ฟีเจอร์ใหม่อย่างหนึ่งที่ถูกเพิ่มเข้ามาใน Firefox 52 นั่นคือเมื่อเบราเซอร์พบว่าผู้ใช้กำลังจะล็อกอินผ่าน HTTP ธรรมดา (ไม่ใช่ HTTPS) ตัวเบราเซอร์จะขึ้นแจ้งเตือนที่ฟอร์มล็อกอินนั้นๆ ว่าไม่ปลอดภัยที่จะล็อกอิน
แล้วมันก็มีเรื่องขึ้นมาว่าผู้ดูแลเว็บไซต์ OilAndGasInternational.com ได้มาโวยใน Bugzilla (ระบบแจ้งบั๊กของ Firefox — ปัจจุบันลิงค์ดังกล่าวถูกปิดกั้นการเข้าถึงโดยสาธารณะแล้ว) ถึงฟีเจอร์ดังกล่าว โดยระบุว่าการขึ้นเตือนนั้นเป็นการแจ้งเตือนโดยไม่ได้รับความยินยอมจากทางเว็บไซต์ และส่งผลให้ผู้ใช้สูญเสียความมั่นใจในตัวเว็บ พร้อมเรียกร้องให้ Firefox หยุดแสดงการแจ้งเตือนนั้นโดยทันที นอกจากนี้ตัวเขายังระบุด้วยว่าเว็บไซต์นั้นมีมาตรการรักษาความปลอดภัยที่ดีอยู่แล้ว และไม่เคยถูกเจาะได้เลยเป็นเวลากว่า 15 ปี
และแน่นอนว่าเรื่องมันไม่จบแค่นั้นครับ เพราะว่าทันทีที่เรื่องนี้เผยแพร่สู่สาธารณะชน ผู้ใช้ในเว็บไซต์ Reddit ก็เกิดอยากลองดีว่าเว็บไซต์ดังกล่าวมันจะมีมาตรการรักษาความปลอดภัยหนาแน่นแค่ไหนเชียว และลองแฮ็กเว็บด้วยเทคนิคพื้นฐานอย่าง SQL Injection
ผลปรากฎว่าผู้ใช้ส่วนหนึ่งที่แฮ็กเข้าไปได้ รายงานว่าเว็บไซต์ใช้วิธีเก็บรหัสผ่านผู้ใช้เป็นแบบ Plain Text ที่ไม่มีการเข้ารหัสใดๆ และในเวลาต่อมาก็พบว่าฐานข้อมูลผู้ใช้ถูกลบออกไปจากเว็บไซต์เป็นที่เรียบร้อย
อ้างอิง – Ars Technica
ความเห็นของเรา
เรื่องนี้เรายังไม่จำเป็นต้องพูดถึงมาตรฐานรักษาความปลอดภัยของตัวเว็บดังกล่าว (ที่เห็นได้ชัดว่าอ่อนแอมากๆ) หากแต่พูดถึงการเข้ารหัส HTTPS ครับ
โดยปกติการส่งข้อมูลผ่าน HTTP ธรรมดา (รวมถึงโปรโตคอลที่ไม่เข้ารหัสเช่น FTP ด้วย) นั้นจะไม่มีการเข้ารหัสใดๆ ถ้าหากเราล็อกอินเว็บใดเว็บหนึ่งแล้วมีคนดักจับข้อมูลเราอยู่ โดยเฉพาะตาม WiFi สาธารณะ เขาก็จะอ่านข้อมูลล็อกอินของเราได้ทันที (ลองอ่านเรื่องการดักข้อมูลได้ที่นี่)
