SSL วันนี้: กูเกิลถูกโจมตีจากอิหร่าน, Chrome ปลอดภัย, Twitter เริ่มใช้ SSL ตลอดเวลา

By: lew

on 30 August 2011 - 23:44 Tags:

Topics:

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

พร้อมๆ กับการพูดถึงเรื่องความปลอดภัย งานนี้กูเกิลก็โฆษณาว่าผู้ใช้ Chrome นั้นได้รับการป้องกันจากฟีเจอร์ความปลอดภัยของ Chrome สองประการหลักคือ

Chrome จะจำกัดหน่วยงานออกใบรับรอง (Certification Authority - CA) สำหรับบริการของกูเกิลเองไว้เพียงกลุ่มเล็กๆ จำกัดกว่ารายชื่อ CA ปรกติ กรณีนี้ DigiNotar ไม่อยู่ในรายการที่ Chrome จะเชื่อว่าเป็นผู้ออกใบรับรองของบริการของกูเกิล โดยส่วนนี้กูเกิลทำได้เพราะเป็นผู้พัฒนาเบราเซอร์เองนั่นเอง
Chrome รองรับมาตรฐาน HSTS (HTTP Strict Transport Security) อย่างเต็มรูปแบบ โดยปรกตินั้นเมื่อเราพิมพ์ URL ของเว็บโดยไม่ระบุว่าจะใช้ HTTPS หรือไม่ เบราเซอร์จะเลือกใช้ HTTP ก่อนเสมอจากนั้นเซิร์ฟเวอร์จึงส่งข้อความ 301 กลับมาเพื่อให้เบราเซอร์เรียกใช้ HTTPS อีกครั้ง แต่หากเบราเซอร์รองรับมาตรฐาน HSTS เว็บจะสามารถแจ้งได้ว่าโดเมนนั้นๆ จะให้บริการ HTTPS เท่านั้น และเบราเซอร์จะไม่เรียกใช้ HTTP อีกเลยจนกว่าจะหมดเวลาที่กำหนดไว้ และหากเป็น Chrome ตัวเบราเซอร์จะล็อกการใช้งานบางเว็บให้ไม่เรียก HTTP ปรกติเลยแม้แต่ครั้งเดียวในบริการที่สำคัญหลายตัวเช่น PayPal, GMail, หรือ Google Encrypted เป็นต้น

มาตรฐาน HSTS นั้นน่าสนใจมากเพราะเราสามารถเพิ่มได้เองที่หน้า chrome://net-internals/#hsts เช่น ทวิตเตอร์หรือเฟชบุ๊กทำให้ Chrome ไม่ส่งข้อมูลใดๆ ที่ไม่เข้ารหัสไปยังเว็บเหล่านั้นอีกเลย

ข่าวสุดท้ายคือทวิตเตอร์นั้นกำลังจะปรับให้การเข้าใช้บริการ HTTPS เป็นมาตรฐานแบบเดียวกับที่ GMail ได้ปรับไปแล้วก่อนหน้านี้ โดยตอนนี้ทวิตเตอร์ปล่อยให้ผู้ใช้เลือกเองว่าต้องการใช้ HTTPS ตลอดเวลาหรือไม่

ถ้าใครทำงานกระทรวงไอซีทีอยู่หวังว่าท่านจะทราบแล้วว่าการบล็อกทวิตเตอร์หรือเฟชบุ๊กก่อนหน้านี้ไม่ว่าหน้าไหนๆ หรือทั้งเว็บ ไม่ว่าจะผิดพลาดหรือไม่ การเข้าผ่าน HTTPS ก็ไม่เคยได้รับผลกระทบใดๆ

ที่มา - Google Online Security Blog, Chromium Blog, Computer World

Hiring! บริษัทที่น่าสนใจ

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

Comments

By: winggundamth

on 30 August 2011 - 23:47 #328105

ชอบย่อหน้าสุดท้ายที่สุด

I will change the world, to the better day.

By: sikawit on 1 September 2011 - 00:19 #328404 Reply to:328105

By: pangza17

on 31 August 2011 - 00:05 #328114

ผมมีเพื่อนทำงานอยู่ ไอซีที แต่มีหน้าที่บล็อกเว็บไซต์ อย่างเดียวอ่ะครับ ^ ^

By: tsadvanced

on 31 August 2011 - 00:15 #328119

ย่อหน้าสุดท้าย WIN แต่จะชี้โพรงให้กระรอกหรือเปล่า?

By: jane

on 31 August 2011 - 01:33 #328144

https://xxxxxx.xxxxx/~norporch/html/cbox/2cbox.htm เข้าได้นะเธอว์

By: LEVY

on 31 August 2011 - 09:51 #328220 Reply to:328144

ขอร้องอย่าใช้ภาษาวิบัติเลยครับรำคาญลูกตามาก

By: bahamutkung

on 31 August 2011 - 09:32 #328216

ICT ประเทศสารขัณฑ์มีวิธีการทำงานที่ได้ผลมากกว่านั้นอีกนะ

หาเว็บ » ค้น ip » บี้ isp เอาชื่อ(ใครก็ไม่รู้) » เอาหมาต๋าไปลากตัว » กระทืบให้รับสารภาพ

หาอ่านได้จาก ars technica นะจ๊ะ ไม่กล้าแปลลงเว็บนี้ กลัวหมาต๋ามาเคาะประตู

"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: pittaya

on 31 August 2011 - 09:55 #328221 Reply to:328216

มีเวอร์ชันภาษาไทยแปลลงเว็บ ThaiNetizen ไว้ครับ

pittaya.com

By: LuvStry

on 31 August 2011 - 10:15 #328234 Reply to:328216

ถึงได้ต้องค้าน พรบ.คอมฯ 50 กันไงครับ ออกมาได้ยังไงมีแต่กฏจับแพะ

Blognone = 138.1 news/w เยอะมากๆ

By: LuvStry

on 31 August 2011 - 10:16 #328236

ผมอ่านข่าวก่อนหน้าเก็บเอาไปฝันเลยอะ ฝันว่าตัวเองกำลังโดน Phishing Gamil ดู URL ไม่ใช่ แต่ดันมี cer โอยย หลอนนน

Blognone = 138.1 news/w เยอะมากๆ

By: iammeng

on 31 August 2011 - 11:39 #328271

ยังงงๆเรื่อง SSL กับ cer ตั้งแต่จากข่าวที่แล้วละครับ
คือเหมือนยังไม่เข้าใจทั้งหมด สามารถอ่านได้ที่ไหนบ้างครับ

By: Independencer

on 1 September 2011 - 00:10 #328400

-*-

Blognone คร้าบบบบบ

"DigiNotar" นะคร้าบ ไม่ใช่ "DigiNator"

ส่วนใน Google Chrome ..ผมยังเห็นอยู่ใน Trust Root อยู่เลยนะ!! ...เลยremoveออกไปแล้ว

By: lew

on 1 September 2011 - 00:20 #328405 Reply to:328400

แก้แล้วครับ

ส่วน Trust Root ยังอยู่ก็ถูกแล้วนี่ครับ เค้าแค่ใส่ Cert ใบนี้เข้า Revoke List ส่วน Chrome นั้นผมบอกชัดเจนว่า Chrome จะไม่เชื่อใบรับรองให้กับบริการของกูเกิลครับ ไม่ใช่หมายความว่า Chrome ไม่เชื่อผู้ให้บริการรับรองเหล่านี้เลย

อ่านดีๆ ครับ มีอะไรไม่เข้าใจถามกันได้

lewcpe.com, @wasonliw

By: Independencer

on 1 September 2011 - 00:26 #328408 Reply to:328405

อ่า.. ผมไม่มั่นใจเท่าไหร่ว่าที่ยังมี Trust Root ตัวนี้อยู่อ่ะครับ ในIEก็ยังมี -*-

ถึงGoogleจะออกมายืนยันก็เถอะครับ

ฝั่งฝรั่ง(มาจากทางWikileaks)เขาบอกให้ remove ออก เพื่อความปลอดภัยเอาไว้ก่อนน่ะครับ... เอาออกไว้ก่อนเพื่อความชัวร์คงไม่เป็นไรมั้ง -.-"

อ่า... Diginator ยังมีอีกคำนึงครับ

Main menu