Tags:
Node Thumbnail

ความลักลั่นอย่างหนึ่งในระบบความปลอดภัยเว็บคือเว็บที่เข้ารหัสอย่างไม่ถูกต้อง เช่น ใช้ใบรับรองที่ไม่น่าเชื่อถือ หรือเข้ารหัสด้วยกระบวนการที่ล้าสมัย จะถูกแจ้งเตือนว่าเป็นเว็บที่ไม่ปลอดภัย พร้อมหน้าจอเตือนผู้ใช้อย่างชัดเจน ขณะที่เว็บทั่วไปที่ไม่ได้เข้ารหัสกลับสามารถใช้งานได้โดยไม่มีการเตือนใดๆ ทั้งที่จริงมีความเสี่ยงมากกว่าคือสามารถโดนโจมตีทั้งแบบคั่นกลาง (man-in-the-middle) หรือดักฟังโดยไม่แก้ไขข้อมูลก็ได้ ตอนนี้มีข้อเสนอจากทั้งฝั่งโครมและไฟร์ฟอกซ์ ให้แจ้งเตือนเว็บไม่เข้ารหัสในระดับเดียวกับการเข้ารหัสอย่างไม่ปลอดภัย

ข้อเสนอนี้ที่จริงแล้วเริ่มต้นจากฝั่ง Firefox เมื่อกลางปีที่ผ่านมาโดย Daniel Roesler (ไม่มีข้อมูลบนเว็บของไฟร์ฟอกซ์ แต่น่าจะเป็นผู้ก่อตั้งบริษัท UtilityAPI) เปิดบั๊กหมายเลข 1041087 ขอให้ไฟร์ฟอกซ์พิจารณาแสดงไอคอนเตือนผู้ใช้ว่าเว็บที่ไม่ได้เข้ารหัสแต่ข้อเสนอนี้ถูกปฎิเสธและปิดบั๊กไป แต่ตอนนี้บั๊กกลับมาเปิดใหม่อีกครั้งเพราะทางกูเกิลเสนอข้อเสนอแบบเดียวกันบนเว็บของโครม

ข้อเสนอของกูเกิลระบุให้เริ่มช่วงเปลี่ยนผ่าน โดนเริ่มจากแจ้งเตือนว่าน่าสงสัย (Dubious) กับเว็บที่ไม่ได้เข้ารหัสก่อน เมื่อผ่านไประยะสองจึงแจ้งเตือนว่าเว็บที่ไม่เข้ารหัสนี้ไม่ปลอดภัย (Non-secure) เมื่อเปลี่ยนผ่านไประยะสุดท้าย เว็บที่เข้ารหัสและมีการยืนยันจะกลายเป็นเว็บธรรมดาที่ไม่ได้แจ้งเตือนพิเศษอะไร แต่แจ้งเตือนเฉพาะเว็บที่ไม่สามารถยืนยันต้นทางได้เท่านั้น

แนวทางการเปลี่ยนผ่านนี้อาจจะเป็นการกำหนดเป็นเวลาตายตัวหรือพิจารณาจากสถิติเช่นเว็บส่วนมากปรับปรุงเป็นเว็บที่ปลอดภัยเกินค่าหนึ่งแล้วจึงปรับระดับไปเรื่อยๆ โดยทางกูเกิลระบุว่าข้อเสนอนี้ยังต้องผ่านการพูดคุยกันอีกมาก

ข้อเสนอแบบนี้เป็นข้อเสนอระดับเบื้องต้นมาก กว่าจะได้รับการยอมรับคงเป็นปีหน้า และระยะเวลาบังคับใช้อาจจะกินเวลาอีกนับปีครับ

ที่มา - Chromium.org, Mozilla: Bugzilla #1041087

Get latest news from Blognone

Comments

By: HudchewMan
ContributorAndroidWindowsIn Love
on 16 December 2014 - 15:37 #773308
HudchewMan's picture

โดนเริ่มจากแจ้งเตือนว่าน่าสงสัย

โดยเริ่มจากแจ้งเตือนว่าน่าสงสัย


~ HudchewMan's Station & @HudchewMan~

By: PH41
ContributorAndroidUbuntuWindows
on 16 December 2014 - 16:02 #773320
PH41's picture

ขอให้แจกฟรีมาก่อนละกัน

By: bouroo
AndroidRed HatUbuntuIn Love
on 16 December 2014 - 18:11 #773363 Reply to:773320
bouroo's picture

เอ้าผมก็นึกว่ามีฟรี อยู่แล้วนิ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 16 December 2014 - 18:17 #773364 Reply to:773320
lew's picture

ที่มีอยู่ยังไม่ดีเท่าไหร่ครับ แต่ปีหน้าจะมี Let's Encrypt ซึ่งน่าจะสะดวกขึ้นมาก ข้อเสนอนี้เลยคุยกันไว้ก่อน อาจจะกำหนดเวลาให้หลังจากเริ่มมี cert ฟรีไปช่วงหนึ่ง หรือกำหนดจากการใช้งานที่เพิ่มขึ้นมากค่อยบังคับใช้ (เป็นเก้าอี้ดนตรี ใครลุกช้าซวย)


lewcpe.com, @wasonliw

By: romerun on 17 December 2014 - 13:31 #773741

ความลักลั่น เกิดมาเพิ่งเคยได้ยิน

By: lew
FounderJusci's WriterMEconomicsAndroid
on 18 December 2014 - 11:14 #774042 Reply to:773741
lew's picture

ตามราชบัณฑิตครับ

ลักลั่น ว. ขาดความเป็นระเบียบทําให้เกิดเหลื่อมลํ้าไม่เป็นไปตาม กฎตามแบบตามลําดับเป็นต้น เช่น ทำงานลักลั่น เครื่องใช้ ต่างชุดต่างสำรับใช้ปนกันดูลักลั่น.


lewcpe.com, @wasonliw