หลังจาก Blognone เคยนำเสนอ รายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง
รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ
สรุปความปลอดภัยบนเว็บที่มีการเปลี่ยนแปลงในช่วงปีที่ผ่านมา?
แต่ก่อนที่เราจะข้ามไปดูผลสำรวจประจำปีนี้ ก็ขอสรุปเหตุการณ์สำคัญๆ ด้านความปลอดภัยบนเว็บ ที่เกิดขึ้นในช่วงปีที่ผ่านมาก่อนครับ
เมื่อเบราว์เซอร์คำนึงถึงผู้ใช้งานที่ไม่เข้าใจเรื่องทางเทคนิคมากขึ้น
หากพูดเรื่องการออกแบบความปลอดภัย ก็คงจะหลีกเลี่ยงประเด็นที่ต้องเลือกระหว่างความปลอดภัยหรือการใช้งาน (security vs usability) ไปไม่ได้ ดังเช่นมีมต่อไปนี้
รูปที่ 1: สิ่งที่ผู้ใช้รับรู้เมื่อพบเจอหน้าจอเตือนความปลอดภัย -- ภาพจาก reddit
ซึ่งส่วนสำคัญส่วนหนึ่งก็อาจมาจากการออกแบบส่วนติดต่อผู้ใช้ (user interface) ไม่ดีพอ ทำให้เบราเซอร์หลักๆ อย่าง Google Chrome และ Firefox ปรับปรุงส่วนนี้ใหม่โดยแสดงข้อความว่า "ปลอดภัย (secure)" หรือ "ไม่ปลอดภัย (not secure)" ตามท้าย แทนที่จะใช้เพียงรูปกุญแจสีเขียวเพียงอย่างเดียว
รูปที่ 2: ข้อความแสดงว่าเว็บไซต์ปลอดภัยของ Google Chrome และ Firefox
รูปที่ 3: ข้อความแสดงว่าเว็บไซต์ไม่ปลอดภัย เนื่องจากมีแบบฟอร์มที่ไม่ได้วิ่งบน HTTPS
อย่างไรก็ตาม ยังมีเว็บไซต์อีกประเภทหนึ่งที่เบราว์เซอร์เตือนว่าไม่ควรเสี่ยงเปิด ถึงแม้ว่าเว็บนั้นจะรองรับ HTTPS ก็ตาม นั่นก็เพราะว่ามีข้อผิดพลาดบางอย่างเกี่ยวกับใบรับรองของเว็บนั้นๆ
รูปที่ 4: ข้อความแสดงว่าไม่ควรเปิดเว็บไซต์ดังกล่าว เนื่องจากใบรับรองมีข้อผิดพลาด
ระลอกใหม่แห่งความปลอดภัย ใบรับรองต้องใช้ SHA-2
จุดเปลี่ยนแปลงครั้งใหญ่อีกอย่างหนึ่งในปี 2017 นี้ คือการที่เบราว์เซอร์ต่างๆ เลิกเชื่อถือใบรับรองที่แฮชด้วยอัลกอริทึม SHA-1 ทั้งหมด โดย Edge/IE เลิกเชื่อถือช้าที่สุดคือเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ในขณะที่ Chrome และ Firefox เลิกเชื่อถือใบรับรองแบบดังกล่าวมานานแล้ว รายละเอียดเพิ่มเติม
ในขณะที่ทำบทสำรวจนี้ ผมไม่พบว่ามีเว็บไซต์ใดที่แฮชใบรับรองแบบ SHA-1 แล้วครับ
บั๊ก Google Chrome ไม่แสดง EV ที่ออกโดย Symantec
จาก กรณีที่ Symantec ออกใบรับรองโดยไม่ได้รับอนุญาต เมื่อต้นปีที่ผ่านมา ทาง Google ได้ออกมาตรการลงโทษโดยการลดอายุใบรับรองลง พร้อมทั้งวางแผนว่าจะเลิกแสดงใบรับรองแบบ EV ที่ออกโดย Symantec ในอนาคต แต่ปรากฏว่า ผู้ใช้งาน Google Chrome ที่เพิ่งอัพเดทเบราว์เซอร์จำนวนมากกลับมองไม่เห็นใบรับรองแบบ EV ที่ออกโดย Symantec แล้ว ซึ่งก็เป็นเรื่องน่าประหลาดใจพอสมควรเพราะการเปลี่ยนแปลงครั้งนี้ไม่กระทบกับใบรับรองแบบ EV ที่ออกโดย Symantec ทุกใบ หลังจากการ ไล่หาสาเหตุ ดังกล่าว กลับพบว่านี่เป็นเพียงบั๊กของ Google Chrome เท่านั้น และทางต้นน้ำได้รับทราบและแก้ไขข้อผิดพลาดนี้ไปแล้ว สิ่งที่ฝั่งผู้ใช้ต้องทำก็มีเพียงแค่นั่งรอการอัพเดทเบราว์เซอร์ตามรอบเท่านั้นครับ
แต่สำหรับบทความตอนนี้ จะขอยึดถือเบราว์เซอร์ตัวอื่นสำหรับการตรวจสอบการแสดงผลใบรับรองแบบ EV ไปก่อน
รูปแบบการรองรับ HTTPS
เรายังแบ่งรูปแบบการรองรับ HTTPS ออกเป็น 6 กลุ่มด้วยกัน โดยมีรายละเอียดดังนี้
- ไม่รองรับไม่สามารถเข้าเว็บด้วย HTTPS (ไม่ว่าจะพิมพ์
https://หรือว่าใช้เครื่องมืออย่าง HTTPS Everywhere ) เพื่อใช้งานตามจุดประสงค์หลักของเว็บในกลุ่มนั้นได้ - รองรับไม่สมบูรณ์ได้แก่เว็บสามารถเปิดไปยังหน้า HTTPS ได้ แต่เบราว์เซอร์ขึ้นเตือนว่าใบรับรองไม่ปลอดภัย อันอาจเนื่องมาจากใบรับรองหมดอายุ CA หมดความน่าเชื่อถือ ฯลฯ
รูปที่ 5: เว็บที่ใบรับรองมีปัญหา แต่ยังสามารถกดยินยอมให้เบราว์เซอร์มองข้ามปลอดภัยเพื่อเข้าไปอ่านเนื้อหาได้
- รองรับบางส่วนเว็บสามารถเข้าใช้งานได้บางส่วนแต่ไม่สมบูรณ์ เช่น เว็บข่าวสามารถอ่านข้อความข่าวได้ แต่ภาพประกอบอาจไม่ขึ้น หรือเว็บสั่งสินค้าที่ต้องกดยินยอมให้เบราว์เซอร์โหลดสคริปต์ที่ไม่ปลอดภัยเพื่อให้ใช้งานต่อไปได้
รูปที่ 6: เว็บที่สามารถเข้าหน้า HTTPS เพื่ออ่านเนื้อหาหรือใช้งานตามปรกติได้ แต่อาจพบว่ารูปภาพโหลดไม่ครบ
- รองรับแต่ไม่บังคับเว็บที่สามารถเข้าได้ทั้งจากหน้า HTTP และ HTTPS โดยทั้งสองหน้าสามารถใช้งานได้ทัดเทียมกัน อาจมีความแตกต่างได้บ้างในส่วนที่ไม่ใช่การใช้งานหลักของเว็บ เช่น โฆษณาโหลดไม่ขึ้น
รูปที่ 7: เว็บที่มีหน้า HTTPS ให้เลือกเข้า แต่ถ้าจะเข้าผ่าน HTTP ก็ย่อมได้
- รองรับและบังคับเว็บประเภทนี้จะสามารถเข้าใช้งานได้ผ่าน HTTPS เพียงอย่างเดียว เมื่อเข้าด้วย HTTP เว็บอาจเปลี่ยนทางให้เป็น HTTPS โดยอัตโนมัติ หรืออาจไม่แสดงผลลัพธ์เลยก็ได้
- รองรับและใช้ SSL EVระดับสูงสุดของการรองรับ HTTPS ที่มี green bar เพื่อแจ้งผู้ใช้ว่ากำลังใช้เว็บจากหน่วยงานที่ระบุจริง โดยทั่วไปนิยมใช้กับเว็บการเงิน ธนาคาร และธุรกิจ แต่เว็บทั่วไปก็สามารถใช้งานได้เช่นกัน หมายเหตุว่าเราจะจัดเว็บให้ในหมวดนี้เมื่อบังคับ HTTPS ควบคู่ไปด้วยเท่านั้น
รูปที่ 8: แถบสีเขียวบนเบราว์เซอร์ต่างๆ ที่บ่งบอกว่าเว็บดังกล่าวมาจากหน่วยงานที่ระบุจริงๆ
กระบวนการสำรวจ
เช่นเดียวกับปีที่ผ่านมา เราได้แบ่งเว็บไทยออกเป็น 5 หมวด แยกตามประเภทการใช้งาน ซึ่งประกอบไปด้วย
- เว็บข้อมูลข่าวสารได้แก่เว็บข่าว ดาราบันเทิง และเว็บประชาสัมพันธ์บริษัท จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถอ่านเนื้อหาพร้อมภาพหรือวิดีโอประกอบข่าวได้
- เว็บอีคอมเมอร์ซได้แก่เว็บที่มีระบบตะกร้าสินค้าให้จับจ่ายออนไลน์ โดยไม่จำเป็นต้องมีช่องทางจ่ายเงินออนไลน์ อันประกอบไปด้วย เว็บซื้อของออนไลน์ ร้านหนังสือออนไลน์ เว็บสั่งอาหารเดลิเวอรี่ ซึ่งจะนับว่าใช้งานได้อย่างสมบูรณ์ก็ต่อเมื่อสามารถค้นหาสินค้า อ่านรายละเอียดสินค้า และเพิ่มสินค้าในตะกร้าได้
- เว็บธนาคารเนื่องจากธนาคารส่วนใหญ่ใช้โดเมนแยกกันระหว่างหน้าข้อมูลกับหน้าธุรกรรมออนไลน์ เราจึงแบ่งแยกย่อยหมวดนี้ลงไปอีก คือ
- ข้อมูลธนาคารสำหรับหน้าเว็บที่แสดงข้อมูลต่างๆ จากทางธนาคาร ใช้เกณฑ์การใช้งานได้สมบูรณ์แบบเดียวกับเว็บข้อมูลข่าวสาร
- ธุรกรรมออนไลน์สำหรับหน้าเว็บที่มีการลงชื่อเข้าสู่ระบบ เพื่อบริหารบัญชีและทำธุรกรรมผ่านอินเทอร์เน็ต อย่างไรก็ตาม ด้วยข้อจำกัดทางด้านจำนวนบัญชีธนาคารที่ผู้สำรวจมี เกณฑ์การใช้งานได้สมบูรณ์จะนับแค่การสังเกตหน้าแรกของเว็บเท่านั้น
- เว็บเครือข่ายสังคมได้แก่เว็บที่เน้นให้เกิดการสนทนากันระหว่างผู้ใช้ด้วยกันเอง จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถโพสต์กระทู้หรือตอบข้อความได้สำเร็จ
- เว็บหน่วยงานราชการได้แก่เว็บจากทางภาครัฐ เนื่องจากเว็บในหมวดนี้มีการใช้งานที่หลากหลายไม่ซ้ำกัน เช่น เว็บกองสลากฯ สำหรับตรวจหวย เว็บสรรพากรสำหรับยื่นภาษี เราจะจำกัดระดับการใช้งานได้อยู่ที่การโหลดเนื้อหามาได้ครบถ้วนเท่านั้น
ด้านเกณฑ์การเลือกเว็บมาสำรวจ เราวางแนวทางการเลือกไว้ 3 แนวทางด้วยกัน แล้วเอาผลลัพธ์จากทุกแนวทางมารวมกัน เพื่อรับประกันว่าจะได้เว็บไทยที่เป็นที่นิยมในขณะนี้
- เลือกเว็บที่มีผู้ใช้งานมาเป็นอันดับต้นๆ โดยอิงสถิติจาก Truehits
- เลือกเว็บจากหน้าแรกๆ เมื่อค้นคำด้วยเสิร์ชเอนจินอย่าง Google, Bing
- เลือกเว็บที่ถูกอ้างถึงบ่อยบนเครือข่ายสังคมออนไลน์อย่าง Facebook, Twitter
ส่วนที่เปลี่ยนไปตามวันเวลา คือ เราอัพเดทเว็บเบราว์เซอร์ที่ใช้สำรวจให้ตรงตามยุคสมัย ซึ่งมีรายละเอียดดังนี้
- Google Chrome 57.0.2987.133
- Internet Explorer 11.953.14393.0
- Google Chrome Android 57.0.2987.132
ผลการสำรวจ
จากเว็บไทยจำนวน 127 เว็บที่เราทำการสำรวจในระหว่างวันที่ 4-5 เมษายน 2017 ได้ผลออกมาดังนี้ ( ไฟล์ข้อมูลตารางโดยละเอียด )
เว็บข้อมูลข่าวสาร
เนื่องจากสื่อยุคเก่าเริ่มไม่ตอบโจทย์ชีวิตออนไลน์ สื่อยุคใหม่จึงเกิดขึ้นเป็นจำนวนมาก ในหมวดนี้เราให้ความสนใจไปที่กลุ่มหนังสือพิมพ์และนิตยสารออนไลน์มากเป็นพิเศษ ซึ่งจะเห็นได้จากจำนวนที่เพิ่มขึ้นอย่างมากนั่นเองครับ
ตารางที่ 1: การรองรับ HTTPS ของเว็บข้อมูลข่าวสาร
อีคอมเมิร์ซ
นอกจากการเสพสื่อแล้ว การซื้อขายออนไลน์ก็ดูจะเป็นวิถีชีวิตยุคใหม่ที่มาแรงในยุคนี้ เราเพิ่มเว็บอีคอมเมิร์ชเจ้าใหม่ๆ ที่ก้าวเข้ามาแย่งส่วนแบ่งในตลาดจำนวนมาก ไม่ว่าจะเป็นเว็บที่ขายของทั่วไป หรือเว็บขายของเฉพาะทางอย่างอุปกรณ์คอมพิวเตอร์ หนังสือ หรือบริการจัดส่งอาหาร
ย้ำอีกครั้งว่าเกณฑ์การใช้งานได้อย่างสมบูรณ์ของเว็บในหมวดนี้ คือ สามารถค้นหาสินค้า อ่านข้อมูลและภาพประกอบสินค้า และเลือกสินค้าลงตระกร้าได้ ส่วนระบบจ่ายเงินนั้นเราไม่ได้เอามาพิจารณาร่วมด้วยครับ
อนึ่ง เนื่องจาก Ensogo ปิดกิจการในไทยเรียบร้อยแล้ว เราจึงตัดเว็บนี้ออกจากการสำรวจครับ
ตารางที่ 2: การรองรับ HTTPS ของเว็บอีคอมเมิร์ซ
ธนาคาร
ตารางที่ 3: การรองรับ HTTPS ของเว็บธนาคาร
จุดที่น่าสังเกต คือ ธนาคาร TISCO ไม่ได้แยกโดเมนของหน้าเว็บข้อมูลกับหน้าเว็บธุรกรรมออกจากกันดั่งเช่นธนาคารอื่นๆ ซึ่งในแง่หนึ่งก็ถือว่าเป็นเรื่องน่าชื่นชมเพราะทำให้ลูกค้าธนาคารไม่สับสนกับโดเมนอันมากมายหลากหลายที่มี อย่างไรก็ตามธนาคารดังกล่าวไม่ได้ใช้ใบรับรองแบบ EV เหมือนเจ้าอื่นครับ
เครือข่ายสังคม
น่าเสียดายว่าเว็บเครือข่ายสังคมของไทยดูเหมือนผ่านยุครุ่งโรจน์ไปแล้ว อาจเป็นเพราะการเข้ามาของเว็บอย่าง Facebook และ Instagram ที่ตอบโจทย์เกือบทั้งหมดของผู้ใช้ไปเรียบร้อยแล้ว ทำให้เราไม่สามารถเสาะหาเว็บที่เข้าข่ายมาเพิ่มในหมวดนี้ได้เยอะเท่าไรครับ
ตารางที่ 4: การรองรับ HTTPS ของเว็บเครือข่ายสังคม
หน่วยงานรัฐ
ตารางที่ 5: การรองรับ HTTPS ของเว็บหน่วยงานรัฐ
บทสรุป
รูปที่ 9: เปอร์เซ็นต์การรองรับ HTTPS แยกตามประเภทเว็บ
จากรูปที่ 9 ซึ่งแสดงถึงข้อมูลการรองรับ HTTPS ของเว็บทั้งหมดที่สำรวจในปี 2017 นี้ เราจะเห็นได้ชัดว่าเว็บกลุ่มที่ยังไม่รองรับ HTTPS เป็นปริมาณมาก ได้แก่กลุ่มหน่วยงานรัฐ เว็บข่าว และเว็บข้อมูลธนาคาร
สำหรับเว็บกลุ่มหน่วยงานรัฐ แม้จะน่าเป็นห่วงเพราะว่าเป็นเว็บที่ควรต้องสร้างความน่าเชื่อถือให้แก่ผู้ใช้งานมากที่สุด แต่ก็เข้าใจได้ว่าการปรับตัวของหน่วยงานรัฐนั้นมีความหนืดสูงกว่าหน่วยงานเอกชนหรือหน่วยงานอิสระ อนึ่ง หากดูไล่เป็นรายเว็บไปโดยนำข้อมูลเปรียบเทียบกับปีก่อน ก็อาจนับว่าเว็บกลุ่มนี้มีพัฒนาการที่น่าสนใจเลยทีเดียว
ด้านข้อมูลข่าวสารนั้น ก็มีพัฒนาการรายเว็บเทียบกับปีก่อนเป็นอย่างดีเช่นกัน และด้วยธรรมชาติของเว็บเหล่านี้ที่เน้นการเผยแพร่ข้อมูลเป็นหลัก ไม่ได้มุ่งสร้างเครือข่ายสังคมที่ให้สมาชิกมาโต้ตอบกัน การใช้ HTTP เพื่อเผยแพร่ข้อมูลอาจนับว่าเป็นเรื่องที่ยอมรับได้
ส่วนที่น่าเสียดายมากที่สุดคงหนีไม่พ้นกลุ่มเว็บข้อมูลธนาคาร ทั้งที่ภายในหน่วยงานสามารถสร้างเว็บที่มีความปลอดภัยสูงให้ผู้ใช้เชื่อใจและทำธุรกรรมทางการเงินได้ แต่กลับปล่อยให้หน้าเว็บข้อมูลให้ขึ้นเตือนว่าไม่ปลอดภัย ทิ้งใบรับรองแบบ EV ให้อยู่เพียงแค่หน้าธุรกรรมเท่านั้น
อย่างไรก็ตาม เมื่อเปรียบเทียบกับการสำรวจในปี 2016 ที่ผ่านมา จะพบว่าเว็บส่วนมากมีระดับการจัดกลุ่มที่ดีขึ้น จะมีเพียงบางเว็บที่ลืมต่ออายุใบรับรอง หรือย้ายโดเมนแล้วไม่ได้ขอใบรับรองใหม่เท่านั้นที่มีคะแนนต่ำลง หวังว่าการสำรวจครั้งนี้จะกระตุ้นให้คนทำเว็บหลายๆ คนหันมาสนใจเรื่องความปลอดภัยกันมากขึ้นครับ
Comments
น่าจะใส่เดือนผิดนะครับ
เบลอครับ แก้เรียบร้อย
กลุ่ม ecommerce เกือบทั้งหมด ที่รายงานเป็นกลุ่ม 1 มีปัญหาทั้งหมดเลยครับ
ถ้าดูจากเงื่อนไขของแต่ละกลุ่ม
ทั้งสองข้อนี้ เว็บ lazada, itruemart, wemall, tops, central, powerbuy ไม่มีเว็บไหนควรถูกจัดอยู่ในกลุ่ม 1,2 เลยนะครับ เพราะ "เข้าผ่าน https ได้", "browser ไม่ขึ้นเตือนว่า cert ไม่ปลอดภัย" แค่โดน redirect กลับ http แค่นั้นเอง
เข้าแล้วโดน redirect ออกนี่ผมไม่คิดว่ามันคือ "เข้าด้วย HTTPS" ได้นะ ถ้าอ่านแล้วมองว่าเข้าได้คงต้องปรับนิยามให้ชัด ก็น่าจะเสนอได้
lewcpe.com , @wasonliw
รวบตอบของคุณ icez และ lancaster ไว้ตรงนี้นะครับ
ผมกลับมองว่าถ้าจะตรวจสอบในมุมมองว่าครบ flow อันนี้ก็ควรจะต้องตรวจในส่วน cart + login + order ด้วยนะครับ อย่างน้อยในส่วนที่สำคัญนั้นก็เป็น https คงต้องหาทางเพิ่มคำอธิบายให้ชัดเจนกว่านี้
หรือไม่ก็อาจจะต้องระบุให้ชัดเลยว่า จะตรวจสอบแค่หน้าดูสินค้า เพราะไม่งั้นมันจะกลายเป็นการ mislead ว่าเว็บพวกนี้ถ้าสั่งสินค้าแล้วอาจจะโดนขโมยเลขบัตรเพราะไม่รองรับ https (พอดีมีคนเข้าแบบนี้จริงๆ ครับ ผมโดนเพื่อนถามมาหลายคน)
เว็บที่สลับไปมาระหว่าง http/https จนผู้ใช้ชินและไม่รู้ตัวว่าจะสลับตอนไหน
ถ้าลูกค้าโดนขโมยเลขบัตรเครดิตจริงๆ เพราะถูกดัก, ถูก inject javascript, ถูกแก้ฟอร์ม, ฯลฯ ลูกค้าจะรู้ตัว?
เพื่อนที่ถามมาหลายคน ถามว่ามีใครแน่ใจบ้างว่า ณ ตอนที่ใส่เลขบัตรเครดิตได้ดูว่าเป็น https? แม้แต่โดนเมนเว็บ ณ ตอนที่กรอกเลขถูก redirect ไปไหนผมก็ยังเชื่อว่าคนที่ถามไม่มีใครแน่ใจจริงๆ
เราคงไม่บอกผู้ใช้ว่าการดูแลความปลอดภัยตัวเองให้สังเกตเสมอว่าตอนที่กำลัง checkout แล้วให้สังเกตว่าเป็น
https://www.hi-value-e-commerce.com/cart/checkoutแล้วสังเกต ณ ตอนนั้นว่าเป็น https จริงๆlewcpe.com , @wasonliw
พวกเว็บ ecommerce ที่ในรายงานเขียนว่าอยู่ใน "กลุ่ม 1 ไม่รองรับ https" จริงๆ แล้วพอกด order หรือเข้าส่วน payment จะรองรับถูกต้องหมดเลยนะครับ เพียงแต่หน้าแรกกับหน้าดูสินค้าจะถุก redirect เข้า http เฉยๆ
ซึ่งถ้าเทียบกับเว็บที่อยู่ใน "กลุ่ม 3 รองรับบางส่วน" แต่พอเข้าไปแล้วเจอ css/js พังทั้งหน้า ผมว่ามันแปลกๆอยู่นะครับ
ถ้านับตามฟังก์ชั่นการทำงานหลักของเว็บ เว็บข่าวที่พ้งๆ ก็ยังอ่านเนื้อหาได้นะ (ถ้าอ่านไม่ได้ก็ควรหลุดกลุ่ม 3) แต่ ecommerce ถ้าไม่รับตั้งแต่หน้าสั่งสินค้า แสดงว่าผู้ใช้ไม่สามารถสั่งสินค้าโดยใช้ HTTPS ตลอดกระบวนการได้เลย
lewcpe.com , @wasonliw
ไม่เข้าใจ ทำไม Chrome ถึงไม่แสดง Certificate Chain เหมือนเวอร์ชั่นก่อนหน้า?
Chain น่าจะแสดงตามปรกติครับ แต่ว่ามันเข้าถึงยากขึ้น ซึ่งก็หงุดหงิดเหมือนกันว่าทำไมต้องท่าเยอะขนาดนั้น
วันหมดอายุด้วยครับ จะดูแต่ละทีนี่ลำบากชิบ T_T
เว็บหน่วยงานรัฐ อยากให้เพิ่ม 2 เว็บนี้ด้วยครับ
จะฮาหรือน้ำตาไหลดีเนี่ย
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
เพิ่มให้แล้วครับ
หน้าตรวจสอบพัสดุ EMS มี https แต่ self signed
https://track.thailandpost.co.th
เพิ่มเติมผลทดสอบด้วย https://www.ssllabs.com/ssltest หรือ https://www.htbridge.com/ssl/ ก็ดีนะ น่าจะทำให้เห็นการติดตั้ง https ข้างต้นนั้นมีจุดโหว่อะไรบ้างหรือเปล่า
ทดสอบกดไปเว็บนึงแล้ว คำนวณช้าเหมือนกันแฮะ แต่น่าสนใจดีครับ ไว้รอบหน้าจะลองดู
รายงานคงสำรวจว่าใช้งานได้หรือไม่ได้ไปก่อนครับ เอาที่ end-user เห็นๆ ก่อนเลย
ส่วนระดับความหนาแน่น โดยส่วนตัวถ้าไม่ใช่เว็บธนาคาร หรือเว็บธุรกรรมมูลค่าสูงๆ (หุ้น, ประกัน, e-commerce) ให้เวลาปรับตัวอีกสักพัก น่าจะพอไหว
lewcpe.com , @wasonliw
+1
ขอบคุณสำหรับบทความครับ
ในยุครัฐบาลทหาร น่าจะมีเทียบเว็บไซต์ ทั้ง 4 เหล่าทัพ ด้วยนะครับ
เมื่อวันก่อนได้คุยกับคนของ Tencent เขาว่าเร็ว ๆ นี้จะมีการปรับเปลี่ยนหน้าเวป sanook.com ครั้งใหญ่ อาจจะต้องมาดูกันอีกทีว่าเขาจะทำ https ด้วยหรือเปล่า