ความคิดเห็นที่ 1 เขาอาจจะบล๊อก IP ก็ได้มั้งครับว่า ถ้า IP ไหน สุ่ม Log-in แบบรัวๆ ระบบอาจจะป้องกันครีบ เท่าที่เห็นๆมา ก็ยังไม่เห็นมีใครเจอะระบบของ Khonthai.com เลยหละครับ ถ้ามันง่ายจริงๆ คงโดนเจาะไปหลายครั้งแล้วหละครับ หรือคุณลองเจาะดูก็ได้ครับ เขาจะได้รู้ช่องว่าง จากคุณ : B - [ 2 ม.ค. 48 23:36:11 A:61.90.122.159 X: TicketID:002840 ]

ความคิดเห็นที่ 2 มันไม่ค่อยปลอดภัยหรอกครับ แม้แต่ของกระทรวงก็ยังเข้าไปง่าย จากคุณ : Practical^2 (ไม่มีสมาชิกชื่อนี้) - [ 3 ม.ค. 48 00:03:49 ]

ความคิดเห็นที่ 3 เข้าใจว่าตอนนี้การขอ PINCODE ได้เปลี่ยนวิธีการในการยื่นคำขอไปแล้วนะคะ คือ ต้องยืนยัน ตัวที่สำนักทะเบียนก่อนค่ะ ซึ่ง น่าจะมี ซีเคียวริตี้ มากขึ้น ต่างกับ เมื่อก่อนที่ สามารถ register ผ่านเวปได้ ซึ่ง ตอนนั้น ถ้าทราบ ข้อมูลบัตรประชาชน คร่าวๆ ของคนอื่น จะสามารถขอ PINCODE ได้ (เคยทดลองแล้ว) หวังว่า ข้อมูล จะได้รับการดูแลที่ดี ด้วยค่ะ แต่ตอนนี้ก็ยังไม่ไว้ใจเหมือนกันค่ะ ถ้าในอนาคต PINCODE จะสามารถนำไปใช้ในส่วนของด้านการเงิน หรือด้านอื่นๆ อาจจะ... มีปัญหาตามมาได้เยอะ มากๆ แน่ๆ ค่ะ แก้ไขเมื่อ 03 ม.ค. 48 00:20:49 จากคุณ : Jekyll - [ 3 ม.ค. 48 00:18:30 ]

ความคิดเห็นที่ 4 คุณ ZyberDog ขอบคุณคะที่ช่วยยืนยันความเข้าใจ ที่จริงก็ระแวงอยู่แล้ว เลยไม่ยอม register กับ khonthai.com สักที ตอนที่เขาให้ register ทางเนตนี่คิดหนักว่าจะมีใครช่วย register แทนไหมนี่ แต่ตอนนี้สบายใจขึ้นนิดนึง ขอถามผู้รู้ต่อนิดนึง ถ้าปล่อยไว้เฉยๆนี่ จะมีปัญหาอะไรตามมาไหมคะ ตอนนี้เห็นอยู่ข้อเดียว สมัตรเป็นสมาชิกที่พันทิปไม่ได้ ก็เลยต้องใช้บัตรผ่านอย่างเดียว จากคุณ : :) - [ 3 ม.ค. 48 02:35:17 A:24.226.44.151 X: TicketID:080273 ]

ความคิดเห็นที่ 5 ขอบคุณคุณ ZyberDog สำหรับข้อมูลครับ จากคุณ : DigiTaL-KRASH!!! - [ 3 ม.ค. 48 04:00:33 ]

ความคิดเห็นที่ 6 ถูกต้องครับ รหัสความยาวแค่ 4 หลัก มันแทบจะกันอะไรไม่ได้เลย ซึ่งเข้าใจว่า ผู้ติดตั้งระบบดันไปเลียนแบบรหัส ATM ซึ่งมีแค่ 4 หลักเช่นกัน แต่เขาลืมคิดไปว่า รหัส ATM ที่มีแค่ 4 หลัก แต่ต้องใช้ควบคู่กับบัตร ATM ซึ่งเป็นสมบัติเฉพาะตัว อีกทั้ง ผู้ที่แอบเอาบัตรไปใช้ มีเวลากดเลขรหัสไม่กี่วินาที และกดลองผิดลองถูกได้ไม่เกิน 3 ครั้ง ซึ่ง สำหรับรหัส 4 ตัวนั้น นับว่าเพียงพอ มีโอกาสน้อยมากที่ใครที่เก็บบัตรได้ จะลองสุ่มรหัสได้ถูกต้องในการลองแค่ 3 ครั้ง แต่กับอีเมล์คนไทยดอทคอมนั้น เลขประจำตัวประชาชน หาได้ไม่ยากนัก (ซึ่งไม่เหมือนกับบัตร ATM ที่คงไปหามาได้ยากกว่า) อีกทั้ง การกดรหัส ก็ทำได้ไม่จำกัดครั้ง (ซึ่งไม่เหมือนกับบัตร ATM ที่คุณมีโอกาสลองผิดลองถูกได้แค่ 3 ครั้ง) ปล. คุณ Jekyll ครับ เขาพูดเรื่องการแฮกระบบนะครับ คงไม่มีนักแฮกเกอร์ที่ไหน เดินไปขอรหัสที่สำนักทะเบียน จากคุณ : ช่างไฟ - [ 3 ม.ค. 48 07:44:48 ]

ความคิดเห็นที่ 7 ความน่าจะเป็น 10*10*10*10 หมื่นเดียว ง่ายจะตาย สาดโถมล๊อกอินได้สบายมากๆ จากคุณ : โลหการ4 - [ 3 ม.ค. 48 07:53:08 ]

ความคิดเห็นที่ 8 เท่าที่เล่นเนทมา ผมพึ่งจะเจอที่ๆ บังคับให้ password มีความยาวคงตัวนะเนี่ย ผมว่าอย่างน้อยให้ความยาวมันขึ้นกับคนใช้แต่ละคนน่าจะดีกว่านะ จากคุณ : heng005 - [ 3 ม.ค. 48 08:30:15 ]

ความคิดเห็นที่ 9 เลข 0 - 9999 มันก็ หมื่นตัวเลขนิครับ ..... แล้วเอา 10*10*10*10 มาจากไหนอะ ขอวิธีคิดหน่อย จากคุณ : PNOUGHT - [ 3 ม.ค. 48 10:25:15 ]

ความคิดเห็นที่ 10 เลขมีสี่หลัก แต่ละหลักมีโอกาสจะเป็นตัวเลขได้ 10 เลข 10x10x10x10 =10,000 จากคุณ : ESD - [ 3 ม.ค. 48 12:11:00 ]

ความคิดเห็นที่ 11 มันมีอะไรน่าสนใจให้ Hack เหรอครับ ปกติผมก็ไม่เคยไปเข้าเว็บนี้เลยด้วยซ้ำ จากคุณ : อั๋น ทรงวุฒิ - [ 3 ม.ค. 48 13:29:04 ]

ความคิดเห็นที่ 12 0000-9999 ก็มี 1 หมื่นชุดพอดีครับ . . จากคุณ : อีคิวศูนย์ - [ 3 ม.ค. 48 13:50:04 ]

ความคิดเห็นที่ 13 #11 นั่นสิ เห็นพูดบ่อย ๆ ถ้าเป็นเวปธนาคาร(เอทีเอ็ม)ก็ว่าไปอย่าง แต่นี้แค่ พินโค้ด เลขที่บัตร เลขบ้าน ไม่เห็นจะสำคัญอะไรนี่ . . จากคุณ : อีคิวศูนย์ - [ 3 ม.ค. 48 13:54:22 ]

ความคิดเห็นที่ 14 ตอนนี้ก็แค่เอาไว้เข้าดูเมล์ แต่ต่อไปมันอาจจะเอาไว้ทำอย่างอื่นที่สำคัญๆก็ได้ ถ้าคิดว่าไม่สำคัญ ก็ขอ PIN ของคุณให้ผมก็แล้วกัน เดี๋ยวผมจะแสดงให้ดูว่ามันสำคัญอย่างไร จากคุณ : ช่างไฟ - [ 3 ม.ค. 48 14:33:44 ]

ความคิดเห็นที่ 15 การเข้าระหัส อย่าเข้าใจว่า เลบ 4 ตัวที่เราได้คือระหัสที่แท้จริง ถ้ามี 4 ตัว ได้แค่ 100,000 คนเท่านั้นขอยกตัวอย่างการเข้าระหัสใน smartcard ระบบ irdeto อย่างที่ dtstv เขาใช้กัน เช่น เลข1 เมือเขาแปลงเป็นเลขฐาน 2 เอาแบบ 8 bit จะได้ 00000001ใน 1 byte ประกอบไปด้วย 8 bit จะเห็นว่าเลข 1 ที่เรากดไปพอเข้าระหัสไม่ใช้เลข 1 ฌดยการสลับ bit เอาเป็นว่าสลับขวาไปซ้ายจะได้เป็น 10000000 คือหมุนเลขซ้ายสุดไปทางขวาสุด เมื่อแปลงเป็นฐานสิบ มันต่างกับเลข 1 ทันที ยกตัวอย่างให้เห็นว่าการสลับอาจสลับต่างที่ ต่างกลุ่มกันแล้วแต่กลุ่มที่จัดให้ เลข1เพียงตัวเดียวเราสลับได้เป็นฐาน dec หรือ hex ได้มากมาย ไม่มีใครทราบได้ว่าสลับซ้ายขวา ตำแหน่งใหน ยิ่งลึกไปกว่านั้น มีการบวก bit ก่อนสลับ จากคุณ : ชายสี่ (ชายสี่) - [ 3 ม.ค. 48 14:57:37 ]

ความคิดเห็นที่ 16 #15 เลขสี่หลักใช้กี่คนก็ได้ เพราะเขาไม่ได้บอกนี่ว่าใครจะตั้งซ้ำกันไม่ได้ ส่วนข้างในเขาจะเอาไปสลับตำแหน่งอะไรก็แล้วแต่ แต่ถ้ารู้แค่ 4 ตัวนั้นเป็นอัน login ได้ จากคุณ : iDigital - [ 3 ม.ค. 48 16:03:48 ]

ความคิดเห็นที่ 17 คคห 15 หลงทางแล้ว จากคุณ : นอแรด - [ 3 ม.ค. 48 16:16:18 ]

ความคิดเห็นที่ 18 เห็นด้วยกับคุณช่างไฟ #14 ครับ ข้อมูลพวกนี้อาจดูไม่มีความสำคัญอะไร แต่ถ้าดูระบบความปลอดภัยและการยืนยันความถูกต้องของข้อมูลในบริการต่าง ๆ แล้ว ข้อมูลพวกนี้เอาไปหาเงินได้หลายแบบครับ #15 การเจาะระบบที่พูดถึงในกระทู้นี้ไม่ได้เกี่ยวข้องกับการเข้ารหัสเลยครับ เป็นการเดาสุ่ม ที่มีโอกาสถูกมากกว่าซื้อลอตเตอรี่ให้ได้รางวัลที่ 1 เสียอีก จากคุณ : ZoRtA - [ 3 ม.ค. 48 17:43:02 ]

ความคิดเห็นที่ 19 ผมเห็นด้วยกับเจ้าของกระทู้ว่า กระทรวงมหาดไทยควรมีการปรับปรุงอย่างมาก เพราะเว็บคนไทย ก็เป็นหน้าตาของประเทศไทย แต่มันแย่ขนาดที่ไม่มีใครใช้ ที่ไม่มีใคร Hack เพราะไม่รู้จะ Hack ไปทำไม แล้วก็เห็นเป็นแบบนี้ตั้งนานแล้ว กระทรวงน่าจะปรับปรุงอย่างเร่งด่วน หากไม่มีความสามารถติดต่อห้องหว้ากอก็ได้ มีคนที่มีความสามารถอยู่ตั้งเยอะ เบื่อจริง ๆ เลยประเทศไทย จากคุณ : ผู้เฒ่าสายลม - [ 3 ม.ค. 48 18:14:40 ]

ความคิดเห็นที่ 20 #13 อ่านหนังสือพิมพ์ ดูข่าวมั่งรึเปล่าครับ ต่อไป PIN จะใช้อะไรได้บ้าง เค้าเริ่มทำ smart card กันแล้วนะครับ ติดตามข่าวสารบ้างครับ จะได้ไม่ตกยุค และโดนหลอกง่าย ๆ เรื่องการ hack อันนี้ผมไม่ทราบ เค้าอาจจะไม่ hack กันตอนนี้ เพราะยังไม่มีการใช้ smartcard เต็มรูปแบบ hack ไปก็เสียเวลาเอาไปทำอะไรไม่ได้ แต่ถ้าใช้กันเมื่อไหร่ ผมว่ามันแน่ครับ จากคุณ : RT - [ 3 ม.ค. 48 18:37:56 A:202.183.145.145 X: TicketID:076578 ]

ความคิดเห็นที่ 21 คุณ #15 หลงทางแล้วนะครับ เราไม่จำเป็นต้องสนใจว่า ข้างในเขาเอาเลข 4 ตัวไปทำอะไรอีกมากมาย อัลกอริทึ่มซับซ้อนแค่ไหน ขอแค่คุณเดาเลข 4 ตัวที่เป็นรหัสผ่านนั้นถูก ยังไงมันก็ยอมให้ผ่านเข้าไปได้แล้วครับ จากคุณ : ช่างไฟ - [ 3 ม.ค. 48 18:56:51 ]

ความคิดเห็นที่ 22 การเจาะระบบด้วยวิธีการสุ่มรหัส ถ้าใช้ multi proxy ก็จะตรวจสอบเรื่องการระดม log-in ได้ยากมากเลย สำหรับคนธรรมดา ข้อมูลตรงนี้คงไม่สำคัญอะไรมาก แต่ถ้าเป็นนักธุรกิจที่ทำการค้าอยู่ มันอาจจะเกิดความคุ้มค่า มากพอที่จะดึงดูดความสนใจของ hacker ( cracker ) ซึ่งอาจจะนำความเสียหายมาให้ได้ ค่อนข้างเสี่ยงเลย ที่สหรัฐ ความเสียหายจากอาชญากรรมทางคอมพิวเตอร์ ปีหนึ่งมีมูลค่าหลายพันหลายหมื่นล้านบาท ความเห็นผมคือควรจะรอให้มีการปรับปรุงจากทางรัฐบาลก่อน เพราะผมคิดว่ายังไงรัฐคงไม่บ้าจี้ใช้ PIN อันนี้อย่างเป็นทางการหรอกนะ ใครที่เรียนคอมพ์มาก็รู้ทั้งนั้นว่า รหัสตัวเลข4หลัก เนี่ยมันไม่ปลอดภัยแน่นอน เรื่องเจาะผ่าน login ยังไม่เท่าไหร่ แต่ถ้าเกิดจับพลัดจับพลู ถูกดักจับข้อมูลได้ ต่อให้ Login Secure Mode เข้ารหัส 128bit ด้วยเอ้า ถ้าจะถอดรหัสจริง ยังไงก็ทำได้ เพียงแต่จะใช้เวลามากน้อยเท่านั้น (คงไม่มีใครมานั่งเปลี่ยน PIN CODE กันทุกวันใช่ไม้ล่ะครับ) อย่าดูเบาไป ดูตัวอย่างคลื่น Tsunami ไว้ครับ สิ่งที่ไม่เคยเกิดขึ้นมาก่อน ใช่ว่าจะไม่มีทางเกิดขึ้นได้ จะรอให้เกิดเหตุการณ์ วัวหายล้อมคอก อีกคงไม่ไหว จากคุณ : เซอุส (นิรมิต) - [ 3 ม.ค. 48 19:36:29 ]

ความคิดเห็นที่ 23 กลายเป็นกระทู้สอนเลขไปละ จากคุณ : Practical^2 (ไม่มีสมาชิกชื่อนี้) - [ 3 ม.ค. 48 21:04:59 ]

ความคิดเห็นที่ 24 มันยากเจียนตายเลย การหา PIN .. แค่เช่า host ตปท. ที่มี ASP/PHP/Java (เดี๋ยวนี้ มันก็มีทุกที่แหละ) ซัก 3-4 ที่ ... แบ่งที่ละ 2500 ตัว เขียน script ให้ login ด้วย PID ที่ต้องการ และรหัส PIN ที่จะหา 3 ตัว โดยสุ่มเวลา ทุกๆ 200-400 วินาที (เฉลี่ย 300 วินาที ... เพื่อป้องกันการล็อค) เฉลี่ย PIN 1 ตัวใช้เวลา 100 วินาที วันนึง 86,400 วินาที ... ฉนั้น host ที่นึง จะ"ลอง" PIN ได้ 864 ตัว .. ไม่เกิน 3 วันก็ได้ PIN ครบตามที่ต้องการแล้ว นี่ยังไม่รวมถึงการแก้โค้ดนิดหน่อย ให้ host ที่เช่า ดึงข้อมูลผ่าน free proxy (ที่มีเป็นร้อยๆ พันๆ ตัว ... ทั่วโลก) กี่วันเชียว ที่จะได้ PIN มา การตามกลับไปว่า ที่ไหนเป็นตัว hack เข้ามา ... ไม่มีทางครับ การตามกลับไปว่า ใครเป็นคนที่ต้องการ PIN ของ PID นี้ ยิ่งไม่มีทางเข้าไปใหญ่ เพราะ proxy ก็อยู่เมืองนอกเมืองนา ... ไปบังคับให้เขาส่ง log กลับมาได้ที่ไหนกัน ... ค่าเช่า host ... ปีละกี่พันกันเชียว ???? ค่าจ้างเขียน code อย่างที่ว่า กี่พันกันเชียว? (เขียนเองยามว่างยังได้เลยครับ) ผมถึงไม่ยอมขอ PIN จากคุณ : แมวเหมียวพุงป่อง - [ 3 ม.ค. 48 21:10:33 ]

ความคิดเห็นที่ 25 ... ตอนที่เขาเปิดให้ขอ PIN ผ่านเนต ผมยังเคยเข้าไปดูข้อมูลคนอื่นเลยครับ พวกภาพถ่ายบัตรประชาชน ของผู้ต้องหาทางทีวีนี่แหละ capture แล้วเอามาใช้ได้เลย มีบอกวันหมดอายุของบัตร เลขประจำตัวเรียบร้อย ไม่ก็พวกหนังสือที่ชอบเอาบัตรประชาชนของดารามาลง ผมก็ลอง ใช้ซะเลย เข้าได้ด้วยวุ้ยไม่น่าเชื่อ นี่ผมไม่ต้องเดาเลยนะ เอากันง่าย ๆ อย่างนี้แหละ จากคุณ : Mr. Fusion - [ 3 ม.ค. 48 21:31:23 ]

ความคิดเห็นที่ 26 25 แอบเป็น hacker ด้วยเหรอ จากคุณ : Dr.slump - [ 3 ม.ค. 48 23:01:31 ]

ความคิดเห็นที่ 27 #14 คุณช่างไฟครับ ไปขอ PIN เค้าทำไม เอาสคริปต์ผมไปมั้ยครับ ง่ายกว่าเยอะ เร็วกว่าด้วย #15 หลงประเด็นนิดนึง แต่หลายท่านช่วยตอบแล้ว #6 ขอบคุณ คุณช่างไฟ ที่ช่วยขยายความให้ท่านอื่น ๆ ได้เข้าใจที่มาของวิธีคิด ซึ่งผมก็เดาเอาอย่างนั้นเช่นกัน เหตุผลลึก ๆ ผมเชื่อว่า ทางกระทรวงต้องการให้เว็บไซต์แห่งนี้เป็นที่นิยม และประชาชนทั่วไปไม่ลำบากในการใช้งาน รหัสจึงควรจำง่าย ใกล้เคียงกับความคุ้นเคย ซึ่งก็คือบัตร ATM แต่เขากำลังแลกกับความเสี่ยงที่จะเจอปัญหาวุ่นวายมากมาย หากมีคนสวมรอย ทำ transaction แก้ข้อมูลกันเละเทะ ไม่อยากขยายความมากกว่านี้ เกรงคนจะไม่เข้าใจ เพราะแค่ตั้งกระทู้นี้ ก็มีหลงทางมากมาย เอาแค่นี้ละกันครับ ขอบคุณทุกท่านเป็นอย่างยิ่งที่เข้าใจประเด็นที่ผมตั้ง ผมเคยส่งรายละเอียดเรื่องนี้ไปยังผู้ดูแลระบบ khonthai.com และเรื่องก็ส่งถึงหัวหน้าของเค้า ซึ่งเป็นผู้ตอบผมกลับมาด้วยประโยคสั้น ๆ ว่าจะปรับปรุงอีกที (ดังที่กล่าวไปในหัวกระทู้) ผมรอดูอยู่ประมาณ 1 ปี (หวังว่าที่ช้าเพราะระบบราชการไทย) ก่อนจะทนไม่ไหวและแจ้งไปยังกระทรวง ICT ในที่สุด ด้วยฟอร์มร้องเรียนในเว็บของกระทรวง ตามพันธกิจเรื่องการปรับปรุงความปลอดภัย ความเรียบร้อยของเว็บไซต์ในเมืองไทย และแน่นอน ไม่มีอะไรตอบกลับมาจาก ICT เช่นกัน ผมไม่คาดหวังว่า ทั้งสองที่จะเข้าใจประเด็นที่ผมอธิบาย แต่ที่ผมไม่คาดหวังอีกเช่นกัน ก็คือ NECTEC, SIPA และอีกหลายหน่วยงานแนวหน้าของวงการ IT เมืองไทย ที่มองไม่เห็นจุดอ่อนนี้เลย ทั้งที่อยู่ในวงการ กลับมอบรางวัลเว็บไซต์ราชการดีเด่น (อันดับเท่าไหร่จำไม่ได้ แต่สรรพากรได้อันดับ 1 ซึ่งของสรรพากรดีจริงๆ เห็นด้วย) ผมเลยเลิกหวังว่าจะมีใครเข้าใจความสำคัญของประเด็นนี้อีก ที่ไม่น่าเชื่อคือ เอกชนที่ร่วมโครงการกับ khonthai.com อย่าง Informix และเจ้าอื่น ๆ จะยอมปล่อยให้ระบบที่มีจุดอ่อนขนาดนี้ หลุดออกมาได้ และที่ไม่อยากเชื่อยิ่งไปกว่านั้นคือ pantip.com ได้รับเอาระบบนี้มาใช้ต่อเนื่อง โดยไม่สำเหนียกรู้ถึงจุดอ่อนที่ว่านี้เลย ผมยังดีใจ ที่จนถึงทุกวันนี้ ฟังก์ชั่นการทำงานของ khonthai.com ยังไปไม่ถึงไหน มิฉะนั้น คงมีปัญหาการสวมรอยแบบที่ว่านี้เกิดขึ้นมากมาย เพราะตามโครงการแล้ว สามารถรองรับการแจ้งเปลี่ยนแปลงต่าง ๆ ได้มากมาย จากคุณ : ZyberDog - [ 4 ม.ค. 48 00:19:50 ]

ความคิดเห็นที่ 28 #24 ครับ จริง ๆ ด้วย ยากเจียนตายเลยล่ะ วิธีที่คุณว่าน่ะ ยากจริง ๆ นะ ต้องพึ่งพา server คนอื่นเค้าด้วย หรือไม่ก็ต้องเขียนสคริปต์เป็นเยอะแยะ เปิด connection เองโดยตรง (แต่วิธีที่คุณว่านะ ก็ง่ายมาก ๆ แล้วล่ะ แต่ยังยากกว่า JavaScript เยอะ) JavaScript นี่แหละง่ายมากครับ ฟังก์ชั่นทาง http มีให้ใช้ในตัวเรียบร้อย ปรับปรุง algorithm ให้ทำงานเร็ว ๆ เหมาะกับโมเด็มช้า ๆ ดีกว่า สถิติของผมคือต่อผ่านโมเด็ม 33.6K ใช้เวลาไม่ถึง 20 นาทีครับ ต่อ 1 ราย แต่ถ้าเดี๋ยวนี้มีการล็อค ก็ต้องยืดเวลาไปอีกหน่อย รอการปลดล็อค แก้ไขเมื่อ 04 ม.ค. 48 00:25:56 จากคุณ : ZyberDog - [ 4 ม.ค. 48 00:24:07 ]

ความคิดเห็นที่ 29 ดีนะครับที่ผมไม่ขอ ในอดีตอาจจะไม่มีคน hack เพราะมันไม่น่าสนใจ แต่อนาคตมันไม่แน่ไม่นอน อ่านแล้วได้หลักการเยอะครับ อิอิ ขอบคุณมาก จากคุณ : ^_^Ohng^_^ - [ 4 ม.ค. 48 00:28:59 ]

ความคิดเห็นที่ 30 #22 ครับ อืมมม PIN นี้เค้าคงใช้เป็นทางการแล้วล่ะครับ เพราะ khonthai.com เปิดมานานกว่า 4 ปีแล้ว (อาจจะ 5 ปีแล้วด้วยซ้ำ) คนเรียนคอมมาเยอะแยะ ไม่รู้ว่า รู้รึเปล่า แต่ก็อนุมัติให้งานผ่านออกมาได้ แถมมีอีกหลายคน ไปให้รางวัลเว็บไซต์นี้อีก ผมล่ะ ทำได้อย่างเดียว อึ้งครับ Linux TLE ยังบังคับให้รหัสผ่านของผู้ใช้เครื่องต้องยาวอย่างน้อย 6 ตัวเลยครับ และต้องไม่ใช่ตัวเลขล้วน ๆ ด้วย จากคุณ : ZyberDog - [ 4 ม.ค. 48 00:57:33 ]

ความคิดเห็นที่ 31 ผมก็คิดเหมือนกันว่า เวปของตำรวจที่ให้สามารถเข้าไปดูข้อมูลของอาชญากรนั้น มีการป้องกันดีหรือเปล่า เฒ่าอ่ำลองคิดดูประสาคนไม่ค่อยรู้เท่าไรว่า ถ้าสามารถดึงข้อมูลออกมาจากฐานข้อมูลได้ แม้ว่าจะมีการป้องกันแบบให้อ่านได้อย่างเดี่ยวก็ตาม แต่ก็อาจจะมีมือเซียนซักคนที่ร้อนวิชาสามารถฝ่าด่านป้องกันเข้าไปแก้ไขข้อมูลได้เช่นกันหรือลบออกไปเลยก็ได้ การเผยแพร่ข้อมูลเช่นนี้บนเวปเป็นดาบสองคมหรือไม่ จากคุณ : เฒ่าอ่ำ - [ 4 ม.ค. 48 08:58:22 ]

ความคิดเห็นที่ 32 ใครเคยลองเดา PIN ที่ khonthai.com มาแล้วบ้างครับ? หากเดาผิดเกิน 3 ครั้ง ในหนึ่งวันเขาจะ Lock account นั้นไม่ให้ Log in ซึ่งจะทำให้เดาต่อไม่ได้ (ผมลองเล่นมาแล้ว) PIN1 เป็นเลข 4 หลัก ความเป็นไปได้คือ 1/10000 หากเดาวันละ 3 ครั้ง ไล่ไปทุกๆตัวเลข จะใช้เวลา 10000 / 3 = 3,333 วัน ประมาณ 9 ปี 9 ปีนี่คือเคสที่แย่ที่สุด (แปลว่าไปเดาถูกเอาเลขสุดท้ายเลย) แต่ถ้าใครรู้จัก Birthday Paradox ละก็ จะรู้ว่ามันไม่ต้องใช้เวลานานขนาดนั้น Birthday Paradox บอกว่า หากคุณไปงานเลี้ยงอะไรสักอย่าง แล้วเดินถามวันเกิด (วัน+เดือน) ของคนที่คุณคุยด้วย คุณจะพบว่าใน 23 คนที่คุณถามวันเกิด จะมีโอกาสสูงที่คนที่เกิดวันเดียวกัน (วัน และ เดือนเดียวกัน) อยู่ 2 คน แปลกดีไหม ทั้งๆ ที่ปีหนึ่งมีตั้ง 365 วัน แต่ถามแค่ 23 คน กลับเจอคนที่เกิดวันเดียวกัน หากเราคิดในแง่สถิติ หากคุณถามคนที่ 1 โอกาสที่จะไม่เกิดวันเดียวกับคุณคือ 364/365 เพราะหนึ่งปีมีอีก 364 วันที่ไม่ใช่วันเกิดคุณ ซึ่งหารได้ออกมาเป็น 0.997 ดังนั้นโอกาสที่จะเป็นวันเดียวกันคือ 1 - 364/365 = 1 - 0.997 = 0.003 เมื่อถามคนที่ 2 โอกาสที่จะไม่เกิดวันเดียวกันกับคุณ และคนก่อนหน้าคือ (364/365) * (363/365) = 0.992 ดังนั้นโอกาสที่จะเกิดวันเดียวกัน จะเพิ่มเป็น 1 - 0.992 = 0.008 หากคุนวณไปเรื่อยๆ จะได้ผลดังตารางนี้ People 2 9 16 23 30 37 44 65 79 Chances 0.0027 0.0946 0.2836 0.5073 0.7063 0.8487 0.9329 0.9977 0.9999 อ่านยากหน่อยนะครับ ไปดูจากเว็บต้นฉบับที่ผมลอกมาดูง่ายกว่า ที่ http://www.securesphere.net/download/papers/dnsspoof.htm ก็ประมาณว่า 23 คน โอกาสเป็น 50-50 ถ้า 65 คนก็เกือบ 100 เปอร์เซ็นต์ แล้วครับ คราวนี้หากดูที่ตัวเลข 0000 - 9999 หนึ่งหมื่นตัวเลข โอกาสเป็นอย่างนี้ครับ TRY= 50 CHANCES = .1199 TRY= 100 CHANCES = .3975 TRY= 150 CHANCES = .6796 TRY= 200 CHANCES = .8678 TRY= 250 CHANCES = .9577 TRY= 300 CHANCES = .9895 TRY= 350 CHANCES = .998 TRY= 400 CHANCES = .9997 เอาชัวร์ ๆ ก็คง ประมาณ 250 ครั้ง วันหนึ่งลองได้ 3 ครั้ง 250 ครั้งก็ใช้เวลา 250/3 = 83 วัน ประมาณ 3 เดือนครับ แต่ผมว่า ความน่าจะเป็นสัก 50-50 ก็น่าจะใช้ได้แล้วครับ ประมาณ 150 ครั้ง ก็ประมาณ 1 เดือนพอดี ลองพิจารณาดูก็แล้วกันครับ จากคุณ : อาร์ต - [ 4 ม.ค. 48 12:39:29 A:202.129.56.15 X: TicketID:061692 ]

ความคิดเห็นที่ 33 อ้อ เรื่องนี้บอกอีกอย่างก็คือ หากคุณตั้งรหัสผ่าน หรือ PIN เป็นเลข 4 หลัก ควรเปลี่ยนรหัสทุกๆ 1 เดือนครับ จากคุณ : อาร์ต - [ 4 ม.ค. 48 12:43:06 A:202.129.56.15 X: TicketID:061692 ]

ความคิดเห็นที่ 34 #33 ครับ เปลี่ยนทุกเดือน ก็ไม่รอดหรอกครับ หึหึหึ จากคุณ : อูแมน - [ 4 ม.ค. 48 13:20:07 ]

ความคิดเห็นที่ 35 ฮั่นแน่! อูแมน มีวิธีเข้าทางอื่นละสิ . . . คุก คุก คุก (เสียงไอน่ะครับ) อิๆ จากคุณ : อาร์ต - [ 4 ม.ค. 48 13:23:07 A:202.129.56.15 X: TicketID:061692 ]

ความคิดเห็นที่ 36 #32 ขอบคุณมากครับ ได้ความรู้เรื่อง ความน่าจะเป็นอย่างที่ว่าด้วย และข้อมูลใหม่ที่น่ายินดี คือมีระบบล็อคเมื่อใส่รหัสผิดเกิน x ครั้งแล้ว อันนี้ผมไม่ทราบ เพราะไม่ได้ติดตาม khonthai.com มาหลายปีแล้ว สมัยก่อน ตอนที่ผม "สำรวจ" เว็บนั้น ยังไม่มีระบบล็อคครับ (คงเดาได้ว่าผมรู้ได้ไงว่า ไม่มี) แต่ที่ผมเคยเสนอเค้าไป ผมก็บอกว่า การล็อค account เมื่อมีการ login ผิดเกิน 3 ครั้ง มันไม่เหมาะกับระบบแบบนี้ เพราะทำให้ผู้ใช้ตัวจริงเดือดร้อนครับ แม้จะเจาะจนเจอรหัสไม่ได้ แต่ก็ทำให้ผู้ใช้คนนั้น วุ่นวายมาก สุดท้ายอาจต้องไปที่เขตอยู่ดี เพราะโดนล็อคตลอดเวลา ความผิดของเรื่องนี้ ตกอยู่ที่รหัสผ่านที่ไม่เหมาะเลยสักนิดเดียวกับบริการแบบนี้ แก้ที่สาเหตุเถิดครับ แก้ปลายเหตุ มันจะบานปลายไปเรื่อย จากคุณ : ZyberDog - [ 4 ม.ค. 48 15:06:57 ]

ความคิดเห็นที่ 37 เขาล๊อควันเดียวครับ รุ่งขึ้นก็เดาได้ต่อ จากคุณ : อาร์ต - [ 4 ม.ค. 48 22:56:36 A:202.129.56.15 X: TicketID:061692 ]

ความคิดเห็นที่ 38 เออ รู้สึกว่าไม่ได้ป้องกัน sql injection ไว้ ถ้ารู้เลขบัตรบัตรประชาชนก็เข้าได้ pincode ถึงล็อคไว้พิมม์ได้ 4 ตัว แต่นั่นกัน user พิมม์แค่นั้น มีหลายวิธีที่จะพิมม์ sql code ที่ยาวมากกว่า 4 ตัว เพื่อผ่านเข้าไป จากคุณ : 3N - [ 4 ม.ค. 48 23:49:05 ]

ความคิดเห็นที่ 39 อุ๊ยตาย เผลอปล่อยโง่ออกไปหลายขุมเลย อายจริงแฮะ -_-" พึ่งนึกออกจากข้อความของคุณแมวเหมียวพุงป่องนี่แหละ มันมีวิธี Authen. ตั้งหลายทาง อุๆๆ มิน่าล่ะ อูแมน ถึงบอกว่าเดือนเดียวก็ไม่ทัน ผมว่า . . . แบบนี้วันเดียวก็ได้แล้วสิเนี่ย -_-" เอ . . ว่าแต่ชื่อนี้คุ้นจัง อูแมน มาจาก มอชอ หรือเปล่าครับ? แต่ 3N ครับ มัน inject ได้จริงเหรอครับ? จากคุณ : อาร์ต - [ 5 ม.ค. 48 09:33:52 A:202.129.56.15 X: TicketID:061692 ]

ความคิดเห็นที่ 40 คุณ ZyberDog ครับ .. วิธีที่ผมเสนอนี้ ไม่ทิ้ง footprint ที่ตามกลับคืนได้ครับ การ login ผ่าน modem ตรงๆ เป็นเรื่องที่อันตรายมาก .. ถึงจะได้ใน 20 นาที แต่ตำรวจก็สามารถตามถึงตัวได้ใน 2-3 วันเช่นกัน แต่วิธีที่ผมบอก มันตามไม่ไ้้ด้เลย เพราะ Privacy Protection Act ของประเทศเหล่านั้นป้องกันไว้ ... มันไม่ใช่ international crime, ไม่ใช่ homeland security breach .. เขาไม่ค้นให้หรอกครับ และลักษณะมันจะทำงานแบบ DR-DOS attack ... อำนาจของ parallel computer จากคุณ : แมวเหมียวพุงป่อง - [ 7 ม.ค. 48 17:57:32 ]

ความคิดเห็นที่ 41 แล้วจะป้องกันไงละ ถามกลับ เพราะHACKER ที่ดีย่อมบอกทางแก้ให้ด้วยสิ จากคุณ : นู๋หวึ่ง - [ 10 ม.ค. 48 01:07:16 ]

ความคิดเห็นที่ 42 อ๋อ ครับ คุณแมวเหมียวพุงป่อง ใช่ ๆ ถ้าจะกันตำรวจตามได้ด้วย ก็ต้องยังงั้น ระดมยิงแบบที่ผมว่านั่น เสี่ยงที่สุด จับได้ง่ายมาก #41 ทางแก้นะครับ คือห้ามใช้ระบบแบบนี้ครับ เพราะปัญหา อยู่ที่แนวคิดในการออกแบบระบบ แก้ทางเทคนิคไม่ได้ ต้องให้คนออกแบบตระหนักถึงสิ่งที่ตัวเองกำลังทำ แล้วปรับเปลี่ยนใหม่ จะมีใครช่วยไปบอกกรมฯ เค้ามั้ยเนี่ย เราไม่ได้คุยกันเล่น ๆ นะ จากคุณ : ZyberDog - [ 12 ม.ค. 48 09:39:27 ]