0216 | ความเข้าใจผิดเกี่ยวกับ SSL
Friday, August 7th, 2015 Posted in IP Network, Security | No Comments »บางครั้งการเห็นอะไรจากประโยคโฆษณาก็ทำให้เราเข้าใจผิดกันได้ครับ ที่สำคัญคือประโยคโฆษณาส่วนมากจะสั้นๆ อ่านแล้วชวนให้เคลิ้ม แต่เบื้องหลังมันมีอะไรมากกว่านั้นอีกเยอะ
SSL ช่วยให้เว็บไม่โดน hack
- ไม่จริง !
- SSL มีประโยชน์แค่ “การป้องกันการดักข้อมูล” เท่านั้นครับ เนื่องจากโดยปกติการรับส่งข้อมูลบนอินเทอร์เน็ตจะไม่ได้เข้ารหัสไว้ ทำให้ใครที่อยู่ระหว่างทางก็สามารถอ่านข้อมูลข้างในได้ว่าเรารับ/ส่งอะไรกัน
- การดักข้อมูล ในแง่นึงถ้าดักได้รหัสผ่าน admin ก็ทำให้บุกรุกเข้าระบบได้ก็จริง แต่ส่วนใหญ่ hacker ไม่ได้มานั่งดักข้อมูลหรอกครับ มันยากมากเพราะต้องไปอยู่ในเครือข่ายเดียวกับผู้ใช้งาน ซึ่งถ้าอยู่ในเครือข่ายเดียวกันแล้ว ต่อให้ติด SSL ไปก็ช่วยอะไรได้ไม่มากครับ
- 90% ของการโดนเจาะเกิดจากเว็บไซต์มีช่องโหว่เอง ซึ่ง SSL ไม่ได้ช่วยอะไร เพราะ hacker ก็ยังสามารถเข้าเว็บผ่าน SSL ได้ตามปกติ และ SSL ไม่ได้มีประโยชน์ในการช่วยป้องกันช่องโหว่พวกนั้นครับ
SSL ยิ่งแพงยิ่งปลอดภัย
- ไม่จริง !
- ราคาถูกแพงมีผลแค่เรื่องความน่าเชื่อถือ เนื่องจากใบ certificate ที่แพงกว่ามักจะใช้วิธีการตรวจสอบยืนยันตัวตนที่เข้มงวดกว่า แง่นี้รวมถึง EV SSL green bar แบบที่เว็บธนาคารใช้ด้วย
- วิธีการเข้ารหัส (ซึ่งก็คือความปลอดภัยของข้อมูล) ขึ้นอยู่กับการคุยกันระหว่าง client กับ server ตอนเชื่อมต่อเข้าหากัน ซึ่งสามารถตั้งค่าได้ทุกแบบ ไม่ได้ถูกจำกัดด้วยใบ certificate แต่อย่างใด
SSL ให้เป็น https แบบไหนก็ปลอดภัยต่อการถูกดักฟัง
- ไม่จริง ! (อ้าว)
- วิธีการเข้ารหัสหลายตัวได้ถูกพิสูจน์แล้วว่าปลอดภัยต่ำ ง่ายต่อการโจมตีและการถอดรหัส
- SSLv3 ก็เพิ่งโดนเจาะไปไม่นาน
- การเข้ารหัสแบบ RC4 ก็มีรายงานจุดอ่อนออกมาเรื่อยๆ จนตอนนี้มีประกาศไม่แนะนำให้ใช้งานขึ้นมาแล้ว
- การตั้งค่าการเข้ารหัสบน server จึงต้องระบุด้วยว่า ยอมให้ใช้วิธีการเข้ารหัสแบบที่ (ยังคง)ปลอดภัย และติดตามข่าวสารช่องโหว่และความปลอดภัยเกี่ยวกับ SSL เสมอ
Tags: misconception, ssl
0215 | พรบ.ลิขสิทธิ์ 2558 กับผู้ให้บริการฯ
Tuesday, August 4th, 2015 Posted in Misc | No Comments »เนื่องด้วยเป็นกฎหมายที่แก้ไขเพิ่มเติมแล้วมีผลต่ออาชีพผู้ให้บริการโฮสติ้งอย่างผม ก็เลยเอามาตราสำคัญๆ ที่กระทบมาแจกแจงครับ
สามารถอ่านฉบับเต็มได้ที่เว็บ ราชกิจจานุเบกษา ได้เลยครับ
ประเด็นเด่นๆ ที่กระทบผู้ให้บริการมีประมาณนี้ครับ
- มาตรา ๓๒/๒ การกระทําแก่งานอันมีลิขสิทธิ์ที่ทําหรือได้มาโดยชอบด้วยกฎหมายในระบบคอมพิวเตอร์ ที่มีลักษณะเป็นการทําซ้ำที่จําเป็นต้องมีสําหรับการนําสําเนามาใช้ เพื่อให้อุปกรณ์ที่ใช้ในระบบคอมพิวเตอร์หรือกระบวนการส่งงานอันมีลิขสิทธิ์ทางระบบคอมพิวเตอร์ทํางานได้ตามปกติ มิให้ถือว่าเป็นการละเมิดลิขสิทธิ์
- มาตรานี้มีไว้ เนื่องจากการกระทำแทบทุกอย่างกับข้อมูลในระบบคอมพิวเตอร์คือการ “copy” เสมอ (อ่าน แล้ว เขียน โดยข้อมูลต้นฉบับไม่หายไปไหน)
- เงื่อนไข : เป็นการทำซ้ำ > เพื่อให้ อุปกรณ์ หรือ กระบวนการส่งงาน ทำงานได้ตามปกติ < เช่นส่งเมล อัพขึ้นเน็ต แชร์ใน social
- ย้ำว่า “งานต้อง ทำ หรือ ได้มา อย่างถูกกฎหมาย” ถึงจะได้รับยกเว้น ว่าไม่ได้ละเมิดลิขสิทธิ์
- มาตรา ๓๒/๓
- กรณีมีปัญหาการละเมิดลิขสิทธิ์ ให้สิทธิ์เจ้าของในการยื่นคำร้องขอให้ศาลสั่งระงับการละเมิดลิขสิทธิ์
- เจ้าของลิขสิทธิ์ต้องแจ้งข้อมูล ตามกรอบสีแดง “ต่อศาล”
- ถ้าศาลเห็นชอบ ให้ศาล “มีคําสั่ง” block หรือลบข้อมูลที่ละเมิดลิขสิทธิ์ ตามระยะเวลาที่ศาลกําหนด (ไม่แน่ใจว่าหมายถึงระยะเวลาในการ block หรือ ระยะเวลาที่จะต้องเริ่ม block/ลบ)
- คุ้มครองผู้ให้บริการ ถ้าผู้ให้บริการไม่ได้เป็นคนทำเอง และทำตามคำสั่งแล้วให้ถือว่าไม่มีความผิดใดๆ + ให้ผู้ให้บริการไม่ต้องรับผิดชอบต่อความเสียหายจากการกระทำที่เกิดจากคำสั่งศาล
Tags: copyright, intelligence property, law, thailand
