Tags:
Node Thumbnail

เฟซบุ๊กเริ่มผลักดันการใช้งานเว็บไซต์ที่เข้ารหัส SSL/TLS กับเขาบ้างแล้ว จากการประกาศล่าสุดที่ระบุว่า เฟซบุ๊กจะเปิดใช้งานระบบแก้ลิงก์ ซึ่งจะแก้ลิงก์ที่ไม่เป็น HTTPS สำหรับเว็บที่รองรับ HSTS ให้เป็น HTTPS ทั้งบนทั้งบนเฟซบุ๊กและอินสตาแกรม

วิศวกรของเฟซบุ๊กระบุว่าบริษัทจะตรวจสอบเว็บไซต์จาก HSTS Preload List ที่เบราว์เซอร์ส่วนใหญ่ซัพพอร์ทอยู่แล้ว ขณะเดียวกันถึงแม้เว็บที่ไม่ได้อยู่ใน Preload List แต่ให้บริการเป็น HTTPS ทางเฟซบุ๊กก็จะแก้ไขให้เองด้วยเช่นกัน

Tags:
Node Thumbnail

HSTS เป็นมาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS เท่านั้น โดยเปิดให้เว็บไซต์ประกาศตัวเองว่าต้องเข้าผ่าน HTTPS เท่านั้น หรือจะส่งรายชื่อให้ติดไปกับตัวติดตั้งเบราว์เซอร์ก็ได้ (เรียกว่า HSTS Preload) ตอนนี้เว็บขนาดใหญ่อย่างกูเกิลก็เริ่มเปิด HSTS บนเว็บหลัก www.google.com แล้ว

กูเกิลเป็นผู้ให้บริการแรกๆ ที่บังคับ HTTPS บนบริการที่มีความปลอดภัยสูง เช่น Gmail ที่ไม่เพียงแต่บังคับเข้าเว็บด้วย HTTPS เท่านั้นแต่ยังล็อกผู้ให้บริการรับรองตัวตน (CA) ไว้ด้วย ทำให้เมื่อ DigiNotar ถูกแฮก ผู้ใช้ก็รู้ตัวได้โดยง่ายเพราะ Chrome แจ้งเตือน แต่สำหรับเว็บหลักอย่าง www.google.com กลับยังไม่บังคับเข้าผ่าน HTTPS แต่อย่างใด

Tags:
Node Thumbnail

US CERT ออกประกาศแจ้งเตือนช่องโหว่เบราว์เซอร์ที่สามารถถูกยิงคุกกี้เข้าไปยังเว็บที่เข้ารหัสได้ และทำให้ผู้ใช้ถูกหลอกให้กรอกข้อมูลทั้งที่กำลังใช้งานอยู่ในเว็บเข้ารหัส

การยิงคุกกี้ (cookie injection) ทำได้เพราะนักพัฒนาเว็บสามารถกำหนดได้ว่าคุกกี้จะใช้งานเฉพาะ HTTPS ด้วยการต่อท้ายคุกกี้ด้วยข้อความ "secure" แต่การกำหนดนี้สามารถกำหนดขณะใช้งาน HTTP ที่ไม่เข้ารหัสก็ได้

แนวทางการโจมตี แฮกเกอร์จะต้องดักฟังการเชื่อมต่อที่ไม่เข้ารหัส และปลอมตัวเป็นเว็บโดเมนเดียวกัน ส่งข้อมูลเว็บแบบไม่เข้ารหัสไปยังเบราว์เซอร์เพื่อให้เบราว์เซอร์ตั้งค่าคุกกี้ในโดเมนที่เข้ารหัสแล้ว

Tags:
Node Thumbnail

เมื่อวานนี้ (17 กุมภาพันธ์) ไมโครซอฟท์ประกาศออกมาว่า Internet Explorer รุ่นที่อยู่ใน Windows 10 Technical Preview ได้รองรับมาตรฐาน HSTS หรือ HTTP Strict Transport Security ที่ใช้บังคับให้เบราว์เซอร์ให้เชื่อมต่อกับเว็บไซต์แบบเข้ารหัสเสมอแล้ว

Tags:
Topics: 
Node Thumbnail

มาตรฐาน HTTP Strict Transport Security หรือ HSTS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ (ข่าวเก่า) The Internet Engineering Task Force หรือ IETF ประกาศใน RFC 6797 อย่างเป็นทางการ ให้ HSTS ขึ้นเป็นมาตรฐานสำหรับอินเทอร์เน็ตเรียบร้อยแล้ว

มาตรฐาน HSTS ถูกร่างโดย Jeff Hodges พนักงาน PayPal, Collin Jackson จากมหาวิทยาลัย Carnegie Mellon และ Adam Barth จากกูเกิล ซึ่งเป็นผู้ร่วมสร้าง RFC 6797

ที่มา - The H