Fanboi Channel

โม่งมิตรสหายท่านหนึ่ง 8th quotes

Last posted

Total of 195 posts

145 Nameless Fanboi Posted ID:KulUhro7Uj

อาจมีใครบางคนกำลังจงใจดักข้อมูลเราอยู่ในระดับประเทศ
.
มีคนกระซิบมาถามเรื่องกรณีเว็บ Human Right Watch ถูก Block เป็น URL ได้ทั้ง ๆ ที่เป็น https ตามข่าวนี้ https://www.blognone.com/node/106748
.
โดยรายละเอียดก็คือ
.
- https://www.hrw.org/asia เข้าได้
- https://www.hrw.org/asia/thailand เข้าไม่ได้
.
ปูพื้นสำหรับคนที่ไม่มีพื้นฐานด้านเทคนิค การเข้าเว็บผ่าน https ก็เหมือนก้บการส่งจดหมายจ่าหน้าซองถึงปลายทางโดยระบุเป็น "ที่อยู่" เท่านั้น ส่วนส่งถึงใคร เนื้อหาเป็นยังไง ระหว่างทางจะอ่านไม่รู้เรื่องเลย บุรุษไปรษณีย์ถึงจะแอบอ่านก็อ่านไม่ออก จะมีแค่คนที่อยู่ปลายทางเท่านั้นที่สามารถอ่านออก เป็นตัวอักษรวิเศษว่างั้น มีคนอ่านออกคนเดียวในโลก
.
ดังนั้นในกรณีที่เราเข้าเว็บ hrw.org ก็คือการระบุที่อยู่ ระหว่างทางก็จะเห็นแค่เราจะติดต่อไปที่ hrw.org เท่านั้นนะ *ไม่มีทางรู้ได้เลยว่าจะเข้า /asia หรือ /asia/thailand* เพราะนั่นไม่ได้อยู่บนหน้าซอง แต่เป็นเนื้อหาที่อยู่ในซอง
.
จึงเกิดเป็นประเด็นว่า แล้วทำไมเว็บ hrw.org ถึงถูก Block เป็น URL ได้ทั้ง ๆ ที่เป็น https ? เพราะระหว่างทางไม่มีใครควรรู้เลยว่าเราเรียกไปที่ /asia หรือ /asia/thailand มันก็ไม่ควรมีใคร Block ได้สิ
.
หลังจากไปนั่งเช็คอะไรนิดหน่อยก็พบว่าปรากฎว่าจดหมายมันไม่ได้ส่งไปถึง hrw.org โดยตรง แต่จะมีคอมพิวเตอร์เครื่องนึงในไทยที่ทำหน้าที่ Cache เนื้อหาเพื่อให้คนไทยเข้าถึงเว็บได้เร็วขึ้น หรือที่เราเรียกว่า CDN เป็นตัวที่รับจดหมายแทน
.
แทนที่ hrw.org จะเป็นคนที่สามารถอ่านจดหมายได้ กลับกลายเป็นว่าคอมพ์เครื่องนั้นเป็นคนที่สามารถอ่านได้แทน พออ่านเสร็จก็ค่อยส่งจดหมายที่ "ใครก็อ่านได้" (ไม่มีการเข้ารหัสใด ๆ) ไปหา hrw.org อีกทีนึง
.
(ทางเทคนิคคือ SSL เป็นของ CDN ชื่อ CDNetworks ซึ่งมี Edge Server อยู่ที่ไทยจุดนึง)
.
ซึ่งระหว่างทางจาก CDN ไปถึง hrw.org ก็มีการส่งจดหมายต่อกันไปเรื่อย ๆ ผ่านคอมพิวเตอร์หรือเร้าเตอร์อีกเป็นสิบเครื่อง และทุกเครื่องเหล่านั้นก็สามารถอ่านข้อมูลที่เราส่งไปทั้งหมด (ในที่นี้ก็คือรู้หมดว่าเราเรียกไปที่ /asia หรือ /asia/thailand)
.
ในแง่ Security ก็เป็น Concern ที่แอบใหญ่อยู่นิดนึงนะ กรณีนี้อาจจะแค่เป็นข้อมูลไร้สาระอย่างแค่ URL แต่ขอให้ลองคิดว่าถ้าเรา Login เข้าเว็บ เครื่องระหว่างทางพวกนั้นก็สามารถอ่าน Password เราได้หมดเลยนะ ทุกคนในสายงานนี้เลยผลักดันให้เว็บเป็น https ให้หมด ไม่งั้นอันตรายมาก (ก็น่าเศร้านิดนึงที่เว็บ hrw ไม่ยอมติดตั้ง https แบบจริงจัง แต่ไปใช้ของ CDN แทน)
.
หลังจากวิเคราะห์ออกมาแล้วก็ชัดเจนแล้วหละว่าคนที่ Block นั้นอยู่ระหว่าง CDN และ Server ของ hrw.org
.
กรณีที่ดีที่สุดคือ CDN เป็นคน Block เองเลย คือไม่ส่งต่อตั้งแต่ CDN เลย ที่บอกว่าดีเพราะงานนี้ข้อมูลไม่โดนดักระหว่างทาง แต่ Configuration ก็จะดูแปลก ๆ เพราะมันดูเฉพาะเจาะจงเกินไปว่า Block เฉพาะ Edge Server ของประเทศไทยเท่านั้น ยังไม่ได้ศึกษาลงลึก แต่ในใจเราคิดว่าตัวเลือกนี้ไม่น่าจะเป็นไปได้ เพราะคนจะทำได้ต้องมีสิทธิ์ในการ Block ตรงนี้ ซึ่งก็มีแค่ Human Right Watch กับ CDNetworks เท่านั้น ดูแล้วไม่น่าจะทำให้
.
ก็เลยไปตกอีกกรณีนึงคือ "ระหว่างทางจาก CDN ที่ตั้งในไทยออกไปยัง Server hrw.org มีคนดักข้อมูลอยู่" และก็ Block ที่จุดนั้น
.
ต้องอธิบายมั้ยว่าทำไมเลวร้าย ... สรุปสั้น ๆ ง่าย ๆ ... มีคนจงใจดักข้อมูลเราอยู่นะ หาก Server ปลายทางไม่สนับสนุน https ทุกอย่างที่วิ่งผ่าน CDN รายนี้ก็จะถูกดักทั้งหมด
.
แล้วที่น่ากังวลกว่าคือ "ใครเป็นคนทำ ?"
.
ซึ่งถ้าทำจริงก็เป็นการลงทุนที่ไม่น้อยนะ เพราะต้องดัก Traffic จำนวนมากแล้วทำให้เนตไม่ช้า อารมณ์คล้าย Single Gateway ที่เรา ๆ เคยถกกัน แต่นี่ยังไม่ถึงกับ Single เพราะเป็นแค่ Gateway นึงที่ต่อกับ CDN เจ้านี้อีกที (ความจริงมันไม่ได้ตรงไปตรงมา มีดีเทลอีกแต่ไม่ลงละกัน)
.
ถ้าเป็นกรณีนี้ความจริงมันแก้ไขได้ง่ายมาก แต่ฝั่ง Server ต้องสนับสนุน https แล้วทุกอย่างจะดีเอง ระหว่างทางก็ไม่มีใครดักได้ละ
.
ใครกังวลเรื่องเกม OMG ขโมยข้อมูลไปช่วงก่อนหน้านี้ บอกเลยว่าเรื่องนี้น่ากังวลกว่าเยอะ ...
.
จบ