Elon Musk ประกาศสนับสนุนค่าติดตั้งเครื่องกรองน้ำให้บ้านทุกหลังในเมือง Flint รัฐมิชิแกนที่มีปัญหาคุณภาพน้ำประปา หลังประชาชนเมืองนี้มีปัญหาน้ำประปามีตะกั่วปนเปื้อนมาตั้งแต่ปี 2014 ทางการต้องเตือนให้ประชาชนใช้น้ำขวดหรือน้ำกรองสำหรับ ดื่ม, ทำอาหาร, ทำความสะอาด, และอาบน้ำ การสนับสนุนค่าติดตั้งเครื่องกรองน้ำครั้งนี้ไม่ได้ให้บ้านทุกหลัง ต้องทดสอบระดับสารปนเปื้อนก่อนว่าเกินระดับที่อ.ย.สหรัฐฯ ถือว่าปลอดภัย ซึ่งตัว Elon ก็ระบุว่าจริงๆ ทางเมืองได้แก้ปัญหาไปเยอะแล้ว ตัวเขาเองจะเข้าไปช่วยแก้ปัญหาบ้านที่เหลือเพื่อเรียกความมั่นใจในน้ำประปากลับคืนมา ตัว Elon ไม่ได้ระบุว่าจะใช้เทคโนโลยีอะไรเป็นพิเศษในเครื่องกรองน้ำที่เขาจะให้คนไปติดตั้งให้ แต่จุดพิเศษอย่างหนึ่งคืออีเมลแจ้งปัญหานั้นใช้ flint@x.com มาจากโดเมน X.com บริการธนาคารออนไลน์ก่อนที่จะรวมเป็นส่วนหนึ่งของ PayPal ที่มา – Engadget Please consider this a commitment that I will fund fixing the water in any house in Flint that has water contamination above FDA [...]

ลูกค้าโดเมน Namecheap หลายรายแจ้งปัญหาว่าไม่สามารถโอนโดนเมน .uk ได้ แต่ขณะเดียวกันสถานะของโดเมนกลับถูกแจ้งว่าโอนออกไปแล้ว ทำให้โดเมนค้างกลางอากาศ ไม่สามารถใช้งานได้ ทาง Namecheap ยอมรับปัญหานี้ และระบุกับ The Register ว่าปัญหาเกิดจาก Enom ที่ทาง Namecheap ขายโดเมนจำนวนหนึ่งให้ กลับมีปัญหาและไม่ได้สื่อสารกับทาง Namecheap ว่าจะแก้ปัญหาอย่างไร นอกเหนือไปจากข้อมูลใน Enom Status ส่วนทาง Enom ก็ตอบกลับ The Register ว่ากำลังทำงานร่วมกับ Namecheap แก้ปัญหาที่เกิดขึ้น โดยหน้า status ระบุว่าปัญหาเกิดจากการอิมพลีเมนต์โด้ดเพื่อรองรับ GDPR แต่กลับทำให้การย้ายโดเมนบาง TLD มีปัญหา ผู้ประสบภัยบางส่วนต้องไปจ่ายค่าธรรมเนียมให้กับ Nominet ผู้ให้บริการ TLD .uk โดยตรง เพื่อย้ายโดเมนกลับเข้าไปยัง Namecheap ตอนนี้ยังไม่มีผู้ให้บริการโดเมนอื่นแจ้งปัญหาแบบเดียวกัน ถ้าใครไม่แน่ใจว่าผู้ให้บริการของตนเกี่ยวข้องกับ Enom หรือไม่ก็อาจจะต้องละเว้นการย้ายโดเมนช่วงนี้ไปก่อน ที่มา – The [...]

รัฐบาลแคนาดาออกประกาศ Information Technology Policy Implementation Notice (ITPIN) บังคับให้เว็บหน่วยงานรัฐบาลทั้งหมดต้องให้บริการผ่านทางช่องทางเข้ารหัสที่ปลอดภัยเท่านั้น แนวทางระบุข้อบังคับเอาไว้ 5 รายการ เปิดใช้งาน HTTPS เท่านั้น หากผู้ใช้เข้า HTTP ต้องถูก redirect เข้า HTTPS เปิด HSTS เพื่อบังคับเบราว์เซอร์ให้เข้าเฉพาะ HTTPS ให้บริการด้วย TLS 1.2 ขึ้นไป ปิดการรองรับโปรโตคอลที่มีช่องโหว่ เช่น SSL, TLS 1.0, TLS 1.1 ปิดการรองรับการเข้ารหัสที่อ่อนแอ เช่น RC4 และ 3DES ข้อบังคับนี้บังคับเว็บไซต์ใหม่ทั้งหมดที่กำลังเปิดใช้งาน และเว็บไซต์ที่มีการส่งข้อมูลส่วนบุคคลและข้อมูลสำคัญ ส่วนเว็บที่เหลือทั้งหมดให้เวลาไปปีกว่า มีเส้นตาย 30 กันยายน 2019 นอกจากบังคับให้หน่วยงานต่างๆ ต้องให้บริการ HTTPS แล้ว ข้อบังคับยังระบุให้หน่วยงานต้องแจ้งโดเมนและซับโดเมนที่ให้บริการเข้าไปยังฐานข้อมูลกลาง ที่มา – Government [...]

EFF มูลนิธิสนับสนุนความเป็นส่วนตัวโลกออนไลน์ ประกาศโครงการ STARTTLS Everywhere สนับสนุนให้เซิร์ฟเวอร์อีเมลเข้ารหัส โดยตัวเว็บเปิดให้ผู้ใช้ตรวจสอบได้โดยง่ายว่าเซิร์ฟเวอร์อีเมลที่กำลังใช้งาน ไม่ว่าจะส่งหรือรับอีเมลนั้นรองรับการเข้ารหัสขณะเชื่อมต่อระหว่างเซิร์ฟเวอร์หรือไม่ เนื่องจากเซิร์ฟเวอร์อีเมลนั้นต้องรองรับการเชื่อมต่อไม่เข้ารหัสด้วย เพื่อรองรับการทำงานร่วมกับเซิร์ฟเวอร์เก่าๆ โครงการจึงสนับสนุนให้ผู้ดูแลอีเมลเซิร์ฟเวอร์ เพิ่มโดเมนเข้ารายการ STARTTLS Preload List เพื่อยืนยันว่าเซิร์ฟเวอร์นี้เข้ารหัสอย่างถูกต้อง หากอนาคตเซิร์ฟเวอร์อื่นพยายามเชื่อมต่อเข้ามาแล้วพบว่าเซิร์ฟเวอร์ไม่เข้ารหัส ก็จะสงสัยได้ทันทีว่ากำลังถูกดักฟัง นอกจากการเปิดเว็บให้ผู้ใช้ตรวจสอบเซิร์ฟเวอร์แล้ว ทาง EFF กำลังพัฒนาปลั๊ก certbot ซอฟต์แวร์ขอใบรับรอง TLS จาก Let’s Encrypt ให้ใช้งานได้กับเซิร์ฟเวอร์ส่งอีเมล (message transfer agent – MTA) ได้โดยง่าย แบบเดียวกับที่ผู้ดูแลเว็บสามารถทำเซิร์ฟเวอร์ HTTPS ได้ง่ายขึ้นมาก ที่มา – EFF Topics:  EFF Email Security

Jonathan Bouman นักวิจัยความปลอดภัยไซเบอร์รายงานถึงการทดลองสแกนหา S3 bucket ที่คอนฟิดผิดพลาดโดยเจาะจงโดเมนของแอปเปิลโดยเฉพาะ และพบว่าโดเมน live-promotions.apple.com นั้นเป็น AWS S3 ที่เปิดสิทธิให้ใครเขียนไฟล์ก็ได้ นับเป็นความผิดพลาดร้ายแรง กระบวนการหาช่องโหว่นี้ Bouman โดยสแกนหาโดนเมนย่อยของ apple.com จากนั้นตรวจสอบ หาโดเมนย่อยของแอปเปิลทั้งหมด แล้วกรองเฉพาะเว็บที่มี header X-Amz-Bucket-Region ซึ่งแสดงว่าจริงๆ ภายในเป็น S3 จากนั้นตรวจดูว่าการเข้าเว็บจะเกิดอะไรขึ้น เว็บทั้งหมดมักตอบ Access Denied ตามปกติที่คนทั่วไปมักเข้าถึงไฟล์ของ S3 bucket ตรงๆ ไม่ได้ แต่มีโดเมนเดียว คือ live-promotions.apple.com กลับสามารถลิสต์ไฟล์ขึ้นมาได้ เมื่อตรวจดูพบว่าสามารถอัพโหลดไฟล์ได้อีกด้วย Bouman รายงานเรื่องนี้ไปยังแอปเปิลได้รับอีเมลตอบ ยืนยันปัญหาภายในเวลา 4 ชั่วโมง และแก้ปัญหานี้ภายในหนึ่งวัน หลังจากนั้นแอปเปิลก็แจ้งคำขอบคุณบนหน้าเว็บ เว็บขอบคุณค่อนข้างยาวเฉพาะปี 2018 ก็หลายสิบนรายการ โดยแอปเปิลระบุไว้ด้วยว่าโดเมนใดที่พบปัญหา (รายการแรกของปี 2018 เป็น Apple.com โดยตรง) [...]

Jake Archibald ทีมงานสนับสนุนนักพัฒนาของ Google Chrome พบช่องโหว่ของ Firefox และ Edge ที่เปิดทางให้เว็บมุ่งร้ายอ่านค่าจากเว็บอื่นได้ โดยอาศัย media element เช่นแท็ก audio และ video Archibald พบว่าการขอไฟล์บางประเภทจากแท็กนั้น เบราว์เซอร์รับไฟล์ไปเพียงบางส่วนได้ และหลังจากนั้นจะขอไฟล์ส่วนที่เหลือโดยใส่ HTTP Header แท็ก Range เพิ่มเข้าไป ปัญหาคือเมื่อเว็บเซิร์ฟเวอร์ที่มุ่งร้ายตอบกลับมา มันสามารถตอบ redirect เพื่อให้ไปอ่านค่าที่เหลือจากโดเมนเหยื่อใดๆ ก็ได้ และเมื่อเบราว์เซอร์ได้รับค่าจากโดเมนเหยื่อก็จะถือว่าข้อมูลที่อ่านมาได้ เป็นข้อมูลที่เว็บมุ่งร้ายนั้นอ่านได้ เนื่องจากการโจมตีใช้แท็ก Audio ใน Firefox นั้นไม่อนุญาตให้จาวาสคริปต์อ่านข้อมูลเสียงโดยตรง จึงอ่านได้เพียงความยาวของไฟล์จากโดเมนอื่น ซึ่งก็เกินกว่าสิทธิ์ปกติอยู่แล้ว แต่บน Edge นั้น Web Audio API อนุญาตให้อ่านข้อมูลเสียงออกมาเป็นไบนารีได้โดยตรง ทำให้เว็บมุ่งร้ายสามารถอ่านข้อมูลจากโดเมนเหยื่อใดๆ ก็ได้ นอกจากประเด็นความร้ายแรงของช่องโหว่ Archibald ยังเล่าถึงกระบวนการรายงานช่องโหว่ว่า Firefox นั้นทำงานอย่างรวดเร็ว วิศวกรเข้ามาตอบกลับภายในสามชั่วโมงหลังส่งรายงาน [...]

ICANN ผู้ดูแลระบบโดเมน ยื่นเรื่องให้ศาลเยอรมันตีความว่าการเก็บข้อมูล WHOIS ที่เก็บข้อมูลติดต่อธุรการและข้อมูลติดต่อด้านเทคนิคของโดเมนนั้น ขัดต่อกฎคุ้มครองข้อมูลส่วนบุคคล GDPR หรือไม่ ICANN ยื่นเรื่องครั้งนี้เนื่องจาก EPAG บริษัทรับจดทะเบียนโดเมนในเครือ Tucows แจ้งว่าจะไม่เก็บข้อมูลเหล่านี้อีกต่อไป เนื่องจากขัดกับกฎ GDPR ก่อนหน้าที่ ICANN ได้แนะนำให้ผู้รับจดทะเบียนโดเมนที่มีลูกค้าเป็นชาวยุโรปให้ทำตาม GDPR ด้วยการเปิดฟีเจอร์ความเป็นส่วนตัวของเจ้าของโดเมน โดยการเก็บข้อมูลเช่นเดิม แต่ไม่แสดงข้อมูลเต็มในการคิวรี WHOIS อีกต่อไป แนวทางนี้ทำให้ผู้ให้บริการบางรายเช่น Namecheap เลือกตัดปัญหาด้วยการแจกบริการปกป้องความเป็นส่วนตัวให้กับลูกค้าทุกรายโดยไม่ต้องแยกลูกค้าจากยุโรป แต่ในกรณีของ EPAG คือการยืนยันว่าจะไม่เก็บข้อมูลนี้แต่แรก ICANN ระบุว่าหาก EPAG สามารถเลิกเก็บข้อมูลเจ้าของโดเมนได้ การติดต่อเหตุการณ์ด้านความมั่นคงปลอดภัย, ติดต่อโดยเจ้าหน้าที่ตามกฎหมาย, และการติดต่อการละเมิดลิขสิทธิ์ จะไม่สามารถใช้งานจากข้อมูล WHOIS ได้อีกต่อไป ที่มา – ICANN ภาพโดย geralt Topics:  ICANN DNS Privacy

Chrome 67 เข้าสู่สถานะ stable ของใหม่ในเวอร์ชันนี้ได้แก่ Site Isolation แยกโพรเซสตามโดเมนเว็บ เพื่อความปลอดภัยจากปัญหาช่องโหว่ Spectre/Meltdown Generic Sensor API เปิดให้เว็บเข้าถึงการหมุนของอุปกรณ์ WebXR Device API เปิดให้เว็บเข้าถึงฮาร์ดแวร์ประเภท VR/AR เมนูสำหรับป้อน Emoji ในกล่องข้อความ ต้องเปิดใช้จากหน้า Chrome flags ก่อน ที่มา – Chrome Releases, 9to5google Topics:  Chrome Browser

ธุรกิจขายโดเมนนั้นเป็นธุรกิจที่เฉือนราคากันค่อยข้างหนัก ทำให้ผู้ให้บริการส่วนมากจะคิดค่าบริการเสริม เช่นบริการโฮสต์เว็บหรือบริการปกปิดข้อมูลส่วนตัวของผู้ซื้อโดเมนที่ต้องเปิดเผยทาง WHOIS การประกาศนี้จะทำให้ผู้ซื้อโดเมนใหม่สามารถเพิ่มบริการ WhoisGuard ได้ฟรี และเปิดใช้งานเป็นค่าเริ่มต้น ส่วนผู้ใช้เดิมต้องกดซื้อเพิ่มเข้าไปในโดเมนเดิมด้วยตัวเอง (แต่ก็ฟรีอยู่ดี) อย่างไรก็ดีบาง TLD นั้นไม่อนุญาตให้ล็อกข้อมูลเจ้าของโดเมน เช่น .cn, .uk, .sg, .au, .de, .vote, .paris เป็นต้น ก่อนหน้านี้บริการคู่แข่งจำนวนหนึ่งก็ให้บริการปิดบังข้อมูลเจ้าของโดเมนฟรีเช่นกัน เช่น Google Domains หรือ Route 53 ที่มา – Namecheap Topics:  Namecheap DNS Privacy

หลังจาก Cisco Talos เผยแพร่รายงานมัลแวร์ VPNFilter เมื่อวานนี้ วันนี้ทาง FBI ก็ยื่นขอหมายยึดโดเมน toknowall.com ซึ่งเป็นหนึ่งในสามช่องทางสำหรับกระจายมัลแวร์ขั้นที่สอง VPNFilter มีช่องทางแพร่มัลแวร์ขั้นที่สองด้วยการให้มัลแวร์ขั้นแรกดาวน์โหลดภาพจาก Photobucket หรือเว็บ ToKnowAll.com เมื่อดาวน์โหลดภาพที่ระบุได้แล้ว จะนำค่าไอพีจากใน EXIF มาดาวน์โหลดมัลแวร์ขั้นที่สองอีกครั้ง เอกสารยื่นขอหมายศาลยึดโดเมนของ FBI ระบุว่าได้ติดตามหน่วยงานพัฒนามัลแวร์ตัวนี้มานานแล้ว โดยตั้งชื่อว่า Sofacy Group เริ่มมีปฎิบัติการมาตั้งแต่ปี 2007 กลุ่มนี้รู้จักกันในชื่ออื่นอีกหลายชื่อ เช่น APT28, Sandworm, X-Agent, Pawn Storm, Fancy Bear, และ Sednit คาดว่ากลุ่มนี้มาจากรัสเซีย การโจมตีก่อนหน้านี้คือมัลแวร์ BlackEnergy กลุ่ม Safocy มีเป้าหมายหลักเป็นรัฐบาล, ทหาร, องค์กรความปลอดภัย, และเป้าหมายข่าวกรองอื่นๆ ที่มา – ArsTechnica Topics:  FBI Malware Security [...]

 Page 1 of 46  1  2  3  4  5 » ...  Last »