

แนะนำวิธีการ Configuration HSTS Preload มาตรฐานการสื่อสารอินเทอร์เน็ตที่ควรรู้ ?
HTTP Strict Transport Security (HSTS) เป็นกลไกมาตรฐานการสื่อสารของ Internet Engineering Task Force (IETF) ตามเอกสาร RFC 6797 ในปี ค.ศ. 2012 ที่ถูกสร้างขึ้นเพื่อรักษาความมั่นคงเว็บไซต์ที่ทำงานผ่านเว็บเบราว์เซอร์ (Web Browser) โดยมีจุดประสงค์หลักคือป้องกันการถูกโจมตีด้วยวิธีแทรกกลางการสื่อสาร (Man In The Middle Attack) รูปแบบการทำงานโดยเซิร์ฟเวอร์ (Web Server) จะมีการตอบกลับ (Response) ในส่วนของ HTTP Header เมื่อเว็บเบราว์เซอร์ตรวจสอบพบ HTTP Header ชื่อ Strict-Transport-Security: max-age=31536000;includeSubDomains; preload เว็บเซิร์ฟเวอร์จะบังคับให้สื่อสารผ่านช่องทางการเข้ารหัส HTTPS เท่านั้น และเว็บเบราว์เซอร์จะปฏิเสธการเชื่อมต่อ HTTP ทั้งหมด ทำให้ HSTS มีประสิทธิภาพในการป้องกันการถูกโจมตีด้วยด้วยวิธีแทรกกลางการสื่อสาร เช่น SSL Stripping Attack ซึ่งเป็นเทคนิคที่นิยมในการโจมตี และปัจจุบันกลไก HSTS รองรับการทำงาน Browser หลักทุกตัวดังแสดงในภาพที่ 1

การทำงานในเว็บเซิร์ฟเวอร์ HTTP Strict Transport Security
โดยทั่วไปเมื่อไคลเอนท์ (Client) ป้อน URL ในเว็บเบราว์เซอร์ (Web Browser) ตัวอย่าง เช่น www.example.com ในกรณีเช่นนี้เว็บเบราว์เซอร์จะอนุมานว่าไคลเอนท์ (Client) ต้องการที่ จะสื่อสารผ่านโพรโทคอล HTTP ในขั้นตอนนี้เอง HSTS จะทำงานโดยบังคับให้เว็บเซิร์ฟเวอร์ทำการเปลี่ยนเส้นทาง (301 Redirect) ชี้ไปยังโพรโทคอล HTTPS ลักษณะการทำงานดังแสดงในภาพที่ 2

แนะนำการ Configuration HSTS Preload
HSTS Preload ได้รับการดูแลในโครงการ Chromium ที่ถูกพัฒนาโดย Google มีเป้าหมายเพื่อสร้างกลไกต่าง ๆ ให้มีความมั่นคงปลอดภัยและมีเสถียรภาพในการใช้งาน ผู้ดูแลระบบตั้งค่า HTTP Header ให้เป็น Strict-Transport-Security: max-age=31536000;includeSubDomains; preload และนำโดเมนเนม (Domain Name) เข้าตรวจสอบและลงทะเบียนใช้งานได้ที่เว็บไซต์ hstspreload.org ดังแสดงภาพที่ 3


การลงทะเบียน HSTS Preload ที่สามารถป้องกันการถูกโจมตีได้ ต้องรอให้ Google ในโครงการ Chromium นำข้อมูลโดเมนอัพโหลดเข้าฐานข้อมูลเพื่อบรรจุลงในเบราว์เซอร์ (Browser) จึงจะสามารถทำงานได้อย่างสมบูรณ์ โดยสามารถเข้าเช็คสถานะดังกล่าวได้ที่ hstspreload.org ดังแสดงภาพที่ 5

HSTS Preload ที่ได้รับการ Submission จะมีการฝั่งอยู่ที่เว็บเบราว์เซอร์สามารถเช็คข้อมูลได้ที่ Chromium HSTS Preload List: https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json


เรื่องน่าอ่าน
DSI ขยายผลคดีเว็บพนันออนไลน์ จับแอดมินเครือข่าย “แม่มนต์” หลังกลับไทยมาหาแฟนสาว
เมื่อ “ความรู้” ไม่ใช่แต้มต่ออีกต่อไป ปรากฏการณ์ Knowledge Inflation และโจทย์ใหม่ของการสร้างคนในศตวรรษที่ 21 /โดย ดร.Force
หวั่นไทยตกขบวนไม่ทันโลกเศรษฐกิจ แนะดูตัวอย่าง 3 ชาติ “มิสเตอร์เอทานอล-อลงกรณ์” ทักท้วงกระทรวงการคลัง ชี้เป้าหมายพลังงานหมุนเวียน 51% ปี 2580 ช้าเกินไป
กสม. ผนึกภาครัฐ-ภาคประชาสังคม-องค์กรระหว่างประเทศ เดินหน้าป้องกันการทรมาน ย้ำ “ป้องกันดีกว่าเยียวยา”
DSI ร่วมหลายหน่วยงานปฏิบัติการพิฆาตยาเสพติด ขยายผลล่าเครือข่าย “หนูเฉิน” สั่งซื้อสารตั้งต้นยาเสพติด
ไม่รอลงอาญา อดีตนายกเล็กย่านตาขาว โดนคุก 6 ปี 18 เดือน ข้อหาเอารถหลวงใช้ส่วนตัว เบิกค่าน้ำมันเกือบล้าน
DSI จับหญิงรับจ้างเปิดบัญชีม้าแอพเงินกู้นอกระบบดอกเบี้ยโหด ร้อยละ 2,000 ต่อปี
DSI ลงพื้นที่กลางดง ปากช่อง ตรวจของกลางวัตถุอันตรายปริมาณกว่า 300 ตัน เร่งสอบสวนเอาผิดตามกฎหมาย