ก่อนอื่นต้องเรียนทุกท่านว่า บทความนี้ไม่ได้มีจุดประสงค์ร้าย หรือตั้งใจทำลายภาพลักษณ์ความน่าเชื่อถือ เพียงแต่ต้องการให้ผู้ใช้อินเตอร์เน็ตทั่วไปได้ตระหนักและเล็งเห็นความสำคัญเกี่ยวกับความปลอดภัยทางไซเบอร์ให้มากขึ้นเท่านั้น
บทความนี้เหมาะกับใคร?
คุณทราบหรือไม่ว่าข้อมูลที่ส่งผ่านเว็บไซต์ที่ไม่มีการเข้ารหัส มีความเสี่ยงหรือไม่ เพราะเหตุใด? หากไม่ทราบ คุณเหมาะสำหรับบทความนี้ แต่หากทราบแล้วให้ผ่านได้เลย
รู้จักการทำงานของเว็บไซต์
ทุกครั้งที่คุณเรียก หรือกรอกข้อมูลบนเว็บไซต์ เว็บบราวเซอร์จะทำการส่งคำร้องไปยังผู้ให้บริการอินเตอร์เน็ตของคุณ (3BB TOT AIS TRUE ETC) เพื่อระบุตำแหน่งของ Server ปลายทาง ซึ่งหากเว็บไซต์อยู่ไกล ข้อมูลอาจต้องเดินทางผ่านหลายประเทศ ก่อนที่จะกลับมาเป็นผลลัพธ์ให้เราเห็น
การโจมตีระหว่างทาง
ไม่ต่างกับชีวิตจริงนัก เมื่อมีการเดินทาง ก็มีอุบัติเหตุระหว่างทางได้ ซึ่งสำหรับข้อมูลบนอินเตอร์เน็ต นั่นคือ การดักจับ เปลี่ยนแปลง หรือสวมรอย ดังนั้นเพื่อป้องกันกรณีดังกล่าว จึงต้องเข้ารหัสข้อมูลไว้เพื่อไม่ให้ผู้ประสงค์ร้ายระหว่างทางสามารถใช้ข้อมูลเหล่านั้นได้
HTTP vs HTTPS?
ทุกครั้งที่เข้าเว็บไซต์ ให้คุณสังเกตทันทีว่าเว็บไซต์นั้นมีการเรียกใช้โปรโตคอล "https://" ไม่ใช่ "http://" โดย s ที่เพิ่มมาจากคำว่า Secure ซึ่งแปลว่าปลอดภัย
สำหรับตัวอย่าง ขออนุญาติใช้ระบบลงทะเบียนสมาชิกของเว็บข่าวชื่อดัง
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้http://www.ch3thailand.com/@regist ที่ถึงแม้จะมีระบบยืนยันตัวตนผ่านอีเมล์, OTP หรือแม้แต่ Google Captcha ที่ดูเหมือนออกแบบมาอย่างดีก็ตาม แต่หากใช้งานผ่าน http ธรรมดา ข้อมูลนั้นมีความเสี่ยงต่อการถูกผู้ประสงค์ร้ายดักจับ และเปิดอ่านได้ เนื่องจากไม่มีการเข้ารหัสจึงง่ายต่อการขโขยข้อมูล
ตัวอย่างเว็บที่ยังอนุญาติให้เชื่อมต่อผ่าน http ได้
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้http://www.ais.co.th
http://www.dtac.co.th
http://truemoveh.truecorp.co.th
http://home.trueid.net/
http://trueplookpanya.com/
http://www.komchadluek.net/
http://www.ch7.com/
http://ch3thailand.com/
http://www.f0nt.com/forum/
ที่น่าแปลกใจคือ ทุกเว็บไซต์ที่ยกตัวอย่างมาทั้งหมด มีการติดตั้ง SSL หรือ https ทั้งหมดแล้ว เพียงแต่ไม่บังคับใช้งาน ซึ่งทำให้เกิดเป็นช่องโหว่ที่ไม่ควรละเลย และมองข้าม ดังนั้นผู้ใช้จึงต้องรู้จักป้องกันตัวเองอยู่เสมอ เพราะตก s ไปตัวเดียว ชีวิตเปลี่ยนได้เลย
วิธีป้องกันตัวเบื้องต้น
1. ก่อนกรอกข้อมูล หรือทำรายการธุรกรรมทางการเงิน ให้สังเกตสัญลักษณ์ ปลอดภัย และตรวจสอบ url ซ้ำเพื่อยืนยันความถูกต้อง
2. ติดตั้ง Add-on บนเว็บบราวเซอร์ให้บังคับใช้ https เสมอ เช่น HTTPS Everywhere
3. ติดตามข่าวสารด้านความปลอดภัยให้มากขึ้น เพื่อให้รู้เท่าทันช่องโหว่ และรู้จักวิธีป้องกัน
สุดท้าย วิธีที่ดีที่สุด คือ ให้ข้อมูลเท่าที่จำเป็นเท่านั้น หรือถ้าเป็นไปได้คือไม่ต้องให้เลย เพราะความปลอดภัยของเว็บ ไม่ได้การันตีความปลอดภัยของผู้เก็บข้อมูล
เมื่อเว็บไซต์ดังยังมีช่องโหว่ด้านความปลอดภัย
บทความนี้เหมาะกับใคร?
คุณทราบหรือไม่ว่าข้อมูลที่ส่งผ่านเว็บไซต์ที่ไม่มีการเข้ารหัส มีความเสี่ยงหรือไม่ เพราะเหตุใด? หากไม่ทราบ คุณเหมาะสำหรับบทความนี้ แต่หากทราบแล้วให้ผ่านได้เลย
รู้จักการทำงานของเว็บไซต์
ทุกครั้งที่คุณเรียก หรือกรอกข้อมูลบนเว็บไซต์ เว็บบราวเซอร์จะทำการส่งคำร้องไปยังผู้ให้บริการอินเตอร์เน็ตของคุณ (3BB TOT AIS TRUE ETC) เพื่อระบุตำแหน่งของ Server ปลายทาง ซึ่งหากเว็บไซต์อยู่ไกล ข้อมูลอาจต้องเดินทางผ่านหลายประเทศ ก่อนที่จะกลับมาเป็นผลลัพธ์ให้เราเห็น
การโจมตีระหว่างทาง
ไม่ต่างกับชีวิตจริงนัก เมื่อมีการเดินทาง ก็มีอุบัติเหตุระหว่างทางได้ ซึ่งสำหรับข้อมูลบนอินเตอร์เน็ต นั่นคือ การดักจับ เปลี่ยนแปลง หรือสวมรอย ดังนั้นเพื่อป้องกันกรณีดังกล่าว จึงต้องเข้ารหัสข้อมูลไว้เพื่อไม่ให้ผู้ประสงค์ร้ายระหว่างทางสามารถใช้ข้อมูลเหล่านั้นได้
HTTP vs HTTPS?
ทุกครั้งที่เข้าเว็บไซต์ ให้คุณสังเกตทันทีว่าเว็บไซต์นั้นมีการเรียกใช้โปรโตคอล "https://" ไม่ใช่ "http://" โดย s ที่เพิ่มมาจากคำว่า Secure ซึ่งแปลว่าปลอดภัย
สำหรับตัวอย่าง ขออนุญาติใช้ระบบลงทะเบียนสมาชิกของเว็บข่าวชื่อดัง [Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้ ที่ถึงแม้จะมีระบบยืนยันตัวตนผ่านอีเมล์, OTP หรือแม้แต่ Google Captcha ที่ดูเหมือนออกแบบมาอย่างดีก็ตาม แต่หากใช้งานผ่าน http ธรรมดา ข้อมูลนั้นมีความเสี่ยงต่อการถูกผู้ประสงค์ร้ายดักจับ และเปิดอ่านได้ เนื่องจากไม่มีการเข้ารหัสจึงง่ายต่อการขโขยข้อมูล
ตัวอย่างเว็บที่ยังอนุญาติให้เชื่อมต่อผ่าน http ได้
[Spoil] คลิกเพื่อดูข้อความที่ซ่อนไว้
ที่น่าแปลกใจคือ ทุกเว็บไซต์ที่ยกตัวอย่างมาทั้งหมด มีการติดตั้ง SSL หรือ https ทั้งหมดแล้ว เพียงแต่ไม่บังคับใช้งาน ซึ่งทำให้เกิดเป็นช่องโหว่ที่ไม่ควรละเลย และมองข้าม ดังนั้นผู้ใช้จึงต้องรู้จักป้องกันตัวเองอยู่เสมอ เพราะตก s ไปตัวเดียว ชีวิตเปลี่ยนได้เลย
วิธีป้องกันตัวเบื้องต้น
1. ก่อนกรอกข้อมูล หรือทำรายการธุรกรรมทางการเงิน ให้สังเกตสัญลักษณ์ ปลอดภัย และตรวจสอบ url ซ้ำเพื่อยืนยันความถูกต้อง
2. ติดตั้ง Add-on บนเว็บบราวเซอร์ให้บังคับใช้ https เสมอ เช่น HTTPS Everywhere
3. ติดตามข่าวสารด้านความปลอดภัยให้มากขึ้น เพื่อให้รู้เท่าทันช่องโหว่ และรู้จักวิธีป้องกัน
สุดท้าย วิธีที่ดีที่สุด คือ ให้ข้อมูลเท่าที่จำเป็นเท่านั้น หรือถ้าเป็นไปได้คือไม่ต้องให้เลย เพราะความปลอดภัยของเว็บ ไม่ได้การันตีความปลอดภัยของผู้เก็บข้อมูล