ต่อไป »

[catz001]

ถ้าเว็บที่เราเข้าไม่มี https แล้วเราจะใช้วิธีไหนป้องกันข้อมูลของเราดีครับ
อย่างเว็บ thaiseoboard ก็ไม่มี https ถ้าเราโดนดักจับข้อมูลระหว่างทาง รหัส(รวมถึงข้อมูลที่โพสด้วย)ของเราโดนขโมยไปได้ง่ายๆ เลย เราจะป้องกันข้อมูลของเราเวลาเข้าเว็บที่ ไม่มี https ได้ยังไงครับ
เพื่อนๆ คนไหนรู้บ้างครับ

[max30012540]

ถ้าข้อมูล Login ก็เข้ารหัส MD5 ที่ฝั่ง Client แล้วส่งค่อยส่งให้ฝั่ง Servar ครับ

[catz001]

หมายถึงผู้ใช้ธรรมดาครับ ไม่ใช่เว็บมาสเตอร์ แล้วก็เข้าเว็บทั่วไปที่ไม่มี https ครับ เราจะป้องกันยังไงดีครับ

[catz001]

ผมลองหาข้อมูลด้วยตัวเองแล้วเจอโปรแกรม HTTPS everywhere แต่ไม่เข้าใจหลักการทำงานของมันว่าเป็นยังไง ยังงงอยู่ว่าถ้า client เข้ารหัสแต่ server เป็น http แล้วมันจะอ่านรหัสเข้าใจกันได้ยังไง
(ไปหาข้อมูลเพิ่มเติมมา) -  HTTPS everywhere ตัวนี้ไม่ได้ช่วยเข้ารหัสแต่ช่วย redirect จาก http เป็น https ให้อัตโนมัติ หากเว็บนั้นๆ support https

[BrainFreeze]

ขึ้นอยู่กับความสำคัญของข้อมูลครับ ก่อนป้อนข้อมูลอะไร ให้เว็บไซต์นั้นๆ ท่านควรพิจารณาก่อนครับว่าข้อมูลนั้นต้องเป็นความลับรึเปล่า ต้องไม่รั่วไหลหรือไม่
ยกตัวอย่างข้อมูลที่ โพสที่ thaiseoboard เมื่อโพสแล้ว ใครๆ ก็เข้ามาอ่านได้ จึงไม่จำเป็นต้องเข้ารหัสครับ ส่วนพวกรหัสผ่านถ้าท่านกังวลว่าจะถูกดักจับระหว่างทาง ท่านควรสร้างรหัสผ่านที่แตกต่างกับที่ใช้เว็บไซต์อื่นครับ thaiseoboard ให้บริการแบบไม่คิดเงินค่าสมัครสมาชิก โฆษณาก็ไม่มี ค่าใช้จ่ายต่างๆ เช่น ค่าเครื่อง Server ค่าวางเครื่อง ค่า Admin ไม่เคยเก็บจากสมาชิกครับ SSL Certificate เป็นภาระค่าใช้จ่ายที่เพิ่มขึ้นอีกครับ ผมเองในฐานะผู้ใช้เหมือนกัน เห็นว่าไม่ต้องมีก็ได้ครับ

ในทำนองเดียวกันข้อมูลรหัสบัตรเครดิต ข้อมูลด้านการเงิน ข้อมูลความลับทางการค้า ถ้าท่านกังวลเรื่องความปลอดภัยของข้อมูลว่าจะถูกดักอ่านก่อน ท่านควรเลือกป้อนข้อมูลกับเว็บไซต์ที่มี https ก่อนใช้งานครับ

 

[catz001]

ขึ้นอยู่กับความสำคัญของข้อมูลครับ ก่อนป้อนข้อมูลอะไร ให้เว็บไซต์นั้นๆ ท่านควรพิจารณาก่อนครับว่าข้อมูลนั้นต้องเป็นความลับรึเปล่า ต้องไม่รั่วไหลหรือไม่
ยกตัวอย่างข้อมูลที่ โพสที่ thaiseoboard เมื่อโพสแล้ว ใครๆ ก็เข้ามาอ่านได้ จึงไม่จำเป็นต้องเข้ารหัสครับ ส่วนพวกรหัสผ่านถ้าท่านกังวลว่าจะถูกดักจับระหว่างทาง ท่านควรสร้างรหัสผ่านที่แตกต่างกับที่ใช้เว็บไซต์อื่นครับ thaiseoboard ให้บริการแบบไม่คิดเงินค่าสมัครสมาชิก โฆษณาก็ไม่มี ค่าใช้จ่ายต่างๆ เช่น ค่าเครื่อง Server ค่าวางเครื่อง ค่า Admin ไม่เคยเก็บจากสมาชิกครับ SSL Certificate เป็นภาระค่าใช้จ่ายที่เพิ่มขึ้นอีกครับ ผมเองในฐานะผู้ใช้เหมือนกัน เห็นว่าไม่ต้องมีก็ได้ครับ

ในทำนองเดียวกันข้อมูลรหัสบัตรเครดิต ข้อมูลด้านการเงิน ข้อมูลความลับทางการค้า ถ้าท่านกังวลเรื่องความปลอดภัยของข้อมูลว่าจะถูกดักอ่านก่อน ท่านควรเลือกป้อนข้อมูลกับเว็บไซต์ที่มี https ก่อนใช้งานครับ

 

ตรงนี้เข้าใจครับ ส่วนเว็บไทยเสียวเป็นแค่ตัวอย่างครับไม่ได้อยากให้ใช้ https ครับ ผมต้องการแก้ที่ตัวผมเอง  ผมแค่ต้องการวิธีแก้ปัญหาที่ผมจะใช้ครับ ปัญหามันต้องมีวิธีแก้ แต่แก้ได้ไม่ได้มันอีกเรื่องหนึ่ง ต้องดูว่ามันมีเครื่องมือหรือวิธีการแก้เรื่องนั้นหรือยัง ถ้ามีก็ดีมากๆ ครับ

[NaiTan]

เข้าผ่าน VPN สิครับ

[catz001]

เข้าผ่าน VPN สิครับ

วิธีนี้ก็ดีนะครับ แต่เพิ่มค่าใช้จ่ายแต่ก็ตอบโจทย์ได้ระดับนึง แต่ถ้าดักจริงๆ ก็ยังดักได้อยู่

[kaorism]

Vpn ก็ไม่แก้ครับ.   เพราะข้อมูลระหว่างคุณ ไปยัง vpn ก็ถูกดักไดัอยู่ดี.

[catz001]

Vpn ก็ไม่แก้ครับ.   เพราะข้อมูลระหว่างคุณ ไปยัง vpn ก็ถูกดักไดัอยู่ดี.

ถ้าดักจากเครื่องเราไป vpn server ก็ได้ข้อมูลที่เข้ารหัสครับ แต่ออกจาก vpn ก็ยังดักได้ข้อมูล

[0ZAA]

มาเก็บความรู้ 

[killer777]

อยู่ที่ความสำคัญของข้อมูลครับ ถ้าเป็นข้อมูลจำพวก ซื้อขายออนไลน์ การส่งค่าไปตัดบัตร จึงมีความจำเป็นในการเข้ารหัสข้อมุลครับ

[catz001]

อยู่ที่ความสำคัญของข้อมูลครับ ถ้าเป็นข้อมูลจำพวก ซื้อขายออนไลน์ การส่งค่าไปตัดบัตร จึงมีความจำเป็นในการเข้ารหัสข้อมุลครับ

 ในความเป็นจริงมันก็ควรเป็นอย่างนั้นแหละครับ แต่โจทย์ของผมคือป้องกันทุกข้อมูล

[dekdoo]

ทำไมท่านไม่ลอง เข้ารหัสข้อมูลก่อนส่งไป server ล่ะครับ
ก่อน user จะกดปุ่มส่งข้อมูล ก็เอาเหตุการณ์ onclick มาเข้ารหัส textbox ก่อนสิครับแล้วค่อยส่งค่าไป
ส่วนวิธีการเข้ารหัสก็ไปสร้าง function javascript ที่ไม่เหมือนใครมาก่อน จะได้ถอดไม่ได้ง่าย ๆ ครับ

เมื่อข้อมูลมาถึง server ท่านก็ใช้ php decode ค่าที่ส่งมา แล้วค่อยตรวจสอบหรือ input ลง database ครับ
ผมทำแบบนี้อยู่ครับ
1 เข้ารหัสด้วย javascript ที่ฝั่ง user ก่อนส่งข้อมูล (ส่วนใหญ่ใช้ตอนเหตุการณ์ onclick) เมื่อคลิกแล้วให้ function ทำงานทันทีประมวลผลแล้วส่งข้อมูลไป server
2 ใช้ php รับค่าฝั่ง server ถอดรหัสค่านั้นครับ แล้วค่อนนำค่านั้นไปใช้

หมายเหตุ :
function การเข้ารหัสนั้นควรจะทำให้ไม่เหมือนใครทำมาก่อนครับ เช่น ดึงค่ามา เข้ารหัส base64encode แยกคำออกมา แทนที่ด้วยคำบางคำ แปลงตัวใหญ่เป็นตัวเล็ก (อะไรประมาณนี้)
เมื่อ server ได้รับข้อมูล ก็ใช้หลักการกลับกันครับ แปลงเล็กไปใหญ่ ตัดคำ รวมคำ base64decode (อะไรประมาณนี้)
หากมีการดักข้อมูลระหว่างทาง ผู้ร้ายก็ได้ข้อมูลที่ไม่ตรงกับความเป็นจริงครับ หรือเอาไปใช้งานไม่ได้ ถ้าผู้ร้ายอยากได้จริงก็ต้องลำบากแกะ code เราหน่อยล่ะงานนี้

หากอยากได้ pm มาครับ

[catz001]

ทำไมท่านไม่ลอง เข้ารหัสข้อมูลก่อนส่งไป server ล่ะครับ
ก่อน user จะกดปุ่มส่งข้อมูล ก็เอาเหตุการณ์ onclick มาเข้ารหัส textbox ก่อนสิครับแล้วค่อยส่งค่าไป
ส่วนวิธีการเข้ารหัสก็ไปสร้าง function javascript ที่ไม่เหมือนใครมาก่อน จะได้ถอดไม่ได้ง่าย ๆ ครับ

เมื่อข้อมูลมาถึง server ท่านก็ใช้ php decode ค่าที่ส่งมา แล้วค่อยตรวจสอบหรือ input ลง database ครับ
ผมทำแบบนี้อยู่ครับ
1 เข้ารหัสด้วย javascript ที่ฝั่ง user ก่อนส่งข้อมูล (ส่วนใหญ่ใช้ตอนเหตุการณ์ onclick) เมื่อคลิกแล้วให้ function ทำงานทันทีประมวลผลแล้วส่งข้อมูลไป server
2 ใช้ php รับค่าฝั่ง server ถอดรหัสค่านั้นครับ แล้วค่อนนำค่านั้นไปใช้

หมายเหตุ :
function การเข้ารหัสนั้นควรจะทำให้ไม่เหมือนใครทำมาก่อนครับ เช่น ดึงค่ามา เข้ารหัส base64encode แยกคำออกมา แทนที่ด้วยคำบางคำ แปลงตัวใหญ่เป็นตัวเล็ก (อะไรประมาณนี้)
เมื่อ server ได้รับข้อมูล ก็ใช้หลักการกลับกันครับ แปลงเล็กไปใหญ่ ตัดคำ รวมคำ base64decode (อะไรประมาณนี้)
หากมีการดักข้อมูลระหว่างทาง ผู้ร้ายก็ได้ข้อมูลที่ไม่ตรงกับความเป็นจริงครับ หรือเอาไปใช้งานไม่ได้ ถ้าผู้ร้ายอยากได้จริงก็ต้องลำบากแกะ code เราหน่อยล่ะงานนี้

หากอยากได้ pm มาครับ

หมายถึงผู้ใช้งานคอมพิวเตอร์ทั่วไปฝั่ง client ที่เข้าเว็บทั่วไปครับ ไม่ใช่เจาะจงเว็บหรือเป็นเจ้าของเว็บ
ส่วนที่แนะนำมาก็ขอบคุณนะครับเว็บผมล็อกอินก็ทำประมาณนั้นแต่ใช้ Blowfish ไม่ได้ใช้  base64 ครับแกะง่ายเกิน

[dekdoo]

คำถามคุณคือ : ถ้าเว็บที่เราเข้าไม่มี https แล้วเราจะใช้วิธีไหนป้องกันข้อมูลของเราดีครับ

ok ผมเข้าใจคุณ (ทั่วไปส่วนใหญ่เขาไม่ค่อยป้องกันครับ ถ้าเราเป็นผู้ใช้ก็ยากอยู่)
ถูกครับ base64 มันแกะง่ายถ้าใช้คำสั่งถอดตรง ๆ แต่เราเอาไปใช้เป็นส่วนผสมการเข้ารหัสครับ (ถามนิดหนึงคุณเคยเขียนโปรแกรมหรือเปล่า)
หากเรามัวแต่เข้ารหัสแบบตามคนอื่น มันก็จะถูกแกะเอาง่าย ๆ จากคนอื่นแหละครับ
ที่ผมพูดก่อนนี้ก็หมายถึง user นั้นแหละครับ (client ที่เข้าเว็บทั่วไป) คนใช้ไม่ได้รู้หรอกครับเวลาใช้งาน ถ้าจะให้ปลอดภัยคนทำเว็บนั่นแหละเป็นคนทำระบบให้รองรับการใช้งานผู้ใช้

HTTPS everywhere จะมีหลักการเข้ารหัสแบบวิ่งไปหา center ก่อนครับ แล้วไอ้ center นั่นค่อยส่งต่อไปหา server ปลายทาง อีกที เมื่อได้ข้อมูลจาก server มาแล้วเจ้า center ก็จะส่งกลับมาหาผู้ใช้งานที่เป็นต้นทางอีกทีครับ
ข้อมูลของผู้ใช้งาน center จะรู้หมดครับ (อยู่ที่เขาจะเปิดเผยรึไม่) ซึ่งมันก็ไม่ปลอดภัยอยู่ดี

[0ZAA]

ดีครับ

[catz001]

คำถามคุณคือ : ถ้าเว็บที่เราเข้าไม่มี https แล้วเราจะใช้วิธีไหนป้องกันข้อมูลของเราดีครับ

ok ผมเข้าใจคุณ (ทั่วไปส่วนใหญ่เขาไม่ค่อยป้องกันครับ ถ้าเราเป็นผู้ใช้ก็ยากอยู่)
ถูกครับ base64 มันแกะง่ายถ้าใช้คำสั่งถอดตรง ๆ แต่เราเอาไปใช้เป็นส่วนผสมการเข้ารหัสครับ (ถามนิดหนึงคุณเคยเขียนโปรแกรมหรือเปล่า)
หากเรามัวแต่เข้ารหัสแบบตามคนอื่น มันก็จะถูกแกะเอาง่าย ๆ จากคนอื่นแหละครับ
ที่ผมพูดก่อนนี้ก็หมายถึง user นั้นแหละครับ (client ที่เข้าเว็บทั่วไป) คนใช้ไม่ได้รู้หรอกครับเวลาใช้งาน ถ้าจะให้ปลอดภัยคนทำเว็บนั่นแหละเป็นคนทำระบบให้รองรับการใช้งานผู้ใช้

HTTPS everywhere จะมีหลักการเข้ารหัสแบบวิ่งไปหา center ก่อนครับ แล้วไอ้ center นั่นค่อยส่งต่อไปหา server ปลายทาง อีกที เมื่อได้ข้อมูลจาก server มาแล้วเจ้า center ก็จะส่งกลับมาหาผู้ใช้งานที่เป็นต้นทางอีกทีครับ
ข้อมูลของผู้ใช้งาน center จะรู้หมดครับ (อยู่ที่เขาจะเปิดเผยรึไม่) ซึ่งมันก็ไม่ปลอดภัยอยู่ดี

center นี่คืออะไรหรือครับ cli -->center -->server protocal http 80 มันถอดรหัสจาก center ที่ว่าได้ด้วยหรือครับ
ปล base64 มันง่ายจริงๆ นะครับ มันเข้ารหัสออกมาได้รูปแบบเดียว จะผสมยังไงมันก็ง่าย

[BrainFreeze]

สมมุติว่า นาย A ต้องการรับ-ส่งข้อมูลที่เป็นความลับ กับนาย D แต่ข้อมูลนี้ต้องผ่าน มือ นาย  B และ นาย C ก่อนถึงมือ นาย D
คุณ catz001 คิดว่ามีวิธีการไหนบ้างครับ

วิธีนึงที่นิยมมากคือกระบวนการการเข้ารหัสซึ่งเป็นขั้นตอนที่ทั้งสองฝ่าย มี “ความลับ” ร่วมกันอยู่ก่อน เมื่อส่งข้อมูลจริงแล้วจึงใช้ความลับนั้นถอดรหัสผ่านออกมาได้จึงได้ข้อความที่อ่านออกมาได้
หลักการนี้คือการเข้ารหัสข้อมูลที่ใช้กันมาตั้งแต่สงครามโลกเลยครับ และก็คือเรื่องเดียวกันกับ https ที่เราคุยกันอยู่ที่ทั้ง client และ server ต้องมี ssl certificate (ความลับ) ที่ใช้ร่วมกัน แต่ในโลกความเป็นจริงเราไม่สามารถบังคับให้ server ทุกตัว เว็บไซต์ทุกเว็บใช้ ssl เป็นมาตรฐานได้เนื่องจากต้องมีค่าใช้จ่ายเพิ่มขึ้น

ถ้าคุณ catz001 ต้องการให้ข้อมูลที่ส่งเป้นความลับ อย่างนั้นคุณ catz001 ต้องตกลงสร้างความลับที่ใช้ร่วมกันกับผู้รับครับ ถ้าทำไม่ได้ที่ตัวกลาง เราก็สามารถทำที่ต้นทางและปลายทางได้
ซึ่งเป็นการตอบคำถามข้างบน 1 วิธีคือ นาย A กับ นาย D ตั้งความลับที่ใช้ร่วมกันเพื่อถอดรหัสข้อความ จากนั้นจะส่งผ่านตัวกลางกี่ตัวก็ได้



http://www.top5freeware.com/fi...ncryption-software-for-windows

ผมคิดว่าอนาคต https จะเป็นมาตรฐาน แต่คงยังไม่ใช่ตอนนี้ครับ

[catz001]

สมมุติว่า นาย A ต้องการรับ-ส่งข้อมูลที่เป็นความลับ กับนาย D แต่ข้อมูลนี้ต้องผ่าน มือ นาย  B และ นาย C ก่อนถึงมือ นาย D
คุณ catz001 คิดว่ามีวิธีการไหนบ้างครับ

วิธีนึงที่นิยมมากคือกระบวนการการเข้ารหัสซึ่งเป็นขั้นตอนที่ทั้งสองฝ่าย มี “ความลับ” ร่วมกันอยู่ก่อน เมื่อส่งข้อมูลจริงแล้วจึงใช้ความลับนั้นถอดรหัสผ่านออกมาได้จึงได้ข้อความที่อ่านออกมาได้
หลักการนี้คือการเข้ารหัสข้อมูลที่ใช้กันมาตั้งแต่สงครามโลกเลยครับ และก็คือเรื่องเดียวกันกับ https ที่เราคุยกันอยู่ที่ทั้ง client และ server ต้องมี ssl certificate (ความลับ) ที่ใช้ร่วมกัน แต่ในโลกความเป็นจริงเราไม่สามารถบังคับให้ server ทุกตัว เว็บไซต์ทุกเว็บใช้ ssl เป็นมาตรฐานได้เนื่องจากต้องมีค่าใช้จ่ายเพิ่มขึ้น

ถ้าคุณ catz001 ต้องการให้ข้อมูลที่ส่งเป้นความลับ อย่างนั้นคุณ catz001 ต้องตกลงสร้างความลับที่ใช้ร่วมกันกับผู้รับครับ ถ้าทำไม่ได้ที่ตัวกลาง เราก็สามารถทำที่ต้นทางและปลายทางได้
ซึ่งเป็นการตอบคำถามข้างบน 1 วิธีคือ นาย A กับ นาย D ตั้งความลับที่ใช้ร่วมกันเพื่อถอดรหัสข้อความ จากนั้นจะส่งผ่านตัวกลางกี่ตัวก็ได้



http://www.top5freeware.com/fi...ncryption-software-for-windows

ผมคิดว่าอนาคต https จะเป็นมาตรฐาน แต่คงยังไม่ใช่ตอนนี้ครับ

ที่จริงคำตอบที่ดีที่สุดสำหรับผมตอนนี้คือใช้ vpn ครับที่พอจะปลอดภัยระดับนึง แต่ถ้าเอาจริงๆ ก็โดน NSA ดักจับได้ (เวอร์ไปไหม ฮาๆ) ผลจากโดน NSA ดัก google ปัจจุบันก็ใช้ https ช่วยรักษาข้อมูลให้ผู้ใช้งานครับ ส่วน https มันก็หลักการอย่างนั้นแหละครับ เข้ารหัสไปแล้วอีกฝั่งสามารถถอดได้ เหมือนคนพูดภาษาเดียวกันรู้เรื่องนั้นละครับ ถ้าส่ง ภาษาอังกฤษไป แต่ server เข้าใจแต่ภาษาฮิบบรู มันคงคุยกันไม่รู้เรื่อง ที่จริงมันก็ควรเป็นมาตรฐานนะครับ https อนาคตผมก็คิดว่ามันเป็นแน่ๆอยู่แล้ว