Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้
- การคลิกลิงก์เก่าที่เป็น http:// จะถูกอัพเกรดเป็น https:// โดยอัตโนมัติ หากเชื่อมต่อ https:// ไม่สำเร็จถึงค่อยกลับมาเป็น http:// แปลว่าผู้ใช้จะเข้าเว็บผ่าน HTTP ในกรณีที่ไม่มี HTTPS ให้ใช้งานเท่านั้น ไม่ได้เข้า HTTP โดยบังเอิญหรือไม่ตั้งใจ (แม้มี HTTPS ให้ใช้) อีกต่อไป
- การดาวน์โหลดไฟล์ผ่าน HTTP จะเห็นข้อความแจ้งเตือนว่าไฟล์อาจไม่ปลอดภัย การเตือนจะมีผลกับไฟล์ทุกประเภท ยกเว้นไฟล์ภาพ เสียง วิดีโอ ที่ค่อนข้างปลอดภัยในตัวเองอยู่แล้ว
ผู้ใช้บางส่วนจะเข้าใช้งานโหมด HTTPS-First โดยอัตโนมัติ โหมดนี้จะบังคับทุกเพจโหลดผ่าน HTTPS และหากเว็บนั้นไม่มี HTTPS จะขึ้นหน้าจอแจ้งเตือนแบบเต็มหน้า กูเกิลบอกว่าเป้าหมายปลายทางคือเปิด HTTPS-First เป็นดีฟอลต์สำหรับทุกคน แต่ตอนนี้ยังไปไม่ถึงจุดนั้น จึงจะทยอยเปิดบางส่วนไปก่อน
- ผู้ใช้ที่เข้าโครงการ Google Advanced Protection Program และล็อกอินบัญชีใน Chrome
- ผู้ใช้ที่เปิดโหมด Incognito
- เว็บไซต์ที่ Chrome รู้ว่าเราเข้าผ่าน HTTPS เป็นปกติ ต่อไปจะเปิดอัตโนมัติ
- ผู้ใช้ที่แทบไม่เข้าผ่าน HTTP เลย ต่อไปจะเปิดอัตโนมัติ
ที่มา - Chromium Blog
Get latest news from Blognone
Follow @twitterapi
Urgent Jobs
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
นึกถึงส่วนเสริม HTTPS Everywhere
บางเว็บมีแต่ html กับ public static file จะ HTTPS ไปทำไม
ถ้าไม่ใช่คนกลางจะมองเห็นว่าเราเข้าเว็บอะไรบ้าง content อะไรซึ่งลดความเป็นส่วนตัว
และคนกลางอาจจะแก้ไขข้อมูลได้ เช่นจากต้นฉบับเป็นรูปดอกไม้ เปลี่ยนเป็นรูกนก หรือเลวร้ายเลยเปลี่ยนให้ไปโหลดไวรัสแทน ซึ่งไม่ปลอดภัย
ถ้าหน้านั้นเป็นการกรอกฟอร์ม แล้วกรอกรหัสผ่าน หรือรหัสบัตรเครดิต นั่นก็ทำให้คนกลางเอาข้อมูลไปใช้ได้
😮👍
ผมก็ลืมไป คนกลางมันแก้ไขได้ด้วย ไม่ใช่แอบดูได้อย่างเดียว
ปัญหาคือ เวลา SETUP พวก Router ที่มันยัง DEFAULT เป็น http จะมีให้ exception ไหมหรือ Force เลย บางที User อาจจะสับสนได้ อีอันคือพวกระบบกล้องวงจรปิดที่บางตัว support แต่เป็น Self Sign Cert ที่ดันไม่เข้ากับ standard ใหม่แล้วเผลอเปิดไว้
Texion Business Solutions
self sign ยัง accept ได้ แต่ไม่ sign เลยไม่น่าจะดี
ถ้าถึงขั้นนั้นผมแนะนำให้ใช้ private VPN ไปเลย ผมทำบ่อยตอนใช้เครือข่ายภายใน อยู่นอกบ้าน
ถามเป็นความรู้หน่อย
การทำของเดิมเป็น HTTPS นี่ใช้ efforts เยอะมั้ยครับ หรือมันจะต้องคิดถึงสิ่งต่างๆมาน้อยแค่ไหนครับ
เช่น ถ้าผมไปจ้างเค้าทำเวบเสร็จแล้ว ผมก็ใช้มานานละใช้เป็นแบบ user แต่คราวนี้ต้องเปลี่ยนเป็น https อันนี้คือเปิดคู่มือมาแล้วมำตามได้เลยมั้ยครับ
network protocol เขาออกแบบแยกกันเป็นชั้นครับ เวลาแก้ใขมันจะได้ไม่ต้องแก้ทุกชั้นครับ https://en.wikipedia.org/wiki/OSI_model
HTTP:
client > create HTTP request (client) > man-in-middle (network) > receive HTTP request (server) > Our app
HTTPS:
client > create HTTP request (client) > encrypt to HTTPS (client) > man-in-middle (network) > receive HTTPS request (server) > decrypt to HTTP (server) > Our app
ถ้า web/mobile API/เว็บ "ทั่วไป" ไม่ต้องแก้ code อะไรครับ config ที่ server application ก็ใช้ได้แล้ว
ปัญหาระดับ app ก็ยังเกิดได้ครับ อย่าง wordpress นี่เจอ redirect loop
ถ้าหน้าเว็บก็ไม่เท่าไหร่ครับ แทบไม่มีผล เดี๋ยวนี้ cert ก็ ฟรี เจนง่ายด้วย
ที่มีปัญหาหลักๆก็ เป็นพวก ie เก่าๆ คอมเก่าๆ จะเข้าพวก tls 1.3 ไม่ได้
กับพวก api ต้องแก้ code นิดหน่อย ให้รองรับ protocal แล้วดูเรื่อง การตรวจสอบ cert ไม่งั้นตอน call จะ error
แบบนีปลอดภัยขึ้นเยอะ 55555
chrome://flags/#insecure-download-warnings
บ้านเรา บางเว็บก็ไม่ได้เข้าผ่าน https จริงแหละ แต่ส่วนใหญ่ก็คงเป็นเว็บเก่ากันเยอะ