Security Risk : ช่องโหว่ Heartbleed ควรเปลี่ยนรหัสผ่านกันด่วน

มาว่ากันด้วยเรื่อง Security อีกแล้ว … หลังจากเพิ่งเขียนเรื่อง ช่องโหว่ใน ADSL Router ไปหมาดๆ ..  จะพยายามหาเรื่องความปลอดภัยที่ทุกๆคนควรรู้มาอัพเดทกัน

HeartBleed เป็นชื่อบั๊กตัวนึงที่เกี่ยวกับ SSL  ซึ่งชื่อของมันมาจากสิ่งที่เรียกว่า Heartbeat ใน SSL มันคือข้อมูลที่ผ่านการตรวจสอบแล้วและจะส่งไปมาระหว่าง server/client ได้โดยไม่ต้องตรวจสอบอีก (คิดว่าข้ามๆมันไปก่อนดีกว่า 555+)

SSL คืออะไร ?

SSL คือมาตรฐานความปลอดภัย ทำหน้าที่เข้ารหัสข้อมูลระหว่างเครื่องคอมพิวเตอร์ของเรา(รวมถึงมือถือและแทบเล็ต)กับปลายทาง .. ดูได้ง่ายๆว่าเข้าเว็บแล้วมีรูปโลห์เขียวๆหรือแม่กุญแจเขียวๆตรงช่อง URL นั่นแหล่ะ แปลว่าเราใช้ SSL อยู่

ตัวอย่างเช่น เวลาเราคุยแชทกับเพื่อน ถ้าโปรแกรมที่เราใช้มีการเข้ารหัส SSL เวลามีใครดักข้อมูลได้ (ตามทฤษฎี) เค้าก็จะไม่รู้หรอกว่าเราคุยอะไรกัน คนที่ชุมสายโทรศัพท์, ISP หรือตัวกลางอื่นๆ ก็จะไมรู้ว่าเราคุยอะไรกัน นั้นคือ SSL ซึ่งมันทำให้เราปลอดภัย (ปีสองปีก่อน การคุย Whatsapp สามารถแอบอ่านของคนอื่นได้เพียงแค่ต่อเน็ตเวอร์คเดียวกันกับคนคนนั้น เพราะมันไม่ได้เข้ารหัส)

หรืออีกตัวอย่างคือ เวลาเราใช้ E-Banking กระบวนการทั้งหมดจะถูกเข้ารหัส ใครที่อยู่ตรงกลาง ระหว่างบ้านเรา กับ Server ของ Bank ก็จะไม่สามารถอ่านข้อมูลออกว่าเราทำอะไรอยู่ การแอบเปลี่ยนแปลข้อมูลระหว่างทางก็ทำได้ยากขึ้น (ลองคิดภาพว่าถ้าเค้าแก้ได้ เวลาโอนเงิน เค้าอาจจะเปลี่ยนเลขที่บัญชีเป็นของตัวเองก็ได้) … นั่นคือทำไม SSL มันถึงสำคัญ ซึ่งทุกวันนี้ เราใช้ SSL กันเยอะขึ้นมาก หลังจากมีข่าวว่า NSA มีการดักจับข้อมูลนู่นนี่ เว็บส่วนใหญ่เริ่มมีการเข้ารหัสทั้งๆที่เป็นเว็บธรรมดาที่ไม่ได้มีอะไรสำคัญ เพราะความเชื่อมั่นในอินเตอร์เน็ตลดลงไปเยอะมาก มีคนที่พยายามแก้ไขข้อมูลระหว่างทางเยอะขึ้น พยายามแอบอ่านข้อมูลของคนอื่นเพื่อนำไปหาประโยชน์มากขึ้น

ตัวอย่างวิธีดูว่าเว็บไซต์เป็น SSL หรือไม่ และใบรับรองออกโดยใคร (Chrome)

ซึ่งการที่ SSL เนี่ยมันเป็นชื่อเรียกมาตรฐาน เวลาจะใช้งานเหล่า Programmer ก็จะเขียนโปรแกรมตามมาตรฐานนี้ ซึ่งมีโปรเจคที่ชื่อ OpenSSL ที่เป็น Open Source ทำชุดโปรแกรม SSL มาแจกจ่ายให้ใช้กัน ..  แล้วไอตัว OpenSSL นี่มันฮอตฮิตมาก มีเว็บไซต์ใหญ่ๆมากมายเอาไปใช้ (รวมถึง Google และ Facebook)  .. แต่มันดันมีช่องโหว่ Heartbleed นี่อยู่ !!!

กลับมาที่ Heartbleed กันต่อ … บั๊กตัวนี้เพิ่งคนพบเมื่อไม่นานก่อนหน้านี้ มันคือช่องโหว่ใน OpenSSL ทำให้ใครก็ตามสามารถอ่านข้อมูลที่ค้างอยู่บน Server ได้ นั่นหมายความว่า ข้อมูลที่เคยส่งกัน(ที่คิดว่าคนตรงกลางไม่รู้) อาจจะไม่จริง ทำให้รู้ข้อมูลที่ส่งระหว่างกันได้ รวมถึง username และ password ของเราเวลาเข้าเว็บนั้นๆนั่นเอง

ผลกระทบคือ .. username/password ที่เราใช้เข้าเว็บต่างๆอาจจะถูกผู้ไม่หวังดีรู้(ไปแล้ว)ได้ ผลคือเว็บไซต์ต่างๆเริ่มออกมาให้ข้อมูลว่า ช่องโหว่ตัวนี้มีผลกระทบกับเว็บไซต์ตัวเองหรือไม่ ..

สรุปว่า … แนะนำให้เปลี่ยน Password สำหรับเว็บที่มีการใช้ตัว OpenSSL ที่เห็นชัดๆคือ Google/Facebook/Dropbox เริ่มแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านแล้ว รายชื่อเต็มๆของแต่ละอันดูได้ที่นี่ http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/  (ฉบับไทย https://www.blognone.com/node/55250) ดูเหมือน Microsoft และ Apple จะไม่โดนเพราะมีการเขียน SSL ขึ้นมาใช้เอง …  แต่สำหรับผู้ที่ใช้ Password เดียวกันหมดทุกเว็บ ผมเชื่อว่าอย่างน้อย 1 เว็บที่คุณใช้ต้องมี Heartbleed แน่นอน เพราะฉะนั้นแนะนำให้เปลี่ยนครับ

อันนี้เป็นการ์ตูนที่เล่าถึงช่องโหว่ ว่าสามารถอ่านข้อมูลคงค้างใน Memory ของ Server ได้ยังไง https://xkcd.com/1354/

ปล.อย่าลืมสังเกตุก่อนนะ ว่าเว็บนั้นๆแก้ไขเรื่องนี้แล้ว เพราะว่าถ้าเค้ายังไม่แก้ ต่อให้เปลี่ยน Password ไปมันก็ยังหลุดได้อยู่ดี !!

ใครสงสัยว่าเว็บไหนมีช่องโหว่นี้อยู่ .. ลองตรวจสอบได้ที่นี่ http://filippo.io/Heartbleed/

สำหรับใครที่จำ Password ของตัวเองไม่ค่อยได้ ลองใช้โปรแกรม KeePass ดู เป็นโปรแกรมช่วยเก็บ Password .. ถ้าใช้ Password ไม่เหมือนกันในแต่ละเว็บได้ จะดีมาก

Google+ : Instant Upload

ช่วงสองสามวันนี้ข่าวไอทีที่ดังไม่เป็นสองรองใครก็คือ Google เปิดตัวบริการ Google+ (อ่านว่า กูเกิ๋ล.. ก็ตลกล่ะ อ่านว่ากูเกิลพลัส)  Social Network ตัวใหม่

เรื่องว่า Google+ คืออะไร ใช้งานยังไง คิดว่าน่าจะหาได้จากเว็บข่าว IT บ้านเราเยอะแยะมากมาย … เขียนไปก็คงไม่ละเอียดเท่า 😉

แต่ที่จะเขียนวันนี้คือ ฟีเจอร์นึงที่รู้สึกว่าเจ๋งดีที่ติดมากับ Google+ มันชื่อว่า Instant Upload

อยากจะให้กลับไปอ่านเรื่องแอพบนแอนดรอยด์อันนึงที่เอาไว้ Sync รูปภาพเข้าไปยัง NAS หรือ Share path

Instant Upload ก็เหมือนกับอันนั้นเลย คือ … พอเราถ่ายรูปกับมือถือปุ๊บ มือถือของเราที่ลงแอพ Google+ เอาไว้ก็จะอัพรูปขึ้นไปไว้บน Google+ แบบไม่ให้ใครเห็นทันทีและพอเราเข้า Google+ ก็สามารถเลือกรูปจาก “From your phone” มาได้เลย …  ต่อไปอยากจะแชร์ภาพจากมือถือเราก็ทำได้ทันที

แต่อย่าพึ่งเข้าใจผิดว่าแอพ Google+ บนมือถือจะถ่ายรูปแล้วแชร์ไม่ได้ .. มันทำได้ แต่ปกติเวลาเราจะโม้อะไรเนี่ยเราก็ต้องบรรยายสรรพคุณกันนิดนึง ซึ่งฟีเจอร์นี้มันทำให้เกิดการใช้งานลักษณะที่ว่าถ่ายกับมือถือแต่เลือกรูปมาแชร์ได้จากบนคอมนั่นเอง

ส่วนตัวคิดว่า Feature นี้จะเจ๋งมาก ถ้าบ้านเรามี 3G เต็มรูปแบบ … เพราะถึงแม้ว่า Instant Upload จะย่อรูปให้เราก่อนอัพขึ้น Google+ แต่ว่าถ้าอินเตอร์เน็ตยังเป็น Edge ก็ลำบากพอดูเลย

แต่ถึงแม้ว่ามี 3G สิ่งที่น่ากังวลอีกอย่างคือ แล้วมันจะผลาญการรับส่งข้อมูลของเรามากน้อยแค่ไหน แต่ดูเหมือนคนทำฟีเจอร์นี้จะคิดถึงข้อนี้อยู่บ้าง จึงทำให้เราสามารถตั้งค่าได้ ว่าจะให้ Instant Upload นี้ทำงานตอนไหนบ้าง และแน่นอนว่าตอนที่เรายังไม่รู้ถึงปริมาณการเผาผลาญข้อมูล เราก็ต้องเลือกให้เป็น WiFi Only ไว้ก่อน 😉

แถมท้ายด้วยหน้าจอเวลาเราเลือก Photo from my phone

*** อัพเดท (03/07/2011)

เพิ่งจะเห็นว่าถ้าเราโพสต์รูปผ่าน Instant Upload นั้น รูปของเราจะมีข้อมูล EXIF ครบเลย (รวมถึง Location ด้วย ถ้ามี) เจ๋งมากก เอาไปเลยแปดดาว

ปล. มีอีกฟีเจอร์นึงที่คิดว่าเจ๋ง .. คือ Hangout .. เป็นการทำ Video Call หมู่ คืออารมณ์ประมาณว่าใครว่างอยู่ตอนนี้มาเมาท์กันเถอะ ลองแล้ว(แค่สองคน) น่าสนุุกดี

ปล2. สุดท้ายไม่รู้หรอกว่า Google+ มันจะบูม จะสู้ Facebook ได้รึเปล่า แต่เมื่อเค้าทำมาเราก็ต้องลองใช้ให้เห็นกับตา ถ้ามันไม่บูมก็ถือซะว่าได้เปิดหูเปิดตากับสิ่งที่ใครบางคนได้ตั้งใจทำ 🙂

ปล3. ตอนนี้ Android Market บ้านเรายังไม่เปิดให้โหลดแอพ Google+ ต้องหา .apk มาลงเอง ( Search ด้วย Google+ กับ .apk ก็เจอเป็นล้านล่ะ)

Android In-App Purchase : การจ่ายตังค์ในแอพของน้องด๋อย

หลังจาก Google อนุญาติให้สาวกชาวไทยซื้อแอพบน Android Market ได้แล้ว เราก็ไม่พลาดที่จะลองผลาญเงินผ่าน Market ให้สมใจอยาก

อันดับแรกที่จำเป็นต้องทำก่อนที่จะซื้อแอพก็คือ การตั้งค่า Google Checkout สำหรับจ่ายตังค์เวลาซื้อแอพทั้งหลาย (ถึงแม้ว่าจะมีข่าวว่ากูเกิลกำลังเจรจากับ Paypal เพื่อให้จ่ายเงินผ่านทาง Paypal ได้ แต่ ณ วันนี้ (23/05/2011) เรายังมี Google Checkout เป็นช่องทางเดียวในการชำระเงิน) ข้อมูลที่ Google Checkout เก็บไว้ก็คงเป็นลักษณะเหมือนๆกับ Amazon 1-click ที่เก็บข้อมูลบัตรเครดิตไว้ (แล้วก็ภาวนาให้มันปลอดภัย) เวลาจะซื้อก็แค่เลือกว่าจะจ่ายด้วยบัตรใบไหนก็เป็นอันเสร็จ .

 

คราวนี้เรามาดูการซื้อของที่เรียกว่า In-App Purchase ที่เป็นขั้นกว่าของการซื้อแอพ 😉

In-App Purchase เป็นการจ่ายตังค์ภายในแอพ (แปลตรงตัวไปมั๊ย) เอาไว้ใช้เวลาเราต้องการซื้อ Feature/Function/Item เพิ่มจากเกมส์หรือโปรแกรมที่เราโหลดไปแล้ว (ซึ่งอาจจะโหลดฟรีหรือไม่ก็ได้)

ตัวอย่างเช่น ผมโหลดเกมส์ Cordy มาเล่น ซึ่งเป็นเกมส์ฟรี แต่มีให้เล่นแค่สี่ด่าน พอจบด่านสี่เจ้าเกมส์ก็จะถามว่าจะซื้อด่านเพิ่มมั๊ย ? ซึ่งคิดราคา 1.99$ (ประมาณ 60บาท)  เดี๋ยวจะอธิบายวิธีซื้อต่อไป ซึ่งวิธีนี้มีข้อดีคือ ผมไม่ต้องโหลดเกมส์ใหม่ คนทำก็ไม่ต้องแยกแอพเป็นเวอร์ชันฟรีกับเสียตังค์ แค่ลองโหลดมาใช้แล้วชอบ ก็จ่ายตังค์เพื่อปลดล็อกฟีเจอร์ได้เลย

อีกตัวอย่างจาก In-App Purchase ก็เช่น ซื้อ Item ในเกมส์, จ่ายตังค์เพื่อปิดโฆษณาในแอพ, จ่ายตังค์เพื่อใช้ Feature พิเศษ, หรืออาจจะรวมไปถึงการ Donate ได้ด้วยซ้ำไป

 

มาต่อกันทีเ่กมส์ Cordy เมื่อเล่นๆไปจบด่านฟรี ก็จะมี Popup ขึ้นมาถามว่าเราจะซื้อมั๊ย

Start In-App purchase process

เราก็ตอบ .. ตกลง ก็จะได้หน้าจอตามด้านล่าง เป็นรายละเีอียดของบัตรที่จะหักเงิน (ที่เราใส่ใน Google Checkout ก่อนหน้านี้

Scroll to top