SSL วันนี้: กูเกิลถูกโจมตีจากอิหร่าน, Chrome ปลอดภัย, Twitter เริ่มใช้ SSL ตลอดเวลา

by lew
30 August 2011 - 15:44
Read full version on Blognone.com

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

พร้อมๆ กับการพูดถึงเรื่องความปลอดภัย งานนี้กูเกิลก็โฆษณาว่าผู้ใช้ Chrome นั้นได้รับการป้องกันจากฟีเจอร์ความปลอดภัยของ Chrome สองประการหลักคือ

  1. Chrome จะจำกัดหน่วยงานออกใบรับรอง (Certification Authority - CA) สำหรับบริการของกูเกิลเองไว้เพียงกลุ่มเล็กๆ จำกัดกว่ารายชื่อ CA ปรกติ กรณีนี้ DigiNotar ไม่อยู่ในรายการที่ Chrome จะเชื่อว่าเป็นผู้ออกใบรับรองของบริการของกูเกิล โดยส่วนนี้กูเกิลทำได้เพราะเป็นผู้พัฒนาเบราเซอร์เองนั่นเอง
  2. Chrome รองรับมาตรฐาน HSTS (HTTP Strict Transport Security) อย่างเต็มรูปแบบ โดยปรกตินั้นเมื่อเราพิมพ์ URL ของเว็บโดยไม่ระบุว่าจะใช้ HTTPS หรือไม่ เบราเซอร์จะเลือกใช้ HTTP ก่อนเสมอจากนั้นเซิร์ฟเวอร์จึงส่งข้อความ 301 กลับมาเพื่อให้เบราเซอร์เรียกใช้ HTTPS อีกครั้ง แต่หากเบราเซอร์รองรับมาตรฐาน HSTS เว็บจะสามารถแจ้งได้ว่าโดเมนนั้นๆ จะให้บริการ HTTPS เท่านั้น และเบราเซอร์จะไม่เรียกใช้ HTTP อีกเลยจนกว่าจะหมดเวลาที่กำหนดไว้ และหากเป็น Chrome ตัวเบราเซอร์จะล็อกการใช้งานบางเว็บให้ไม่เรียก HTTP ปรกติเลยแม้แต่ครั้งเดียวในบริการที่สำคัญหลายตัวเช่น PayPal, GMail, หรือ Google Encrypted เป็นต้น

มาตรฐาน HSTS นั้นน่าสนใจมากเพราะเราสามารถเพิ่มได้เองที่หน้า chrome://net-internals/#hsts เช่น ทวิตเตอร์หรือเฟชบุ๊กทำให้ Chrome ไม่ส่งข้อมูลใดๆ ที่ไม่เข้ารหัสไปยังเว็บเหล่านั้นอีกเลย

ข่าวสุดท้ายคือทวิตเตอร์นั้นกำลังจะปรับให้การเข้าใช้บริการ HTTPS เป็นมาตรฐานแบบเดียวกับที่ GMail ได้ปรับไปแล้วก่อนหน้านี้ โดยตอนนี้ทวิตเตอร์ปล่อยให้ผู้ใช้เลือกเองว่าต้องการใช้ HTTPS ตลอดเวลาหรือไม่

ถ้าใครทำงานกระทรวงไอซีทีอยู่หวังว่าท่านจะทราบแล้วว่าการบล็อกทวิตเตอร์หรือเฟชบุ๊กก่อนหน้านี้ไม่ว่าหน้าไหนๆ หรือทั้งเว็บ ไม่ว่าจะผิดพลาดหรือไม่ การเข้าผ่าน HTTPS ก็ไม่เคยได้รับผลกระทบใดๆ

ที่มา - Google Online Security Blog, Chromium Blog, Computer World

Read on Full Site
Blognone Jobs Premium