ฟีเจอร์ลับสำหรับข้าม SSL ของ Chrome ได้กลายเป็นหัวข้อร้อนในชุมชนนักพัฒนา ทำให้เกิดคำถามสำคัญเกี่ยวกับความปลอดภัยของเบราว์เซอร์และการควบคุมของผู้ใช้ ฟีเจอร์นี้ช่วยให้ผู้ใช้สามารถพิมพ์ thisisunsafe บนหน้าข้อผิดพลาด SSL เพื่อข้ามคำเตือนใบรับรองได้ แต่ความนิยมที่เพิ่มขึ้นได้จุดประกายการถกเถียงอย่างรุนแรงว่าความสะดวกสบายนี้มาพร้อมกับต้นทุนด้านความปลอดภัยที่สูงเกินไปหรือไม่
 |
|---|
| เว็บเพจนี้เตือนผู้ใช้เกี่ยวกับอันตรายของการใช้ฟีเจอร์การข้าม SSL ของ Chrome โดยเน้นย้ำความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับการข้ามคำเตือน SSL |
รหัสโกงลับที่ทุกคนรู้จัก
การข้ามนี้ทำงานโดยการพิมพ์ thisisunsafe โดยตรงบนหน้าข้อผิดพลาด SSL ของ Chrome โดยไม่ต้องใช้กล่องข้อความ ฟีเจอร์ลับนี้ได้พัฒนาไปอย่างมากตั้งแต่เริ่มใช้ในปี 2014 เมื่อเริ่มต้นเป็นเพียง danger Google ได้เปลี่ยนรหัสหลายครั้งเมื่อมันได้รับความนิยม และในที่สุดก็เข้ารหัสใน base64 เพื่อปกปิดจากการค้นพบโดยบังเอิญ อย่างไรก็ตาม การอภิปรายในชุมชนเผยให้เห็นว่าการปกปิดนี้ไม่ได้หยุดความรู้ที่แพร่หลายเกี่ยวกับการข้ามนี้
วิวัฒนาการของโค้ดเบี่ยงเบน SSL ใน Chrome
| ปี | โค้ด | เหตุผลในการเปลี่ยนแปลง |
|---|---|---|
| 2014 | "danger" | การใช้งานครั้งแรก |
| 2015 | "badidea" | ความกังวลเรื่องการใช้งานมากเกินไป |
| 2018 | "thisisnotsafe" | การรับรู้ที่เพิ่มขึ้นอย่างแพร่หลาย |
| 2018-ปัจจุบัน | "thisisunsafe" (เข้ารหัสแบบ base64) | ความพยายามในการปิดบัง |
ความเสี่ยงด้านความปลอดภัยเกินกว่าที่เห็นได้ชัด
ชุมชนนักพัฒนามีความกังวลเป็นพิเศษเกี่ยวกับอันตรายที่ซ่อนอยู่ของการใช้การข้ามนี้ ผู้ใช้หลายคนไม่ตระหนักว่าการโหลดเว็บไซต์อย่างไม่ปลอดภัยแม้เพียงครั้งเดียวก็สามารถมีผลกระทบด้านความปลอดภัยที่ยาวนาน แคชของเบราว์เซอร์และกลไกอื่น ๆ สามารถเก็บข้อมูลที่ไม่ปลอดภัยไว้ ซึ่งอาจส่งผลต่อเซสชันที่ปลอดภัยในอนาคต การอภิปรายเน้นย้ำว่าแม้แต่ผู้ใช้ที่มีความรู้ทางเทคนิคก็มักประเมินความเสี่ยงเหล่านี้ต่ำเกินไป
มีหลายวิธี (จากแคชไปจนถึงวิธีที่คลุมเครือมากกว่า) ที่การโหลดเว็บไซต์อย่างไม่ปลอดภัยครั้งเดียว แม้ว่าคุณจะไม่ได้เข้าสู่ระบบในขณะนั้น ก็สามารถส่งผลกระทบต่อคุณได้ในภายหลังเมื่อคุณคิดว่าคุณปลอดภัย
ปัญหาบริบท
ประเด็นสำคัญของการโต้เถียงในชุมชนมุ่งเน้นไปที่บริบท นักพัฒนาโต้แย้งว่าคำเตือน SSL มีความหมายสำหรับไซต์ธนาคาร แต่กลายเป็นปัญหาสำหรับโพสต์บล็อกเก่า ๆ หรือสภาพแวดล้อมการพัฒนา การอภิปรายเผยให้เห็นความหงุดหงิดกับเบราว์เซอร์ที่ปฏิบัติต่อข้อผิดพลาด SSL ทั้งหมดเท่าเทียมกัน โดยไม่คำนึงว่าผู้ใช้กำลังเข้าถึงข้อมูลทางการเงินที่ละเอียดอ่อนหรือกำลังอ่านบทช่วยสอนทางเทคนิคที่มีอายุสิบปี
สมาชิกชุมชนบางคนสนับสนุนการศึกษาผู้ใช้และการเลือกที่ดีขึ้น ในขณะที่คนอื่น ๆ สนับสนุนมาตรการความปลอดภัยที่เข้มงวดเพื่อปกป้องผู้ใช้ที่ไม่มีความรู้ทางเทคนิคซึ่งอาจไม่เข้าใจความเสี่ยงของการข้ามคำเตือน SSL
สงครามเบราว์เซอร์เรื่องความปลอดภัย
การถกเถียงขยายไปเกิน Chrome ไปสู่การเปรียบเทียบกับแนวทางของ Firefox Firefox ทำให้การข้าม SSL บางอย่างเป็นไปไม่ได้เมื่อไซต์ใช้ HSTS (HTTP Strict Transport Security) ทำให้เกิดการอภิปรายอย่างรุนแรงเกี่ยวกับเบราว์เซอร์ใดที่ให้บริการผู้ใช้ขั้นสูงเทียบกับผู้บริโภคทั่วไปได้ดีกว่า นักพัฒนาบางคนได้หันไปใช้มาตรการที่รุนแรง เช่น การแก้ไขไฟล์ Firefox ด้วย hex เพื่อปิดการใช้งานการรู้จำ HSTS
วิธีการอื่นในการข้าม SSL
- Chrome Flags:
chrome://flags/unsafely-treat-insecure-origin-as-secure - Command Line:
--unsafely-treat-insecure-origin-as-secure="http://example.com" - Bookmarklet:
javascript:(function(){if(window.certificateErrorPageController)window.certificateErrorPageController.proceed();})() - Firefox: Advanced → Accept Risk and Continue (สำหรับเว็บไซต์ที่ไม่ใช่ HSTS)
วิธีแก้ปัญหาและทางเลือก
ชุมชนได้พัฒนาโซลูชันต่าง ๆ สำหรับปัญหา SSL ที่ยืนยาว ตั้งแต่แฟล็กเบราว์เซอร์สำหรับสภาพแวดล้อมการพัฒนาไปจนถึง bookmarklet ที่จำลองฟังก์ชันการข้าม อย่างไรก็ตาม ความต้องการที่ยังคงมีอยู่สำหรับวิธีแก้ปัญหาดังกล่าวเน้นย้ำถึงความตึงเครียดระหว่างความปลอดภัยและการใช้งานในการท่องเว็บสมัยใหม่
การอภิปรายเผยให้เห็นว่าแม้ว่า Google จะให้ทางเลือกอย่างเป็นทางการสำหรับนักพัฒนา เช่น แฟล็กบรรทัดคำสั่งสำหรับการปฏิบัติต่อต้นทางเฉพาะให้ปลอดภัย แต่ผู้ใช้หลายคนยังคงพึ่งพารหัสข้ามลับเพื่อความเรียบง่ายและความพร้อมใช้งานทันที
อ้างอิง: CHROME'S SSL BYPASS CHEATCODE