร็วๆ ไม่นาน ก้ต้องยอมให้ใช้ Master Password ของ Firefox จึงตอบโจทย์ความต้องการนี้
ถามว่าถ้าเป็นเหตุในข่าวที่ Chrome ไม่ยอมให้มี Master Password ก็คิดว่าเป็นเหตุผลที่รับได้ แต่มันไม่ตรงกับความต้องการของเรา และคนอื่นอีกหลายคน