Tags:
Node Thumbnail

กูเกิลได้เพิ่มฟีเจอร์ป้องกัน Cross-Site Request Forgery (CSRF) ในส่วนการล็อกอินเข้า Gmail โดยจะมีโทเคนเฉพาะ (unique token) ที่เก็บในคุ้กกี้เพื่อเอาไว้ตรวจสอบว่ามีการร้องขอ (request) การล็อกอินเข้ามาจริงหรือไม่

CSRF เป็นความพยายามที่จะเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาตอย่างหนึ่ง เช่น ผู้ใช้ล็อกอินทิ้งไว้แล้วไปเข้าเว็บไซต์ที่มีสคริปที่จะเข้าถึงอีกเว็บไซต์ที่เราล็อกอินทิ้งไว้โดยที่ผู้ใช้ไม่ทราบ ตราบเท่าที่เซสชันคุ้กกี้ของเว็บไซต์ดังกล่าวยังไม่หมดอายุลง ก็จะเสี่ยงต่อการเข้าถึงในลักษณะ CSRF ได้ ทางแก้ไขคือเว็บไซต์ควรมีการป้องกันอีกชั้นหนึ่งเพื่อตรวจสอบการร้องขอว่าถูกต้องหรือไม่ โดยใช้โทเคนเฉพาะที่สามารถสุ่มขึ้นมาได้ไม่ซ้ำกันในแต่ละครั้ง

CSRF พบได้บนบริการของกูเกิล รวมถึง Gmail แต่ที่ฟีเจอร์การป้องกัน CSRF นี้ไม่ได้รับการใส่เข้าไปก่อนหน้านี้เนื่องจากอาจทำให้ผู้ใช้หลายคนประสบปัญหาในการล็อกอินได้

กรรม ผู้ใช้บริการของกูเกิลที่ต้องล็อกอินเสี่ยงภัยอยู่ทุกวันหรือนี่!?

ที่มา: Softpedia

Get latest news from Blognone

Comments

By: pruet
WriterAndroidRed HatUbuntu
on 6 October 2009 - 08:43 #129452
pruet's picture

อ่านแล้วงง ๆ ตกลงว่า google ใส่หรือไม่ใส่? ย่อหน้าแรกบอก"เพิ่ม" ย่อหน้าก่อนสุดท้ายบอก "ไม่ได้รับการใส่เข้าไป" ?

By: Zatang
ContributoriPhoneAndroid
on 6 October 2009 - 08:49 #129453 Reply to:129452

งงที่เดียวกันเลย


อคติทำให้คนรับเหตุผลด้านเดียว

By: yecoyote
Android
on 6 October 2009 - 09:23 #129455 Reply to:129452

+1 งงเหมือนกันครับ

By: nuntawat
WriterAndroidWindowsIn Love
on 6 October 2009 - 09:49 #129460 Reply to:129452
nuntawat's picture

เรียบเรียงประโยคใหม่แล้วครับ

By: pakkached
Contributor
on 6 October 2009 - 09:35 #129456
pakkached's picture

คุ้กกี้ใช้ไม้โทล่ะ
(ละเอียดไปไหมนี่..)

By: nuntawat
WriterAndroidWindowsIn Love
on 6 October 2009 - 09:47 #129461 Reply to:129456
nuntawat's picture

แก้แล้วครับ :)

By: skycreeper
iPhoneBlackberryUbuntu
on 6 October 2009 - 12:35 #129538 Reply to:129456

คำว่า "คุกกี้" ค ควาย + เสียงตาย (สระอุ) คำว่า "คุก" มันก็ออกเสียงตรีอยู่แล้วนี่ครับ? จำเป็นต้องใส่ "ไม้โท" (คุ้ก) ด้วยเหรอ? ถ้าใส่ไม้โทน่าจะผิดหลักนะ??

By: bicky on 6 October 2009 - 09:39 #129459

+1ครับ อ่านแล้วงงล่ะครับ

By: latesleeper
Android
on 6 October 2009 - 11:30 #129502

แปลว่า "ทำไว้นานแล้ว แต่เพิ่งใส่ เพราะฟีเจอร์นี้อาจทำให้ยูสเซอร์หลายคนประสบปัญหาในการล็อกอิน"

ส่วนกรณีความเสี่ยงของผู้ใช้จีเมล ผมอยากเรียกว่านี่เป็นพัฒนาของฟิชเชอร์หรือแครกเกอร์ มากกว่าความเสี่ยงที่มีมาแต่เก่าก่อนครับ เทคโนโลยีพัฒนา หัวสมองพลิกแพลง (คดโกง) ก็ต้องพัฒนาให้เร็วกว่าครับตามกฎของแวนเดอร์บี๊ค

By: nuntawat
WriterAndroidWindowsIn Love
on 6 October 2009 - 11:34 #129505 Reply to:129502
nuntawat's picture

ในข่าวไม่ได้บอกไว้ครับว่าทำไว้ตั้งนานแล้วหรือยัง แล้วเพึ่งมาใส่ฟีเจอร์ป้องกันนี้

ส่วนคำพูดข้างล่างเป็นความคิดของผมเนื่องจาก "ความไม่รู้" ว่าฟีเจอร์นี้อาจมีมานานแล้ว แต่ไม่ได้มาใส่ไว้เนื่องจากกลัวผู้ใช้บางรายล็อกอินไม่ได้