By: lew 
on 1 December 2018 - 16:45
Tags:
วันนี้มีรายงานว่าเว็บ Human Right Watch (HRW) กลุ่ม NGO ที่สนับสนุนสิทธิมนุษยชน ถูกบล็อคหน้ารายงานของประเทศไทย https://www.hrw.org/asia/thailand โดยความผิดปกติจากการบล็อคอื่นๆ คือเว็บ hrw.org นั้นเป็นการเชื่อมต่อแบบ HTTPS ที่ไม่ควรจะบล็อคราย URL ได้
อย่างไรก็ดี เมื่อตรวจสอบพบว่า เมื่อเข้าเว็บจากในประเทศไทยหมายเลขไอพีของ hrw.org จะอยู่ในวง 49.231.32.0 - 49.231.255.255 ที่เป็นวงของ AIS ทาง hrw.org ใช้บริการ CDN ของจีนที่ชื่อว่า wtxcdn.com ทำให้เมื่อ resolve DNS แล้วได้หมายเลขไอพีในวงนี้ (canonical name ที่ resolve ได้คือ www.hrw.org.wtxcdn.com)
ความเป็นไปได้สองอย่างหลักๆ ที่ทำให้ AIS สามารถบล็อคราย URL ได้ คือ CDN นี้เชื่อมต่อกับเซิร์ฟเวอร์หลักของ HRW โดยไม่เข้ารหัส ทำให้เกตเวย์ของ URL พบการเข้าใช้เว็บที่อยู่ในรายการบล็อคจึงบล็อคเว็บเสีย อีกทางหนึ่งคือทาง wtxcdn นั้นบล็อคให้เอง
ปัญหาการเชื่อมต่อกับ CDN โดยไม่เข้ารหัสนั้นมีมานาน ทำให้แฮกเกอร์หรือ ISP สามารถดักฟังการเชื่อมต่อเข้ารหัสได้ เนื่องจากเซิร์ฟเวอร์หลักขององค์กรจำนวนมากยังไม่เปิดใช้ HTTPS แม้แต่ CDN รายใหญ่อย่าง Cloudflare ก็ต้องเปิดตัวเลือกให้สามารถเชื่อมต่อกับเซิร์ฟเวอร์โดยไม่ใช้ HTTPS
นอกจาก AIS แล้วยังมีรายงานว่าผู้ใช้ทรูก็ถูกบล็อคแบบเดียวกัน
ที่มา - Facebook: Art Suriyawongkul
ภาพการเชื่อมต่อ HTTPS ไปยัง CDN แต่เซิร์ฟเวอร์หลังบ้านไม่ได้เข้ารหัส จาก Cloudflare
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Urgent Jobs
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
แล้วจริงๆ หน้าเพจนี้ ถูกบล็อคโดยคำสั่งศาลรึเปล่าครับ?
ขนาดองค์กรระดับโลกยังโดน....
CAT ของผมเข้าได้อยูแฮะ
ต้องดูว่า resolve ได้ ip อะไรครับ คือว่าได้ cdn อื่นที่ไม่ได้อยู่กับ AIS
lewcpe.com, @wasonliw
ชั่วคราวหรือเปล่าครับ ผมใช้ aisก็ยังเข้าได้ปกติ
มายืนยันว่า Truemove ตั้งแต่โพสต์ข่าวจนกระทั่งตอนผมโพสต์คอมเมนต์นี้ ยังเข้าไม่ได้
True เข้าไม่ได้เหมือนกันครับ
"true internet"
The connection has timed out
The server at 103.208.24.21 is taking too long to respond.
Ais เข้าไม่ได้
TOT เข้าได้ครับ
TOT เข้าได้เช่นกันครับ
Confirm อีกเสียง TOT เข้าได้
ISP ไหนเข้าไม่ได้ก็เข้าผ่าน VPN เอาครับ
ใช้ fibre ais เข้าได้ครับ
ping ได้ ip 171.102.237.240
3BB fiber เข้าได้
ทรูถ้าเปลี่ยนการตั้งค่า DNS server อยู่แล้ว ก็เข้าได้ปกติครับ
แต่ถ้าเป็นการตั้งค่าเดิมจากโรงงานจะเข้าไม่ได้เหมือนกัน
+1
อัพเดทล่าสุดเข้าไม่ได้แล้วครับ
สงสัยจะมีเจ้าหน้าที่เข้ามาอ่าน อิอิ
บล็อคหน้าเว็บแบบนี้ คนจะหาอ่านมากกว่าปกติซะอีก ทหารก็คือทหาร ไม่ฉลาดเท่าไร
ไม่ได้เหมือนกันครับ AIS
o-O
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
เอาจริงๆ เวลา block เวบไซต์โดยอ้างว่าเป็นตามคำสั่งศาล นี่ในหน้าเวบที่ขึ้นblock(ไม่ได้หมายถึงblognone นะแต่หมายถึงหน้าเวลาเราเข้าเวบที่ถูกblock) อยากจะให้ลง คำสั่งศาล หรือเลขอ้างอิงคำพิพากษา จะได้ไปตามต่อได้ว่า block จากคดีไหนอะไร และมีคำสั่งจริงๆไหม โดยเฉพาะที่ว่าคำสั่งต้องตามมากับความรับผิดชอบ
เพราะไม่งั้นเราจะรู้ได้ไง ว่าการ block นี้เป็นไปตามคำสั่งศาล หรือคำพิพากษาถึงที่สุดจริงๆไหม? อย่างตอนเรื่อง block FB ที่เรารู้ข้อเท็จจริงจากสื่อนอกทีหลังเอาเอง?
ใครอยู่กสทช.ก็ฝากไปบอกด้วยแล้วกัน คิดว่ามีทีมคอยมอนิเตอร์หรืออ่านเองกันบ้างอยู่แล้ว ดูจากหลายๆข่าวที่ตามมา
+1,000,000
When idiots became head of country.....
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
ประเทศกูมี...
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
ประเทศกูมี...
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
หรือนี่จะเป็นสัญญาณของ...
จากที่ทดสอบผ่านเน็ตบ้านทรู 4 แบบ ที่ทั้งหมดใช้เน็ตเวิร์กเครือเดียวกัน ต่อผ่านเราท์เตอร์ตัวเดียวกัน และเราท์เตอร์ก็ใช้ค่า default ของทรูไม่ได้ปรับเปลี่ยนอะไร
ปล. อันที่เข้าไม่ได้ redirect ไปที่ IP 103.208.24.21 และขึ้นบอกว่าหมดเวลาการเชื่อมต่อ
ประเทศกูมี
AIS 4G + AIS Fibre เข้าได้
เข้าไม่ได้ครับ เนทบ้าน True
dtac/dtac-T เข้าได้ครับ
ต้องตั้งค่าใน cloudflare กำหนดเป็น full strict แทน flexible ครับ
ตัว cdn edge จะได้คุยกับ upstream ผ่าน ssl(ซึ่งมา block กันระหว่าง cdn edge กับ upstream นี่แหละ)