กูเกิลได้เพิ่มฟีเจอร์ป้องกัน Cross-Site Request Forgery (CSRF) ในส่วนการล็อกอินเข้า Gmail โดยจะมีโทเคนเฉพาะ (unique token) ที่เก็บในคุ้กกี้เพื่อเอาไว้ตรวจสอบว่ามีการร้องขอ (request) การล็อกอินเข้ามาจริงหรือไม่
CSRF เป็นความพยายามที่จะเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาตอย่างหนึ่ง เช่น ผู้ใช้ล็อกอินทิ้งไว้แล้วไปเข้าเว็บไซต์ที่มีสคริปที่จะเข้าถึงอีกเว็บไซต์ที่เราล็อกอินทิ้งไว้โดยที่ผู้ใช้ไม่ทราบ ตราบเท่าที่เซสชันคุ้กกี้ของเว็บไซต์ดังกล่าวยังไม่หมดอายุลง ก็จะเสี่ยงต่อการเข้าถึงในลักษณะ CSRF ได้ ทางแก้ไขคือเว็บไซต์ควรมีการป้องกันอีกชั้นหนึ่งเพื่อตรวจสอบการร้องขอว่าถูกต้องหรือไม่ โดยใช้โทเคนเฉพาะที่สามารถสุ่มขึ้นมาได้ไม่ซ้ำกันในแต่ละครั้ง
CSRF พบได้บนบริการของกูเกิล รวมถึง Gmail แต่ที่ฟีเจอร์การป้องกัน CSRF นี้ไม่ได้รับการใส่เข้าไปก่อนหน้านี้เนื่องจากอาจทำให้ผู้ใช้หลายคนประสบปัญหาในการล็อกอินได้
กรรม ผู้ใช้บริการของกูเกิลที่ต้องล็อกอินเสี่ยงภัยอยู่ทุกวันหรือนี่!?
ที่มา: Softpedia
Comments
อ่านแล้วงง ๆ ตกลงว่า google ใส่หรือไม่ใส่? ย่อหน้าแรกบอก"เพิ่ม" ย่อหน้าก่อนสุดท้ายบอก "ไม่ได้รับการใส่เข้าไป" ?
งงที่เดียวกันเลย
อคติทำให้คนรับเหตุผลด้านเดียว
+1 งงเหมือนกันครับ
เรียบเรียงประโยคใหม่แล้วครับ
คุ้กกี้ใช้ไม้โทล่ะ
(ละเอียดไปไหมนี่..)
แก้แล้วครับ :)
คำว่า "คุกกี้" ค ควาย + เสียงตาย (สระอุ) คำว่า "คุก" มันก็ออกเสียงตรีอยู่แล้วนี่ครับ? จำเป็นต้องใส่ "ไม้โท" (คุ้ก) ด้วยเหรอ? ถ้าใส่ไม้โทน่าจะผิดหลักนะ??
+1ครับ อ่านแล้วงงล่ะครับ
แปลว่า "ทำไว้นานแล้ว แต่เพิ่งใส่ เพราะฟีเจอร์นี้อาจทำให้ยูสเซอร์หลายคนประสบปัญหาในการล็อกอิน"
ส่วนกรณีความเสี่ยงของผู้ใช้จีเมล ผมอยากเรียกว่านี่เป็นพัฒนาของฟิชเชอร์หรือแครกเกอร์ มากกว่าความเสี่ยงที่มีมาแต่เก่าก่อนครับ เทคโนโลยีพัฒนา หัวสมองพลิกแพลง (คดโกง) ก็ต้องพัฒนาให้เร็วกว่าครับตามกฎของแวนเดอร์บี๊ค
ในข่าวไม่ได้บอกไว้ครับว่าทำไว้ตั้งนานแล้วหรือยัง แล้วเพึ่งมาใส่ฟีเจอร์ป้องกันนี้
ส่วนคำพูดข้างล่างเป็นความคิดของผมเนื่องจาก "ความไม่รู้" ว่าฟีเจอร์นี้อาจมีมานานแล้ว แต่ไม่ได้มาใส่ไว้เนื่องจากกลัวผู้ใช้บางรายล็อกอินไม่ได้