Clear
Lead Graphic Papers

วันนี้คุณใช้ HTTPS หรือยัง

ผู้เขียน: ศุภกร ฤกษ์ดิถีพร
วันที่เผยแพร่:
17 ก.พ. 2555
ปรับปรุงล่าสุดวันที่:
17 ก.พ. 2555

Share on Facebook Share on Twitter Share on Google+

คนจำนวนมากยังไม่ค่อยเข้าใจวิธีการรักษาความมั่นคงปลอดภัยบนเว็บไซต์ และมักจะมีคำถามอยู่เสมอว่า การที่พวกเขากรอกข้อมูลชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ หรือข้อมูลบัตรเครดิตสำหรับการทำธุรกรรมออนไลน์ต่างๆ นั้น จะแน่ใจได้อย่างไรว่าการส่งข้อมูลมีความมั่นคงปลอดภัย ข้อมูลที่ส่งถึงผู้รับมีความถูกต้องครบถ้วนสมบูรณ์และไม่มีบุคคลอื่นล่วงรู้ข้อมูลสำคัญเหล่านี้ เพื่อตอบข้อสงสัยดังกล่าว ผู้ใช้จึงต้องทำความเข้าใจเกี่ยวกับการรับ-ส่งข้อมูลบนอินเทอร์เน็ตในแบบ HTTP คือที่ใช้งานทั่วไป และแบบที่เพิ่มความมั่นคงปลอดภัยให้กับข้อมูลที่เรียกว่า HTTPS เสียก่อน

HTTP (Hypertext Transfer Protocol)

HTTP เป็นโพรโทคอลที่ใช้กับเว็บไซต์ ในการแลกเปลี่ยนข้อมูลระหว่างผู้ใช้งานและเครื่องให้บริการ ดังจะเห็นได้จากเวลาที่เราเข้าเว็บไซต์ด้วยโปรแกรมเว็บเบราว์เซอร์ เช่น Internet Explorer, Firefox หรือ Google Chrome เมื่อต้องการเรียกดูเว็บไซต์ เช่น Facebook ก็ต้องพิมพ์ http://www.facebook.com จะเห็นว่า ชื่อเว็บไซต์ที่เราพิมพ์ต้องขึ้นต้นด้วย “http” แล้วตามด้วยชื่อเว็บไซต์ ลักษณะการทำงานแบบนี้เป็นการส่งข้อมูลแบบข้อความธรรมดา (Cleartext) คือ ไม่มีการเข้ารหัสลับ ทำให้สามารถถูกผู้ไม่หวังดีขโมยข้อมูลได้ง่าย [1] ดังรูปที่ 1-3


รูปที่ 1 การส่งข้อมูลแบบ HTTP




รูปที่ 2 ตัวอย่างการกรอกข้อมูล Username และ Password ผ่าน HTTP


รูปที่ 3 ตัวอย่างการดักจับข้อมูล username และ password ผ่าน HTTP


เมื่อผู้ใช้งานส่งรหัสผ่านถึงเครื่องให้บริการเว็บไซต์ ข้อมูลจะถูกส่งเป็นข้อมูลธรรมดา (ไม่เข้ารหัสลับ) Hacker สามารถขโมยรหัสผ่านและนำไปใช้ได้ทันทีซึ่งอาจจะส่งผลให้แก่ผู้ใช้งานได้ เช่น หากผู้ใช้งานโดน Hacker ขโมยรหัสผ่านของร้านค้าออนไลน์แห่งหนึ่งที่มีข้อมูลบัตรเครดิต Hacker สามารถนำข้อมูลไปใช้ซื้อสินค้าได้อย่างง่ายดาย ผลที่ตามมาคือความสูญเสียของผู้ใช้งาน ซึ่งยังไม่รวมถึงปัญหาและความยุ่งยากในเรื่องของคดีความที่จะเกิดขึ้นตามมาอีกด้วย
หรือที่มีข่าวมากมายเกี่ยวกับหลายองค์กรที่ถูกขโมยข้อมูลพนักงานหรือลูกค้า เช่น ชื่อ เบอร์โทรศัพท์ อีเมล Hacker ก็อาจจะนำข้อมูลที่ได้ไปขายให้กับกลุ่มคนที่ขายของทางโทรศัพท์จำพวกบัตรเครดิต สินเชื่อ ประกัน เป็นต้น

จะเห็นได้ว่าการใช้งานอินเทอร์เน็ตที่ไม่มีความมั่นคงปลอดภัยนั้น มีความเสี่ยงที่จะส่งผลกับชีวิตของเราอย่างไร ดังนั้นหากผู้พัฒนาเทคโนโลยีที่มองเห็นถึงความสำคัญของข้อมูลก็จะสามารถสร้างความน่าเชื่อถือให้กับองค์กรได้โดยการหาวิธีปกป้องข้อมูลดังกล่าว โดยจะขอเสนออีกหนึ่งวิธีนั่นคือการเพิ่มการเข้ารหัสของข้อมูลที่เรียกว่า HTTPS

HTTPS (Hypertext Transfer Protocol Secure)

HTTPS เป็นโพรโทคอลที่ถูกพัฒนามาเพื่อแก้ปัญหาของ HTTP โดยมีการเพิ่มความมั่นคงปลอดภัยด้วยการเข้ารหัสลับข้อมูลระหว่างผู้ใช้งานและเครื่องให้บริการ หากมีผู้ไม่หวังดีดักรับข้อมูลก็จะไม่สามารถเข้าใจข้อมูลนั้นได้ ดังรูปที่ 4 [2] การเข้าใช้งานเว็บไซต์จะระบุการเชื่อมต่อแบบ https:// แทนที่จะเป็น http://


รูปที่ 4 การส่งข้อมูลแบบ HTTPS


เมื่อผู้ใช้งานส่งรหัสผ่านถึงเครื่องให้บริการเว็บไซต์ ข้อมูลจะถูกส่งเป็นข้อมูลเข้ารหัสลับ Hacker ไม่สามารถนำข้อมูลไปใช้ได้

การที่จะใช้งานโพรโทคอล HTTPS ได้นั้น เครื่องให้บริการเว็บไซต์จะต้องทำการติดตั้งใบรับรองความปลอดภัยทางอิเล็กทรอนิกส์ (Certificate) เสียก่อน ซึ่งใบรับรองความปลอดภัยทางอิเล็กทรอนิกส์สามารถทำขึ้นเองหรือซื้อจากผู้ให้บริการรับรองที่น่าเชื่อถือ (Trusted certificate authority) ก็ได้ เพียงแต่ใบรับรองที่ทำขึ้นเองนั้น ป้องกันเว็บเบราว์เซอร์จะแจ้งเตือนความผิดปกติเนื่องจากไม่มีผู้รับรองความน่าเชื่อถือ ดังจะเห็นจากรูปที่ 5-7

ทั้งนี้ใบรับรองจะเป็นตัวบ่งบอกความถูกต้องของข้อมูลที่เกี่ยวข้องกับเว็บไซต์นั้น เช่น การยืนยันความเป็นเจ้าของเว็บไซต์ ความสมบูรณ์ของการเข้ารหัสลับข้อมูล ช่วยเพิ่มความมั่นใจให้กับผู้ใช้งานขณะที่มีการรับ-ส่งข้อมูล

ตัวอย่างการแจ้งเตือนใบรับรองผิดปกติ

รูปที่ 5 แสดงตัวอย่างหน้าจอโปรแกรม Internet Explorer พบใบรับรองที่ผิดปกติ


รูปที่ 6 แสดงตัวอย่างหน้าจอโปรแกรม Firefox พบใบรับรองที่ผิดปกติ


รูปที่ 7 แสดงตัวอย่างหน้าจอโปรแกรม Google Chrome พบใบรับรองที่ผิดปกติ

วิธีสังเกตเว็บไซต์ที่เรากำลังใช้งานอยู่นั้นเป็น HTTP หรือ HTTPS หรือไม่?
สำหรับการสังเกตจากเครื่องคอมพิวเตอร์ทั่วไป ให้มองหาสัญลักษณ์รูปกุญแจ


รูปที่ 8 เปรียบเทียบ HTTP กับ HTTPS จากเว็บเบราว์เซอร์ Internet Explorer



รูปที่ 9 ภาพเปรียบเทียบ HTTP กับ HTTPS จากเว็บเบราว์เซอร์ Firefox


รูปที่ 10 ภาพเปรียบเทียบ HTTP กับ HTTPS จากเว็บเบราว์เซอร์ Google Chrome


นอกจากเครื่องคอมพิวเตอร์แล้วเราสามารถใช้ HTTPS กับโทรศัพท์เคลื่อนที่ได้อีกเช่นกัน โดยใช้วิธีสังเกตสัญลักษณ์รูปกุญแจเหมือนกับเครื่องคอมพิวเตอร์ทัวไป ดังรูปที่ 11-13


รูปที่ 11 เปรียบเทียบ HTTP กับ HTTPS จากเว็บเบราว์เซอร์บน iPhone


รูปที่ 12 เปรียบเทียบ HTTP กับ HTTPS จากเว็บเบราว์เซอร์บน BlackBerry


รูปที่ 13 เปรียบเทียบ HTTP กับ HTTPS จากเว็บเบราว์เซอร์บน Android

ผู้เขียนขอแนะนำให้เลือก “ใช้ HTTPS ทุกครั้ง” ที่เราจำเป็นต้องกรอกข้อมูลสำคัญ เช่น ชื่อ-นามสกุล ที่อยู่ วัน/เดือน/ปี เกิด หมายเลขโทรศัพท์ หมายเลขบัตรเครดิต เป็นต้น เพื่อป้องกันการขโมยข้อมูลจาก Hacker สำหรับการใช้งานบริการต่างๆบนระบบอินเทอร์เน็ต เช่น การทำธุรกรรมทางการเงินบนเว็บไซต์กับธนาคาร ร้านค้าออนไลน์ บริการด้านอีเมล์ Gmail Hotmail Yahoo บริการเครื่อข่ายสังคมออนไลน์ (Social Network) twitter facebook เป็นต้น

อ้างอิง

  1. http://simple.wikipedia.org/wiki/Cleartext
  2. http://en.wikipedia.org/wiki/HTTP_Secure
Clear