Facebook เปิดให้ใช้ HTTPS ตลอดเวลาแล้ว

By: tewson

on 27 January 2011 - 00:20 Tags:

Topics:

Security

SSL

Facebook

หลังจากที่ fan page ของ Mark Zuckerberg ถูกแฮ็ก ทาง Facebook ก็เพิ่มระดับความปลอดภัยของเว็บไซต์ ด้วยการเปิดให้ผู้ใช้เลือกใช้งานผ่านโปรโตคอล HTTPS ได้ตลอดเวลาครับ

ก่อนหน้านี้โดยปกติแล้ว Facebook จะใช้โปรโตคอล HTTPS แค่ตอน log in เท่านั้น ซึ่งเปิดโอกาสให้มีการ "ไฮแจ็ก" session cookie ได้ อย่างที่ซอฟต์แวร์ Firesheep แสดงให้เห็นมาแล้วว่ามันอันตรายแค่ไหน

รู้สึกอุ่นใจขึ้นเยอะเลยครับ น่าจะทำมาตั้งนานแล้วนะเนี่ย สำหรับเว็บไซต์อื่น ๆ ที่มี HTTPS ให้ใช้แต่ไม่ตลอดเวลานั้น เราสามารถบังคับได้ด้วยส่วนเสริมของ Firefox ที่ชื่อ HTTPS Everywhere ครับ

[อัปเดต] แม้ในบล็อกของ Facebook จะบอกว่า "Starting today" แต่ตอนนี้ (ประมาณเที่ยงคืนครึ่ง เวลาไทย) ผมยังตั้งค่านั้นไม่ได้แฮะ

ที่มา - ReadWriteWeb

Hiring! บริษัทที่น่าสนใจ

ttb bank

“Transform the future of banking and unlock a new world of possibilities with us”

CP AXTRA Public Company Limited - Lotus's

CP AXTRA Lotus's is revolutionizing the retail industry as a Retail Tech company.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Comments

By: polaromonas

on 27 January 2011 - 00:34 #254046

ของผมก็ยังไม่ได้นะ

By: JPorsh

on 27 January 2011 - 00:43 #254048

ยังไม่ได้เหมือนกันครับ

By: lancaster

on 27 January 2011 - 00:54 #254050

ยังด้วยคน

By: llPorZall

on 27 January 2011 - 02:21 #254057

สงสัยทยอยอัพ

By: soloman

on 27 January 2011 - 05:10 #254066

ส่วนตัวใช้ plugin ssl anywhere ใน firefox อยู่แล้ว

By: popomut

on 27 January 2011 - 07:23 #254068

HTTPS มันไม่เห็นจะช่วยเรื่อง session hijacking เลย

By: lew

on 27 January 2011 - 07:29 #254070 Reply to:254068

ทำไมถึงคิดว่ามันไม่ช่วยล่ะครับ

lewcpe.com, @wasonliw

By: popomut

on 27 January 2011 - 09:31 #254086 Reply to:254070

https เป็นการเข้ารัหสข้อมูล ระหว่างต้นทางปลายทาง

การขโมย session โดยใช้ XSS นั้น จะเป็นการหลอกให้ user run javascript ที่จะไปอ่าน cookie เพื่อน get session id แล้วส่งไปให้ hacker

ส่วนรายละเอียดการ implement ลองหาเพิ่มเติมตาม security sites ดูนะครับ มันค่อนข้างยาวนิดนึง

By: bongikairu

on 27 January 2011 - 12:13 #254126 Reply to:254086

Session Hijack มีหลายแบบครับ ทั้งแบบแอบดึงออกจากเครื่องเหยื่อเองเลยหรือแอบฉกไประหว่างทางครับ

By: popomut

on 27 January 2011 - 13:36 #254148 Reply to:254126

ใช่ครับ

และแบบที่นิยม คือแบบ ที่ฉกจากเครื่องเหยื่อ ไม่ใช่ระหว่างทางครับ

ฉกระหว่างทางมันมีข้อจำกัดหลายแบบครับ ส่วนใหญ่ต้องอยู่ใน network เดียวกันเพื่อ sniff package.

ยังไง https ก็คงช่วยไรไม่ได้มาก สำหรับเรื่องนี้

By: popomut

on 27 January 2011 - 13:44 #254151 Reply to:254126

เพิ่มเติมให้ละกัน

การป้องกันพวก session hijacking มันต้องไปป้องกันที่ application coding level มากกว่า
เช่นการ convert dangerous/script characters ให้เป็น html entity
การ check page ordering, package ordering(จำชื่อเรียกอย่างเป็นทางการไม่ได้)

การที่ facebook เปิด https ให้ใช้นั้นผมว่า คงจะมีเหตุผลอื่นด้วย นอกเหนือจากการป้องกัน session hijacking

และที่สำคัญ มันคงเป็นการตัดสินใจที่ยากลำบากพอสมควรเนื่องจากว่าการทำ https ทุกๆ transaction จะกิน resource มากกว่าหลายเท่า

By: lancaster

on 27 January 2011 - 15:05 #254180 Reply to:254126

^
^
ตอบข้างบน

ไอ้ XSS ที่คุณว่ามามันป้องกันได้ครับถ้าไม่สะเพร่า แล้วเค้าก็(พยายาม)ป้องกันหมดแล้วที่ coding level แบบที่คุณว่ามานั่นแหละ

แต่ต่อให้ป้องกันแบบที่คุณว่ามาดีเลิศแค่ไหน ถ้าไม่ใช้ HTTPS ก็ตกม้าตายอยู่ดี

By: popomut

on 27 January 2011 - 15:39 #254199 Reply to:254126

^
^
ตอบคุณ lancaster

ผมไม่แน่ใจว่า คุณหมายความว่ายังไงที่บอกว่า ตกม้าตาย

ถ้าคุณ coding at application level ดีพอ ต่อให้ hacker ได้ session ID ไปจริงๆ แต่ว่าคุณ coding โดยใช้เทคนิค การตรวจสอบลำดับการ access web page, หรือมีการแนบ parameter ที่คอยเพิ่ม ตัวเลข ทุกๆ request&response (developer อาจจะเขียน code force signout ดักไว้ ถ้าหากว่า page ordering, หรือลำดับตัวเลขมันผิด). หรือจะทำแบบ amazon ก็ได้ที่ทำการ force login ทุกครั้งก่อนทำ transaction ที่สำคัญ (วิธีนี้อาจจะไม่เหมาะกับ facebook).

จริงๆแล้วอาจจะต้องใช้หลายๆเทคนิคมา combine กัน ที่พูดไปข้างบนแค่ยกตัวอย่างง่ายๆเท่านั้นครับ

By: kswisit

on 27 January 2011 - 20:47 #254295 Reply to:254126

ผมชอบดู geek (ถก)เถียงกันจริงๆ อ่านแล้วได้ความรู้

^
^
that's just my two cents.

By: kiak

on 28 January 2011 - 00:54 #254341 Reply to:254126

ผมอยากรู้ว่า ถ้าเกิดเรา ordering แล้ว เราเปิดหลายๆหน้า มันไม่รวนหรอครับ

By: lew

on 27 January 2011 - 14:39 #254175 Reply to:254086

การทำ Session Hijack มันไม่ต้องใช้ XSS เสมอไปนี่ครับ

และผมเองก็ยังไม่เคยได้ยินว่า Facebook มีปัญหา XSS

lewcpe.com, @wasonliw

By: popomut

on 27 January 2011 - 15:14 #254188 Reply to:254175

ที่ผมอยากจะบอกคุณก็คือ
้https มันป้องกัน session hijacking ไม่ได้ทั้งหมด ไงครับ
ต่อให้ encrypt data ด้วย https, session ID ก็ยังคงถูกขโมยได้โดยใช้ XSS เทคนิค อยู่ดี

By: lew

on 27 January 2011 - 15:18 #254190 Reply to:254175

แล้วไอ้ที่คุณว่า "HTTPS ไม่เห็นช่วย" นี่มันเป็นจริงตรงไหนหรือครับ

lewcpe.com, @wasonliw

By: popomut

on 27 January 2011 - 16:01 #254201 Reply to:254175

ที่ผมบอกว่ามันไม่ช่วย ก็เป็นเพราะว่า ยังไงก็โดน XSS อยู่ดีครับ

หรือถ้าจะให้ใช้คำพูดเป๊ะๆ ผมอาจจะต้องพูดว่า มันช่วยได้บ้าง ละกันครับ

และการที่คุณบอกว่า "ไม่เคยได้ยินว่า Facebook มีปัญหา XSS" ก็ไม่ได้หมายความว่า facebook ไม่เคยโดน hack เรื่องนี้

ลองดูอันนี้ละกันครับ
http://www.xssed.com/news/80/New_highly_critical_Facebook_XSS_vulnerabilities_pose_serious_privacy_risks/

**ต้อง offline ก่อนละครับ อาจจะไม่ได้มา discuss ด้วยหลายวัน

By: viroth

on 27 January 2011 - 09:59 #254092

มันก็ปลอดภัยได้ในระดับนึง คนใช้งานก็รู้สึกปลอดภัยมากขึ้น แฮคเกอร์มันเก่งคงช่วยไม่ได้

By: pines

on 27 January 2011 - 18:28 #254256

ฝรั่งก็มีวัวหายแล้วล้อมคอกเหมือนกันแฮะ อิอ

By: melloz

on 16 February 2012 - 10:29 #384271

ผมชอบ กระทู้นี้จัง
แต่ https ทำให้ บริษัท เก็บ log ไม่ได้ สะบายใจ จัง

Main menu