สืบเนื่องจากประเด็นระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการแสดงสถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรียมที่จะนำมาใช้นั้นเหมือนจะได้มีผลบังคับใช้ไปแล้วทั้งที่ยังไม่ถึงกำหนดเวลา โดยเฉพาะเว็บธนาคารในไทยซึ่งส่วนใหญ่จะใช้ใบรับรองแบบ EV ที่ออกโดยไซแมนเทคนั้น มีหลายเว็บที่พบว่าแถบ Green Bar ดังกล่าวได้หายไปแล้ว แต่ของบางเว็บก็ยังคงมีอยู่ ทำให้เกิดความสับสนว่านี่เป็นการเริ่มต้นแล้วของมาตรการการดังกล่าวของกูเกิลใช่หรือไม่ ซึ่งแท้จริงแล้วนั้น ปัญหานี้เป็นปัญหาซึ่งไม่เกี่ยวข้องกันกับมาตรการข้างต้นที่กูเกิลได้เตรียมที่จะนำมาใช้แต่อย่างใด ปัญหานี้เป็นสิ่งที่ได้เกิดขึ้นมาก่อนแล้วเพียงแต่บังเอิญว่าเพิ่งจะได้มีการค้นพบในช่วงเวลาที่มาตรการนี้ออกมา (แต่ยังไม่มีผลบังคับใช้) พอดี โดยสาเหตุของปัญหาดังกล่าวนี้นั้นได้ถูกเปิดเผยโดยกูเกิลเองว่าเกิดจากการเรียง OID ผิดของใบรับรอง EV ที่ออกโดยไซแมนเทค โดย OID นี้จะอยู่ในส่วนของ X509 Certificate Policies ภายในใบรับรองเอง และจะเป็นตัวที่เบราว์เซอร์ใช้ในการตัดสินใจว่าจะขึ้นสถานะ EV ให้หรือไม่ โดย OID ที่ได้ผ่านการรับรองว่าเป็น EV นั้นอยู่มีเพียงไม่กี่ตัวเท่านั้น โดยแต่ละ CA จะมีกันเพียงคนละตัว หรือบางรายอาจมีถึงสองตัว และไม่ใช่ว่า CA ทุกเจ้าจะมี OID [...]

อินเทลเปิดตัว Optane สำหรับเซิร์ฟเวอร์เมื่อสัปดาห์ที่แล้ว วันนี้ก็เปิดตัว Optane สำหรับผู้ใช้ทั่วไปแล้ว การ์ดจะมาในรูปแบบ M.2 รุ่น 16GB ราคา 44 ดอลลาร์ และรุ่น 32GB ราคา 79 ดอลลาร์ อินเทลระบุว่าการใช้งาน Optane กับพีซีช่วยให้พีซีตอบสนองผู้ใช้ได้ดีกว่าเดิมมาก เช่น การรัน Outlook เร็วขึ้น 6 เท่าตัว Chrome เร็วขึ้น 5 เท่าตัว ส่วนซอฟต์แวร์ขนาดใหญ่เช่นเกมก็เปิดเกมเร็วขึ้นสูงสุด 67% ผู้ใช้ทั่วไปที่จะติดตั้ง Optane ต้องใช้เมนบอร์ดที่รองรับอยู่ก่อนแล้ว โดยตอนนี้มีกว่า 130 รุ่น ส่วนเครื่องที่จะติดตั้ง Optane มาแต่แรกจะต้องรอไตรมาสที่สองของปีนี้ โปรแกรมเมอร์ควรหามาไว้เปิด Android Studio ที่มา – Intel, eWeek Topics:  Intel Optane

หลังจากกูเกิลประกาศเตรียมระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น กูเกิลชี้แจงเพิ่มเติมว่าใบรับรองที่ออกผิดพลาด ออกโดยหน่วยงานภายนอกที่ไซแมคเทคอนุญาตให้ตรวจสอบความเป็นเจ้าของโดเมนก่อนออกใบรับรอง (registration authority – RA) แทนไซแมนเทค แม้ข้อกำหนด CA/Browser Forum จะอนุญาตแต่ก็ระบุว่า root CA ต้องรับผิดชอบผลทั้งหมดหากมีความผิดพลาดกับ RA เหล่านี้ ไซแมนเทคออกมายอมรับว่า RA เหล่านี้ไม่ได้ทำตามกระบวนการตรวจสอบอย่างถูกต้อง ไม่ส่งรายงานการดำเนินการประจำปี บางรายไม่ได้รับการตรวจสอบโดยผู้ตรวจสอบที่ได้รับอนุญาตจาก WebTrust จนมาแก้ไขภายหลัง กูเกิลระบุว่าเนื่องจากหน่วยงานเหล่านี้ไม่ได้ถูกตรวจสอบอย่างถูกต้อง และหน่วยงานเหล่านี้ออกใบรับรองรวมแล้วกว่า 30,000 ใบ จึงไม่สามารถยืนยันความถูกต้องของใบรับรองเหล่านี้ทั้งหมด ตอนนี้ไซแมนเทคยกเลิกโครงการ RA ภายนอกไปทั้งหมดแล้ว พร้อมกับระบุว่าใบรับรองทั้งหมดที่ออกผิดพลาดไม่อันตรายต่อผู้ใช้ทั่วไป และจะหาทางให้ลูกค้าสามารถรับมือกับข้อกำหนดใหม่ของกูเกิลทั้งการเปลี่ยนใบรับรองใหม่ และการอัพเดตใบรับรองที่หมดอายุเร็วขึ้น สำหรับคนทั่วไปที่ไม่ได้ใช้ใบรับรอง EV ความน่ากังวลคือการลดอายุใบรับรองที่อาจจะทำให้ผู้ใช้ทั่วไปเข้าเว็บไม่ได้ กูเกิลชี้แจงเพิ่มเติมเป็นเอกสาร explainer ใน GitHub อย่างไรก็ดี [...]

มีคนตาดีไปเจอซอร์สโค้ดของโครงการ Chromium OS และพบว่ากูเกิลกำลังพยายามพอร์ต Android Studio มาลง Chrome OS อยู่ ตอนนี้ซอร์สโค้ดที่เผยสู่สาธารณะยังมีแค่ไฟล์สคริปต์ ebuild เพื่อคอมไพล์ Android Studio บน Chrome OS และเชลล์สคริปต์สำหรับเรียก Android Studio ขึ้นมาทำงาน ตัว Android Studio มีเวอร์ชันบนลินุกซ์อยู่แล้ว การพอร์ตมาสู่ Chrome OS จึงไม่ใช่เรื่องยากนัก สิ่งที่กูเกิลทำเพิ่มเข้ามาคือคอมไพล์ไลบรารีที่จำเป็น และกำหนดให้ Android Studio รันบน Wayland ซึ่งเป็นระบบแสดงผลของ Chrome OS ด้วย กูเกิลยังไม่ประกาศข่าวนี้ต่อสาธารณะ แต่ก็เป็นไปได้ว่าเราจะได้เห็นเดโมในงาน Google I/O เดือนพฤษภาคม ที่มา – Chromium via Phoronix Topics:  Android Studio Chrome OS [...]

ประเด็นความขัดแย้งระหว่างกูเกิลและไซแมนเทค ที่กูเกิลระบุว่าไซแมนเทคออกใบรับรองผิดพลาดจำนวนมาก ตอนนี้ยังไม่แน่ชัดว่ากูเกิลจะตัดสินใจแบนไซแมนเทคจากการออกใบรับรองแบบ Extended Validation (EV) เมื่อใด ใบรับรอง EV ช่วยยืนยันตัวหน่วยงานว่าเป็นองค์กรที่มีตัวตนอยู่จริง ดำเนินการในประเทศที่ระบุจริง เบราว์เซอร์จะช่วยแสดงผล green bar ด้วยการแสดงชื่อองค์กรพร้อมกับประเทศที่องค์กรเหล่านั้นตั้งอยู่ ทำให้กระบวนการหลอกผู้ใช้ (phishing) ลดความเสี่ยงลง ธนาคารในไทยเองใช้ใบรับรองจากไซแมนเทคเป็นจำนวนมาก จนเรียกได้ว่าเกือบทั้งหมด ยกเว้นเพียง ทหารไทย, ไทยพาณิชย์, และธนชาต สองวันมานี้ผมเข้าเว็บธนาคารไทยหลายแห่งและพบเรื่องแปลกใจคือธนาคารหลายแห่งไม่ขึ้น green bar บนโครมสำหรับใบรับรอง EV ทั้งที่ตัวใบรับรองเป็นแบบ EV แล้ว และเมื่อใช้ไฟร์ฟอกซ์ก็กลับขึ้น green bar กันถูกต้อง กระทู้นี้จึงขอถามผู้ใช้ Blognone ทุกท่าน ว่าธนาคารออนไลน์ที่ใช้อยู่ (ไม่ใช่เว็บธนาคาร เฉพาะหน้าเว็บที่ล็อกอินทำธุรกรรม) ตัว URL แสดง green bar กันถูกต้องหรือไม่ โดยการรายงานควรมีข้อมูลดังนี้ URL ที่เข้าเว็บ เช่น https://pib.uobthailand.com/PIBLogin/appmanager/Login/Public?lang=en_TH, https://online.kasikornbankgroup.com/K-Online/ib/login_en.jsp เป็นต้น [...]

เมื่อเดือนมกราคมที่ผ่านมามีรายงานใบรับรองจาก Symantec ที่ออกโดยไม่ได้รับอนุญาตรวม 108 ใบ ล่าสุดกูเกิลออกมารายงานว่าการสอบสวนขยายผลไปจนพบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอย่างน้อย 30,000 ใบ และตอนนี้กูเกิลเตรียมประกาศบทลงโทษด้วยการบีบอายุใบรับรองจาก Symantec ซึ่งรวมถึง GeoTrust และ Thawe ทั้งหมดเหลือไม่เกิน 9 เดือน (279 วัน) กูเกิลระบุว่าปกติแล้วหน่วยงานออกใบรับรองต้องปกป้องโครงสร้างพื้นฐานของตนเองเป็นอย่างดี แต่ Symantec กลับปล่อยให้มีหน่วยงานอย่างน้อยสี่หน่วยงานเข้าไปยุ่งกับระบบออกใบรับรองของตัวเอง และไม่สามารถออกมาชี้แจงปัญหาได้อย่างรวดเร็ว และเปิดเผยให้คนภายนอกรู้เมื่อพบปัญหา กูเกิลระบุมาตรการหลังจากนี้ 3 ประการ ได้แก่ ลดอายุใบรับรองที่ออกใหม่จาก Symantec ทั้งหมดลงเหลือ 9 เดือน บีบอายุใบรับรองที่ออกไปแล้วลงอย่างช้าๆ จนเหลือ 9 เดือนใน Chrome 64 ไม่แสดงแถบเขียว EV จากใบรับรองของ Symantec อีกต่อไป สำหรับใบรับรองที่ออกไปแล้ว มาตรการในข้อ 2 จะค่อยๆ บีบจาก Chrome 59 จะลดอายุใบรับรองที่ยังเชื่อถือเหลือ 33 เดือน [...]

Tavis Ormandy จาก Project Zero รายงานช่องโหว่ของปลั๊กอิน LastPass ที่ใช้เติมรหัสผ่านให้กับเว็บเบราว์เซอร์ ที่เปิดทางให้เว็บ lastpass.com เชื่อมต่อข้อมูลกับตัวปลั๊กอินได้ แต่กระบวนการมีช่องโหว่ทำให้เว็บใดๆ สามารถเข้าถึงตัวปลั๊กอินได้ทั้งหมด หากติดตั้ง LastPass Binary Component ไว้ด้วยก็จะเสียหายถึงขั้นแฮกเกอร์เรียกโปรแกรมใดๆ ในสิทธิ์ของผู้ใช้ได้ ทาง LastPass ได้รับรายงานจากกูเกิลตั้งแต่วันที 20 มีนาคมที่ผ่านมา และตอนนี้ออกแพตช์แก้ปัญหาเรียบร้อยแล้ว หากใครกังวล สามารถเช็คเวอร์ชั่นของส่วนเสริมได้ ตามเบราว์เซอร์ ได้แก่ Firefox ใช้รุ่น 4.1.36, Chrome ใช้รุ่น 4.1.43, Edge ใช้รุ่น 4.1.30 (รออนุมัติ), Opera ใช้รุ่น 4.1.28 (รออนุมัติ) ที่มา – LastPass, Project Zero Topics:  LastPass Security Project Zero

Netflix ได้ประกาศรองรับการสตรีมมิ่งวิดีโอผ่าน Firefox บน Linux อย่างเป็นทางการ หลังจากที่ผู้ใช้ Linux จำเป็นต้องใช้ Chrome เพื่อดูวิดีโอมาตลอด แต่เดิม Firefox บน Linux ไม่มีระบบ Encrypted Media Extension (EME) ซึ่งเป็นเทคโนโลยีที่ทำให้เล่นวิดีโอ HTML5 ที่เข้ารหัสไว้ ซึ่ง Netflix ใช้เทคโนโลยีนี้กับวิดีโอของตัวเอง จึงทำให้ยังไม่สามารถเล่นได้ แต่ทาง Mozilla เพิ่งใส่เทคโนโลยีดังกล่าวเข้ามาบนเบราว์เซอร์ Firefox บน Linux เมื่อปีที่แล้ว จึงทำให้ Netflix เริ่มปรับปรุงระบบให้รองรับ ดังนั้นตอนนี้ผู้ใช้ Firefox บน Linux ก็สามารถเปิดเล่นวิดีโอจาก Netflix ได้แล้วโดยไม่ต้องติดตั้งปลั๊กอินใด ๆ เพิ่มเติม ที่มา – Netflix Tech Blog, Engadget Topics:  Netflix

กูเกิลเปิดตัว Android O ที่ยังไม่รู้ว่าชื่อจริงว่าอะไร (แต่คนจำนวนมากก็ลุ้นให้เป็น Oreo) โดยมีฟีเจอร์ชุดแรกออกมาเพื่อฟังเสียงตอบรับจากนักพัฒนากันก่อน ฟีเจอร์เด่นๆ ได้แก่ จำกัดการทำงานเบื้องหลัง: แอปที่รันอยู่เบื้องหลังจะถูกจำกัดมากกว่าเดิม ตัวแอปจะไม่สามารถรับ broadcast ที่ไม่เจาะจงมายังตัวแอปโดยตรงได้ เช่น ACTION_PACKAGE_REPLACED แม้จะประกาศไว้ใน manifest แต่ก็รันไม่ได้หากรันอยู่เบื้องหลัง แต่มี broadcast จำนวนหนึ่งที่ได้รับข้อยกเว้นให้รับได้แม้จะไม่ได้เจาะจงตัวแอป แบ่งหมวดหมู่การแจ้งเตือน: การแสดงการแจ้งเตือนเป็นสิทธิ์ของตัวแอปโดยตรง หากผู้ใช้ต้องการรับการแจ้งเตือนเพียงบางหมวด เช่น ทวิตเตอร์ต้องการดูแต่ direct message ก็ต้องไปปรับในตัวแอปเอาเอง หากผู้ใช้ปิดสิทธิ์การแจ้งเตือนก็กลายเป็นว่าแอปส่งแจ้งเตือนอะไรไม่ได้เลย แต่ใน Android O จะเปิดทางให้ผู้ใช้ปิดทีละหมวดได้ เติมข้อมูลอัตโนมัติ (Autofill API): จากเดิมแอปเติมข้อมูลอัตโนมัติ เช่น แอปเก็บรหัสผ่าน มักให้บริการด้วยการทำตัวเป็นแอปคีย์บอร์ด ใน Android O จะเปิดให้สร้างแอป Autofill ที่กรอกข้อมูลไปยังฟอร์มได้โดยตรง Picture-in-Picture (PIP) และการรองรับจอภายนอก: PIP รองรับทั้งโทรศัพท์และแท็บเล็ตแล้ว, ระบบแจ้งเตือนกลางจอ (overlay), [...]

Google ได้อัพเดต Chrome บน iOS โดยเพิ่มฟีเจอร์ Read Later ซึ่งเป็นฟีเจอร์ที่ให้ผู้ใช้เก็บหน้าเว็บไว้อ่านแบบออฟไลน์ได้ คล้ายกับ Pocket หรือ Reading List ของ Safari วิธีบันทึกหน้าเว็บไว้เพียงแค่กดปุ่ม … > Share > Read Later ก็จะบันทึกบทความเก็บไว้บนเครื่องทันที หากต้องการดูบทความที่บันทึกไว้ก็ให้กดที่เมนู … > Reading List โดย Chrome จะบันทึกบทความทั้งหน้าไม่ใช่เฉพาะบางส่วน แต่สามารถไว้ดูออฟไลน์ได้บนเครื่องเดียว ไม่สามารถซิงค์ข้ามเครื่องได้ ที่มา – The Verge Topics:  Chrome

 Page 1 of 184  1  2  3  4  5 » ...  Last »