กูเกิลแก้ Chrome ให้แสดงโดเมนย่อย www และ m ใน Omnibox เหมือนเดิมแล้ว หลังจากที่ Chrome 69 มี “ฟีเจอร์” ใหม่ซ่อนโดเมนย่อยเหล่านี้ออกไป อย่างไรก็ตาม ฟีเจอร์นี้จะกลับมาอีกครั้งใน Chrome 70 โดยมีการเปลี่ยนแปลงคือซ่อนเฉพาะ www เท่านั้น เนื่องจากผู้ใช้หลายคนต้องการควบคุมการแสดงผลหน้าเว็บด้วยการเข้าโดเมนย่อย m หลังจากมีเสียงต้านการแสดง URL ค่อนข้างมาก ตอนนี้โครงการ Chrome ระบุว่าจะหาแนวทางมาตรฐานกลางกับหน่วยงานมาตรฐาน เพื่อให้มีการจองโดเมนย่อย www และ m เอาไว้ แต่ไม่เกี่ยวกับการแสดงผลหน้าจอ และยังยืนยันว่าในอนาคตมีแผนจะกลับมาจัดการกับโดเมนย่อย m อีกครั้ง ที่มา – Chromium Topics:  Chrome Internet

ธนาคารกลางสิงคโปร์ (Monetary Authority of Singapore – MAS) และ IMDA หน่วยงานสนับสนุนด้านไอทีของสิงคโปร์ เปิดตัว SGQR มาตรฐานกลาง QR สำหรับจ่ายเงินผ่านโทรศัพท์มือถือ โดยรวมเอา QR ของผู้ให้บริการถึง 27 รายเข้าไว้ด้วยกัน โดยระบุว่าเป็นครั้งแรกของโลกที่มีการใช้งานเช่นนี้ ตัว QR เป็นมาตรฐานของ EMVco แบบเดียวกับของไทย แต่ทางสิงคโปร์เลือกใช้ชื่อแอพพลิเคชั่นเป็นโดเมนแทนที่จะเป็นเลข AID แบบของไทย หน่วยงานทั้งสองตั้งเป้าไว้ว่าภายในหกเดือนข้างหน้าจะเปลี่ยน QR ที่ผู้ให้บริการต่างๆ ติดตามร้านไปแล้วให้กลายเป็น SGQR ทั้งหมด ตอนนี้มีการร่วมมือกับเชนร้านค้าเช่น Toast Box, Subway, และร้านขาไข่มุก ที่มา – Channel News Asia, Strait Times Topics:  Singapore Mobile Payment QR Code

Chrome 69 เพิ่งออกมาเมื่อสัปดาห์ที่ผ่านมา มีความเปลี่ยนแปลงหลายอย่างที่น่าสนใจ แต่ในแง่ความปลอดภัยและการใช้งานเว็บแล้ว กลับมี “ฟีเจอร์” สำคัญใส่เข้ามาเงียบๆ สองอย่าง คือการตัดชื่อซับโดเมนที่ “ไม่มีนัยสำคัญ” (trivial) ออก และการปรับการแสดงโดเมนที่ได้รับรองแบบ Extended Validation (EV) เป็นสีเดียวกับ URL การตัดโดเมนส่วนที่ไม่มีนัยสำคัญ มีแนวทางคือแยกส่วนของโดเมนออกจากกัน แล้วตรวจว่าส่วนใดของโดเมนเป็น “www” หรือเป็น “m” หรือไม่ หากเป็นก็จะไม่แสดงโดเมนส่วนนั้น แนวทางนี้ทำให้การแสดงโดเมนค่อนข้างน่าสับสน เช่นโดเมน “www.example.www.example.com” จะถูกแสดงเป็น “example.example.com” หรือ “example.m.example.com” จะถูกแสดงเป็น “example.example.com” เช่นกัน ยกเว้นบนเดสก์ทอปที่จะไม่ตัดซับโดเมน “m” ทิ้ง ตอนนี้ผู้ใช้ Chrome เริ่มแสดงความกังวลกับแนวทางนี้และเปิดบั๊กบน chromium แล้ว แต่ล่าสุดบั๊กถูกย้ายไปเป็นช่องโหว่ความปลอดภัยและยังไม่เปิดให้คนภายนอกดูว่ามีการพูดคุยอะไรกันบ้าง นอกจากหารตัดโดเมนแล้ว Chrome 69 ยังเปลี่ยนสีของเว็บไซต์ที่ใช้ใบรับรอง EV ให้กลายเป็นสีเทาสีเดียวกับ URL ลดความเด่นของตัว EV [...]

ซอฟต์แวร์สายโครงสร้างพื้นฐานที่มาแรงที่สุดในยุคนี้ย่อมหนีไม่พ้น Kubernetes ที่เริ่มพัฒนาโดยกูเกิล และในปี 2015 กูเกิลก็ตั้งมูลนิธิ Cloud Native Computing Foundation (CNCF) มารับผิดชอบการพัฒนา Kubernetes ต่อ เวลาผ่านมาเกือบ 3 ปี CNCF มีบริษัทยักษ์ใหญ่เข้าร่วมเป็นสมาชิกมากมาย (รวมถึงคู่แข่งอย่าง Microsoft และ AWS ด้วย) และต่อยอดไปพัฒนาซอฟต์แวร์ตัวอื่นๆ เพิ่มเติมด้วย (เช่น Prometheus) ล่าสุดกูเกิลประกาศว่า จะโยกส่วนสนับสนุนการพัฒนา Kubernetes ได้แก่ เซิร์ฟเวอร์ ระบบ CI/CD ระบบจัดการโดเมน ฯลฯ (ซึ่งทั้งหมดรันอยู่บน Google Cloud) ให้ CNCF เป็นผู้บริหารจัดการแทน 100% เท่ากับว่าตอนนี้ CNCF กลายเป็นผู้จัดการโครงการ Kubernetes อย่างสมบูรณ์ กูเกิลให้ข้อมูลว่ามีคนดาวน์โหลดอิมเมจคอนเทนเนอร์ Kubernetes ถึงวันละ 4 ล้านครั้ง ถือเป็นแบนด์วิดท์ปริมาณมหาศาล [...]

ตำรวจเกาหลีจับคนร้ายสร้างเว็บโป๊รวมภาพและคลิปแอบถ่าย โดยคนร้ายอัพโหลดคลิปแอบถ่ายผิดกว่าแสนคลิปใน 7 เว็บไซต์ โฆษณาค้าประเวณีอีก 15,000 รายการ สร้างรายได้ถึง 200 ล้านวอน (180,000 ดอลลาร์) ทางตำรวจยังบอกด้วยว่า คนร้ายได้สร้างโดเมนเว็บไซต์รองรับไว้ 40 โดเมนเพื่อให้เปลี่ยนที่อยู่โดเมนได้ถ้าเว็บหายไปส่วน เซิร์ฟเวอร์อยู่ญี่ปุ่น ไม่ได้อยู่ในประเทศ เกาหลีใต้ยังมีปัญหาเรื่องกล้องแอบถ่ายระบาดในที่สาธารณะ จนผู้หญิงต้องคอยระวังตลอดเวลาเข้าห้องน้ำ ลองเสื้อผ้า ภาพจาก [Shutterstock By Stenko Vlad] ที่มา – Korea Herald Topics:  South Korea Sex Crime

Parisa Tabriz หัวหน้าโครงการ Project Zero ของกูเกิลขึ้นพูดเปิดงาน BlackHat USA 2018 และเปิดงานด้วยการย้ำกว่าบล็อคเชนไม่ได้ทำให้ปัญหาความปลอดภัยหมด เธอพูดถึงปัญหาความปลอดภัยว่าหลายครั้งเป็นปัญหาวัฒนธรรมองค์กร และการที่ Project Zero กำหนดเส้นตาย 90 วัน เหมือนกันทั้งช่องโหว่ภายในและภายนอกกูเกิล ทำให้องค์กรต่างๆ ต้องปรับตัวรวมถึงกูเกิลเองด้วย ผลรวมคือความสำเร็จของ Project Zero ที่ทำให้การสร้างช่องโหว่ 0-day ในช่วงหลังมีต้นทุนสูงขึ้นเรื่อยๆ นอกจากการหาช่องโหว่และรายงานช่องโหว่แล้ว อีกภารกิจสำคัญของ Project Zero ยังรวมถึงการผลักดันเว็บทั้งโลกให้เป็น HTTPS โดยพยายามผลักดันเรื่องนี้มาตั้งแต่ปี 2013 และต้องเจอแรงต่อต้านทั้งจากภายในและภายนอก Tabriz เล่าถึงกระบวนการทำให้กลุ่มนักพัฒนาเบราว์เซอร์ยอมเปลี่ยนแปลงเพื่อความปลอดภัยผู้ใช้ที่ต้องอาศํยการเผยแพร่ข้อมูลกดดัน และการวางกรอบเวลาที่เป็นไปได้จริง อีกผลงานที่เธอเล่าถึงคือการปรับโครงสร้าง Chrome ให้แยกโปรเซสของแต่ละโดเมนออกจากกัน ทีมงานประมาณไว้ว่าจะสามารถปรับปรุงโครงสร้าง Chrome ได้ในปีเดียวแต่ปรากฎว่าต้องใช้เวลาหลายปีโดย Tabriz สนับสนุนโครงการแม้จะช้ากว่ากำหนดไปมาก เพราะวิศวกรอธิบายได้ว่ากำลังทำอะไรมีเหตุผลอะไรที่ทำให้โครงการช้าลง ในงานการพูดครั้งนี้ เธอขอบคุณคนทำงานความปลอดภัยฝั่งป้องกันเป็นพิเศษที่ทำงานอย่างหนักให้ระบบต่างๆ ปลอดภัยขึ้น พยายามปรับปรุงกระบวนการภายใน แต่มักไม่ได้รับความสนใจเท่านักวิจัยและคนรายงานช่องโหว่ต่างๆ ที่มา – The [...]

ผู้ที่ใช้บริการธนาคารออนไลน์ของธนาคารทหารไทยสองสามวันนี้หลายคนเจอปัญหาไม่สามารถเข้าเว็บได้ เพราะ Chrome บนบนวินโดวส์เริ่มแจ้งปัญหาว่าใบรับรองเข้ารหัสถูกยกเลิกไปแล้ว ใบรับรองของโดเมน tmbdirect.com ตอนนี้เป็นใบรับรองที่ออกโดย Entrust Certification Authority – L1M จะหมดอายุวันที่ 14 ตุลาคมนี้ หมายเลข serial ของใบรับรองคือ 00C4F7D6C2C046E9030000000054CCD721 เมื่อผมตรวจสอบกับทาง Entrust (แบบฟอร์มตรวจสอบการยกเลิกใบรับรอง) พบว่าใบรับรองนี้ถูกยกเลิกแล้วจริง ตั้งแต่วันเสาร์ที่ 21 ที่ผ่านมา โดยเหตุผลของการยกเลิกคือมีการออกใบรับรองใหม่ไปแล้ว (superseded) ทางธนาคารทหารไทยแนะนำให้ผู้ใช้เปลี่ยนเบราว์เซอร์เพื่อให้ใช้งานได้ แต่ผมแนะนำให้หยุดใช้งานเว็บ tmbdirect.com จนกว่าจะได้รับการแก้ไขอย่างถูกต้อง เมื่อผู้ใช้ทั่วไปพบเบราว์เซอร์ใดเบราว์เซอร์หนึ่งเตือนถึงใบรับรองเข้ารหัสไม่ถูกต้องเสียแล้ว และเบราว์เซอร์หรือคอมพิวเตอร์ไม่ได้ถูกแก้ไขจนการตรวจสอบนั้นผิด ผู้ใช้ไม่ควรหาทางเข้าอื่นอีก แต่ควรแจ้งผู้ให้บริการแก้ไขโดยเร็ว ผมตรวจสอบหน้าเพจเฟซบุ๊กและหน้าเว็บของธนาคารทหารไทย ไม่พบประกาศเรื่องนี้เป็นทางการ ก็คงแนะนำให้ทุกคนหยุดใช้งานจนกว่าจะแก้ไขและประกาศกันอีกครั้งครับ Topics:  TMB Thailand Banking Security

โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน กุญแจ U2F เป็นการพัฒนาการป้องกันให้สูงกว่าการล็อกอินแบบสองขั้นตอนตามปกติ เช่น การรับรหัสจาก SMS ที่ผู้ใช้ยังมีโอกาสถูกล่อลวงจากเว็บฟิชชิ่ง ที่หลอกทั้งรหัสผ่านและรหัสจาก SMS ไปพร้อมกัน แต่กุญแจ U2F นั้นจะตรวจสอบโดเมนของเว็บที่กำลังใช้งานและสร้างข้อมูลยืนยันการทำงานตามแต่ละโดเมนเท่านั้น การล่อลวงแบบฟิชชิ่งจึงทำได้ยาก เพราะแม้โดเมนหลอกจะมีหน้าตาคล้ายกับโดเมนจริง แต่ก็ไม่สามารถหลอกตัวกุญแจที่อ่านค่าแฮชของโดเมนได้ บริการสาธารณะสำคัญๆ เริ่มรองรับ U2F แล้วจำนวนมาก กูเกิลเองที่รองรับมาก่อนก็เปิดบริการ Advanced Protection Program ที่เพิ่มความปลอดภัยในการกู้บัญชี โดยการเปิดใช้โหมดนี้ต้องลงทะเบียนกุญแจ U2F อย่างน้อยสองชิ้นป้องกันกุญแจหาย ในสหรัฐฯ ธนาคารหลายแห่ง และ Visa เริ่มสาธิตการใช้ U2F เพื่อยืนยันการทำธุรกรรม ที่มา – KrebsOnSecurity ภาพจาก Yubico [...]

DuckDuckGo บริการเสิร์ชที่ไม่เก็บข้อมูลผู้ใช้งาน ออกมาให้ความเห็นผ่านบัญชี Twitter หลังกูเกิลถูกสหภาพยุโรปสั่งปรับจากข้อหาผูกขาดทางการค้าผ่าน Android โดยบอกว่าในฐานะ DuckDuckGo ให้บริการเสิร์ชที่ถือเป็นคู่แข่งกูเกิล มองว่ากูเกิลพยายามกีดกันการแข่งขันมากกว่าที่ทำบน Android เช่น ตัว Chrome Extension เมื่อมีอัพเดต ก็จะถามผู้ใช้ทุกคนว่าต้องการเปลี่ยนค่าคืนเป็นกูเกิล แทนที่ DuckDuckGo หรือไม่ แต่กรณีที่น่าสนใจที่สุด DuckDuckGo เปิดเผยว่ากูเกิลได้จดโดเมนเนม Duck.com เอาไว้ แล้วส่งต่อไปที่หน้าหลักของกูเกิล ซึ่งอ้างว่าทำให้ผู้ใช้งาน DuckDuckGo สับสน อย่างไรก็ตาม The Independent บอกว่าคำอ้างนี้อาจไม่ถูกเสียทีเดียว เพราะ DuckDuckGo ก่อตั้งปี 2008 แต่โดเมน Duck.com ถูกจดไว้ตั้งแต่ปี 1995 เพียงแต่ไม่ชัดเจนว่ากูเกิลเป็นเจ้าของโดเมนนี้ตั้งแต่เมื่อใด อัพเดต: Rob Shilkin รองประธานฝ่ายสื่อสารองค์กรของกูเกิลทวีตชี้แจงว่า โดเมน Duck.com นั้นกูเกิลได้มาตอนซื้อกิจการ On2 Technologies ซึ่งบริษัทนี้เดิมชื่อว่า Duck Corporation กูเกิลเลยได้โดเมนดังกล่าวมาด้วย [...]

DuckDuckGo บริการเสิร์ชที่ไม่เก็บข้อมูลผู้ใช้งาน ออกมาให้ความเห็นผ่านบัญชี Twitter หลังกูเกิลถูกสหภาพยุโรปสั่งปรับจากข้อหาผูกขาดทางการค้าผ่าน Android โดยบอกว่าในฐานะ DuckDuckGo ให้บริการเสิร์ชที่ถือเป็นคู่แข่งกูเกิล มองว่ากูเกิลพยายามกีดกันการแข่งขันมากกว่าที่ทำบน Android เช่น ตัว Chrome Extension เมื่อมีอัพเดต ก็จะถามผู้ใช้ทุกคนว่าต้องการเปลี่ยนค่าคืนเป็นกูเกิล แทนที่ DuckDuckGo หรือไม่ แต่กรณีที่น่าสนใจที่สุด DuckDuckGo เปิดเผยว่ากูเกิลได้จดโดเมนเนม Duck.com เอาไว้ แล้วส่งต่อไปที่หน้าหลักของกูเกิล ซึ่งอ้างว่าทำให้ผู้ใช้งาน DuckDuckGo สับสน อย่างไรก็ตาม The Independent บอกว่าคำอ้างนี้อาจไม่ถูกเสียทีเดียว เพราะ DuckDuckGo ก่อตั้งปี 2008 แต่โดเมน Duck.com ถูกจดไว้ตั้งแต่ปี 1995 เพียงแต่ไม่ชัดเจนว่ากูเกิลเป็นเจ้าของโดเมนนี้ตั้งแต่เมื่อใด อัพเดต: Rob Shilkin รองประธานฝ่ายสื่อสารองค์กรของกูเกิลทวีตชี้แจงว่า โดเมน Duck.com นั้นกูเกิลได้มาตอนซื้อกิจการ On2 Technologies ซึ่งบริษัทนี้เดิมชื่อว่า Duck Corporation กูเกิลเลยได้โดเมนดังกล่าวมาด้วย [...]

 Page 1 of 48  1  2  3  4  5 » ...  Last »