Wikimedia ประกาศเข้าสู่ช่วงสุดท้ายของการบังคับ HTTPS ทั้งหมด จะเสร็จในไม่กี่สัปดาห์ข้างหน้า

By: lew

on 13 June 2015 - 21:54 Tags:

Topics:

Wikipedia

Wikimedia Foundation

HTTPS

Wikimedia Foundation ผู้ดูแลเว็บไซต์ Wikipedia และเว็บอื่นๆ ในเครือจำนวนมากประกาศว่าตอนนี้การย้ายเว็บทั้งหมดไปใช้ HTTPS ตั้งแต่ปี 2013 เริ่มเข้ามาถึงช่วงสุดท้าย

นอกจากการเปิด HTTPS แล้ว ทาง Wikimedia จะเปิดใช้ HSTS เพื่อบังคับให้เบราว์เซอร์เข้าเว็บแบบ HTTPS ตลอด

ทาง Wikimedia คาดว่าจะใช้เวลาไม่กี่สัปดาห์เพื่อให้เว็บทั้งหมดบังคับใช้ HTTPS ตอนที่เขียนอยู่นี้ผมทดสอบ th.wikipedia.org พบว่ายังไม่บังคับ แต่ en.wikipedia.org บังคับแล้ว ตอนนี้ถ้าใครเข้าเว็บภาษาอังกฤษก็จะพบว่าเบราว์เซอร์ไม่ส่งข้อมูลที่ไม่เข้ารหัสออกจากเบราว์เซอร์แล้ว

ที่มา - Wikimedia Blog

Hiring! บริษัทที่น่าสนใจ

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

CDG GROUP

Provider of IT solutions to public, state, and private sectors in Thailand for over 56 years

Comments

By: hisoft

on 13 June 2015 - 22:13 #819871

ใช้ HSTS กับบังคับ redirect เข้า HTTPS นี่ต่างกันยังไงครับ?

By: mr_tawan

on 13 June 2015 - 22:34 #819872 Reply to:819871

สองตัวนี้น่าจะไม่เกี่ยวกันนะครับ (เท่าที่อ่านใน wikipedia) คือ HSTS มันทำงานบน HTTPS ดังนั้นจะให้มันทำงานได้ก็ต้อง redirect จาก HTTP ไป HTTPS ก่อน อะไรแบบนี้มากกว่า

เท่าที่อ่าน HSTS เป็นการบอก Browser ว่า จากนี้ไปให้ใช้ HTTPS อย่างเดียวเท่านั้นนะ

9tawan.net บล็อกส่วนตัวฮับ

By: hisoft

on 13 June 2015 - 23:01 #819880 Reply to:819872

อ้อ ขอบคุณครับ

By: lew

on 13 June 2015 - 23:01 #819879 Reply to:819871

redirect ปกติ เมื่อเราพิมพ์เป็น HTTP (หรือไม่ได้ระบุโปรโตคอลด้านหน้า URL) เบราว์เซอร์จะส่งข้อมูลออกไปแบบไม่เข้ารหัส ทำให้คนดักฟังเห็น URL และข้อมูล header อื่นๆ เช่น cookie, User-Agent ซึ่งระบุตัวตนได้ หลังจากนั้นจึงได้ตอบกลับมาว่าให้ไป HTTPS แทน

HSTS จะบังคับว่าหลังจากนี้่เบราว์เซอร์จะจำไว้เสมอว่าเว็บนี้เป็น HTTPS เท่านั้น ต่อให้ผู้ใช้พิมพ์เป็น HTTP เองก็ตามที เบราว์เซอร์จะพยายามเข้า HTTPS อย่างเดียว

ในกรณีที่เป็น HSTS ถ้าใบรับรองเข้ารหัสมีความผิดพลาด เบราว์เซอร์จะไม่ยอมเชื่อมต่อ ไม่ยอมให้กดผ่าน

lewcpe.com, @wasonliw

By: hisoft

on 13 June 2015 - 23:03 #819881 Reply to:819879

แต่ครั้งแรกสุดถ้าเข้า http มันก็จะยังส่งข้อมูลออกไปบ้างใช่ไหมครับ? แต่ถ้าเป็นแบบนั้นก็น่าจะไม่มี cookie ออกไปด้วย? ขอบคุณครับ

By: lew

on 13 June 2015 - 23:05 #819884 Reply to:819881

โดยทั่วไปแล้วครั้งแรก "อาจจะ" เป็น HTTP ครับ แต่ถ้าผู้ใช้เชื่อมต่อครั้งแรกด้วย HTTPS (เช่นคลิกลิงก์มา หรือพิมพ์เอง) ก็จบ

อีกกรณีคือทางเว็บไปร้องขอให้เบราว์เซอร์จำเว็บตัวเองไว้เป็น HSTS Preload List กรณีนั้นก็จะไม่ยอมส่ง HTTP อีกเลย

lewcpe.com, @wasonliw

By: lew

on 13 June 2015 - 23:03 #819882

ประเด็นสำคัญในบ้านเรา คือหลายหน้าของ Wikipedia ยังถูกบล็อคอยู่ จากนี้ถ้าระบบนี้เต็มรูปแบบก็จะบล็อคไม่ได้แบบเดียวกับ Facebook

lewcpe.com, @wasonliw

By: hisoft

on 13 June 2015 - 23:04 #819883 Reply to:819882

หวังว่าคงไม่เจอกรณีไปทั้งเว็บแทนนะครับ

By: lew

on 13 June 2015 - 23:05 #819885 Reply to:819883

เจอ gateway ล่มแทนไงครับ

lewcpe.com, @wasonliw

By: SpeedEX

on 13 June 2015 - 23:42 #819886 Reply to:819885

นึกถึงเย็นวันนั้นเลยครับ

Main menu