คนที่ใช้อุปกรณ์อิเล็คทรอนิคเป็นประจำคงรู้ดีว่าปัญหาแบตเตอรี่เสื่อมสภาพเป็นสิ่งที่เลี่ยงไม่ได้ แต่ปัญหาที่เกิดขึ้นกับอุปกรณ์ Surface Pro 3 ในคราวนี้ต่างจากการเสื่อมสภาพของแบตเตอรี่ทั่วไปอยู่พอสมควร เมื่อผู้ใช้จำนวนหนึ่งพบว่าแบตเตอรี่ภายในเครื่องมีอาการเสื่อมสภาพถึง 99% ของปริมาตรบรรจุเดิมในระยะเวลาสั้นๆ และเริ่มเกิดขึ้นหลังหมดประกันไม่กี่เดือน โดยไมโครซอฟท์ยังคงไม่มีประกาศใดๆ อย่างเป็นทางการเกี่ยวกับปัญหาดังกล่าว ข้อมูลเปิดเผย ผู้เขียนข่าวเป็นผู้ประสบปัญหานี้ด้วยตนเอง และเป็นผู้ตั้งกระทู้เริ่มเรื่องใน Microsoft Answers ปัญหาดังกล่าวถูกรายงานครั้งแรกใน Microsoft Answers เว็บบอร์ดสำหรับสอบถามและแจ้งปัญหาต่างๆ ของไมโครซอฟท์ เมื่อผู้ใช้พบว่า Surface Pro 3 ที่ใช้แบตเตอรี่ของ SIMPLO ผู้ผลิตไต้หวัน เลขรุ่น X898289 แสดงอาการเสื่อมสภาพอย่างรวดเร็วจากปริมาตรบรรจุ 42,157 mWh เหลือเพียง 144 mWh ในระยะเวลาเพียง 2 เดือน ในเบื้องต้นจากการสนทนาภายในเว็บบอร์ดพบว่าปัญหานี้เกิดขึ้นกับ Surface Pro 3 ทั้งหมดที่ใช้แบตเตอรี่รุ่นดังกล่าว และปัญหามักจะเกิดขึ้นราวๆ เดือนที่ 15 ของการใช้งาน เนื่องจากบางประเทศไม่สามารถซื้อประกันเพิ่มเป็น 3 ปีได้ (โปรแกรม Microsoft Complete) [...]

Java 8 รองรับ Let’s Encrypt แล้ว

ใบรับรองที่ออกโดย Let’s Encrypt ถูก cross-sign โดย IdenTrust แม้ว่าเบราว์เซอร์จะรองรับแทบทั้งหมด แต่ไลบรารีบางส่วนก็ยังอัพเดตไม่ทัน ล่าสุดฝั่งจาวาก็อัพเดต 8u101 รองรับ IdenTrust แล้ว ทำให้การเชื่อมต่อ HTTPS ไปยังเซิร์ฟเวอร์ที่ใช้งาน Let’s Encrypt รองรับโดยสมบูรณ์ ออราเคิลเพิ่มใบรับรองของ IdenTrust เข้าในฐานข้อมูลหลายตัว แต่ตัวที่ใช้ cross-sign กับ Let’s Encrypt คือ IdenTrust DST Root CA X3 ที่มา – Oracle Topics:  Let's Encrypt Java Oracle

หากคุณต้องการบันทึกวีดีโอหน้าจอบน Android เพื่อใช้สอนปร […] The post แอปบันทึกวีดีโอหน้าจอบน Android ที่ใช้ได้เลย ไม่ต้อง root appeared first on iT24Hrs by Panraphee.

การใช้งานเว็บเข้ารหัสเริ่มมีมากขึ้นเรื่อย แต่นโยบายองค์กรจำนวนมากก็ต้องบันทึกข้อมูลเข้าออกทุกอย่างเอาไว้ ทำให้ต้องติดตั้ง CA ขององค์กรเพื่อดักฟัง รวมถึงซอฟต์แวร์ป้องกันไวรัสจำนวนหนึ่งก็อาจจะติดตั้งพรอกซี่ไว้ในเครื่องเพื่อตรวจไวรัสก่อนที่จะให้ผู้ใช้เปิดเว็บ แต่แนวทางเช่นนี้เป็นดาบสองคมคือกรณีมัลแวร์ดักฟังข้อมูลไป ผู้ใช้ก็ไม่รู้ตัวว่ากำลังมีคนมาดักคั่นกลางการเชื่อมต่ออยู่ ตอนนี้แพตช์ชุดใหม่ของ Chrome เสนอแนวทางแจ้งเตือนผู้ใช้เมื่อเปิด Developer Tools ขึ้นมาใช้งาน Chrome ยังคงแสดง URL เป็นสีเขียวปกติต่อไป แต่การแจ้งเตือนจะแสดงสัญลักษณ์สีเทาว่ามีการข้ามการล็อกกุญแจเข้ารหัสจากการใช้ CA ที่ติดตั้งเอง ก่อนหน้านี้มีประเด็น CA ที่ติดตั้งเองโดยผู้ใช้ไม่รู้ตัวหลายครั้ง สร้างช่องโหว่อันตรายให้กับผู้ใช้เป็นวงกว้าง กรณีสำคัญเช่น Superfish ของ Lenovo และ eDellRoot ของเดลล์ กรณีเหล่านี้ผู้ใช้สังเกตได้ยากว่ามีการคั่นกลางการเชื่อมต่อหรือไม่ ที่มา – Chromium Issue: 566144 Topics:  Chrome Google Security HTTPS

บริษัทความปลอดภัย Check Point Security ออกมาเปิดโปงขบวนการอาชญากรรมไซเบอร์ขนาดใหญ่ในจีน ที่กระจายมัลแวร์ HummingBad ส่งผลกระทบในวงกว้าง กวาดรายได้จากค่าโฆษณาที่ฝังในเครื่องของผู้ใช้ไม่ต่ำกว่าเดือนละ 300,000 ดอลลาร์ (10 ล้านบาท) Check Point สืบข้อมูลและพบว่ามัลแวร์ HummingBad มีต้นตอมาจากบริษัท Yingmob ในเมืองฉงชิง (Chongqing) เมืองใหญ่ทางภาคตะวันตกเฉียงใต้ของจีน บริษัท Yingmob ทำตัวเป็นผู้ให้บริการเซิร์ฟเวอร์โฆษณาสำหรับอุปกรณ์พกพา และก่อนหน้านี้เคยมีข่าวว่า Yingmob เป็นผู้สร้างมัลแวร์ Yispecter บน iOS ด้วย Check Point ระบุว่า Yingmob เป็นบริษัทขนาดใหญ่ มีธุรกิจด้านโฆษณาที่ถูกกฎหมายรวมอยู่ด้วย ส่วนฝ่ายที่สร้างมัลแวร์ชื่อว่า Development Team for Overseas Platform มีพนักงาน 25 คน แบ่งเป็น 4 ทีมย่อย มีผลงาน 6 ชิ้นที่รวมกันเป็นแคมเปญการโจมตี HummingBad พฤติกรรมของ [...]

Verisign เป็นผู้ดูแลโดเมน .com มาตั้งแต่เริ่มแรกและจนตอนนี้ก็ยังเป็นแหล่งรายได้สำคัญของบริษัท จากชื่อโดเมนทั้งหมด 125 ล้านชื่อ การได้ต่ออายุไปอีก 6 ปีจะรับรองว่าบริษัทจะมีรายได้มหาศาลต่อเนื่อง แต่ภายใต้ข้อตกลงครั้งนี้ ICANN ที่มอบสิทธิ์ให้ก็ขอความร่วมมือเพิ่มเติมจาก Verisign ในชื่อข้อตกลง root zone maintainer services agreement (RZMA) เพื่อให้ ICANN เข้าดูแลกระบวนการเปลี่ยนแปลง root zone file สัญญาเดิมในปี 2012 เคยอนุญาตให้ Verisign ขึ้นราคาขายส่งโดเมนจาก 6 ดอลลาร์เป็น 7.85 ดอลลาร์แต่สัญญาในรอบนี้ไม่มีประเด็นราคาแต่อย่างใด เหตุผลหนึ่งที่เป็นไปได้คือราคาขายส่งจริงๆ ไม่เคยขึ้นราคามาหลายปีแล้วจากการแข่งขันที่สูงขึ้น ผู้ให้บริการจดโดเมนบางรายอ้างว่าสามารถจะโดเมนได้ในราคา 1 ดอลลาร์เท่านั้น Verisign นอกจากจะเป็นผู้รับจดทะเบียน .com และ .net แล้ว ยังเป็นผู้ดูแล root server ในกลุ่ม A ซึ่ง root server [...]

PayPal เตรียมจะอัพเดตบริการใหม่ โดยเน้นไปในเรื่องความปลอดภัยหลายอย่าง คือเพิ่มเทคโนโลยีต่าง ๆ ที่เกี่ยวกับความปลอดภัยเข้ามาให้มากขึ้น โดยรายละเอียดการอัพเดตคร่าว ๆ มีดังนี้ อัพเกรดเป็น TLS v1.2 ระบบทั้งหมดจะบังคับใช้ TLS v1.2 สำหรับการเชื่อมต่อแบบ HTTPS ในเดือนมิถุนายน 2017 และตั้งแต่นั้น API ที่ต้องการเชื่อมต่อ TLS v1.0 และ TLS v1.1 จะไม่สามารถใช้งานได้ อัพเดตที่อยู่ไอพีใหม่สำหรับ PayPal SFTP: บริการของ PayPal คือ Secure FTP Reporting / Batch Servers จะเปลี่ยนที่อยู่ไอพีใหม่ ฉะนั้นถ้าใครใช้วิธี hard code ที่อยู่ไอพีจะต้องเปลี่ยนภายใน 14 เมษายนนี้ IPN Verification Postback to HTTPS: สำหรับบริการ Instant Payment [...]

กระบวนการรับรอง SSL/TLS Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” (ต่อไปจะเรียกว่า TLS Certificate) จะผ่านทาง Certificate Authority หรือ “ผู้ออกใบรับรองอิเล็กทรอนิกส์” (CA) โดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ (ต่อไปจะเรียกว่า client) จะมีรายการที่เรียกว่า Trusted Root Certification Authorities หรือ “รายการใบรับรองดิจิตอลของผู้ออกใบรับรองดิจิตอลสำหรับผู้อื่น” อยู่ภายใน โดยมากมักอ้างอิงกับตัวระบบปฏิบัติการเป็นหลัก ซึ่งจะบรรจุ Root Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด” เพื่อให้ client สามารถเชื่อใบรับรองอิเล็กทรอนิกส์ที่ได้รับรองจาก Certificate Authority เหล่านั้น (Trust any certificates issued by the Certificate Authorities) การที่ Certificate Authority จะสามารถอยู่ในรายการดังกล่าวได้ จะต้องผ่านการตรวจสอบคุณสมบัติตามมาตรฐานจากหน่วยงาน CA/Browser Forum เพราะผู้ผลิต client ต่างๆ [...]

เว็บไซต์นิตยสาร Forbes รายงานว่าระบบสื่อสารโทรคมนาคมที่เรียกว่า Signalling System No. 7 (SS7) อันเป็นมาตรฐานการสื่อสารที่พัฒนาขึ้นมาตั้งแต่ปี 1975 มีช่องโหว่ร้ายแรงที่สำคัญ ซึ่งทำให้แฮกเกอร์สามารถหลอกผู้ให้บริการโทรคมนาคม (ในที่นี้คือโทรศัพท์เคลื่อนที่) ว่าโทรศัพท์มือถือของตนเองนั้นมีหมายเลขเดียวกับเครื่องเหยื่อเป้าหมายที่จะถูกโจมตี ทำให้แฮกเกอร์สามารถทำได้ทั้งรับสาย รับข้อความ SMS แทนเจ้าของเครื่องตัวจริง (ว่าง่ายๆ คือ hijack โทรศัพท์กันที่ระดับหมายเลข) พร้อมกับเผยแพร่วิดีโอสาธิตการโจมตีด้วย ช่องโหว่ดังกล่าวนี้ถือว่ามีความน่ากังวล เพราะไม่ได้ติดอยู่กับตัวระบบปฏิบัติการ และยังสามารถขยายไปดักฟังข้อมูลอื่นๆ ได้ด้วย ที่น่ากังวลคือมีหลายบริษัท (ล่าสุดเป็นบริษัทด้านความปลอดภัยจากอิสราเอล) เสนอบริการสอดแนมโดยใช้ช่องโหว่ในตัว SS7 และขายเครื่องมือเหล่านี้ให้กับหน่วยงานหรือคนที่สนใจใช้ด้วย (แต่ราคาก็ไม่ใช่ว่าจะหาซื้อกันง่ายๆ เพราะหลักล้านดอลลาร์สหรัฐขึ้นไปทั้งสิ้น) รวมถึงช่องโหว่เหล่านี้เป็นเรื่องที่วงการผู้เชี่ยวชาญทราบกันดีอยู่แล้ว (ทราบกันมาตั้งแต่ 2015) แต่ไม่มีใครทำอะไรได้เพราะปัญหาในระบบทำงาน (redtape) ที่ซับซ้อนมากในการออกและแก้ไขมาตรฐานโทรคมนาคมแบบใหม่ๆ และแอพจำนวนมากก็ยังคงใช้วิธีการยืนยันตัวตนผ่านระบบเช่น SMS หรือโทรศัพท์ โดยไม่รู้ว่าโครงสร้างเหล่านี้มีความไม่ปลอดภัย Karsten Nohl นักวิจัยด้วยความปลอดภัยที่ทำงานเกี่ยวกับช่องโหว่ของ SS7 แนะนำว่าผู้ใช้งานควรเปิดระบบการเข้ารหัสแบบ end-to-end ซึ่งจะช่วยลดความเสี่ยงไปได้ส่วนหนึ่ง นอกจากนั้นยังต้องตรวจสอบ digital fingerprint ของฝ่ายคู่สนทนา [...]

ปีที่แล้วมีรายงานช่องโหว่สำคัญๆ จากผู้ผลิตคอมพิวเตอร์เอง เช่น Superfish ของเลอโนโว และ eDellRoot ของเดลล์ ทาง Duo Security จึงทำรายงานสำรวจความปลอดภัยของระบบอัปเดตจากผู้ผลิต 5 ราย ได้แก่ เอเซอร์, เอซุส, เอชพี, เดลล์, และเลอโนโว พบว่าผู้ผลิตทุกรายมีช่องโหว่ระดับร้ายแรงสูงทั้งสิ้น รวมช่องโหว่ 12 รายการ นอกจากเดลล์ที่มีช่องโหว่ eDellRoot ผู้ผลิตรายอื่นๆ ก็มีปัญหาช่องโหว่เปิดให้แฮกเกอร์ส่งโค้ดเข้าไปรันบนเครื่องของเหยื่อ การเข้ารหัสที่อ่อนแอและบางครั้งก็อิมพลีเมนต์ผิดพลาด เช่น Asus Live Update เข้ารหัสไฟล์ manifest ด้วยกุญแจ md5(“Asus Live Update”) ผู้ผลิตหลายรายส่งโค้ดอัพเดตโดยไม่เข้ารหัสและไม่ตรวจสอบโค้ดที่ดาวน์โหลดมา หรือ Dell Foundation Service (DFS) ที่ตรวจสอบโค้ดอัปเดตว่าใบรับรองมี “ชื่อ” ว่า “DELL” หรือ “DELL INC.” หรือไม่ โดยไม่ได้ตรวจสอบกุญแจจริงๆ (ปัญหานี้ถูกแก้ไปใน [...]

 Page 1 of 19  1  2  3  4  5 » ...  Last »