น่าจะยังอ่านกระทู้ไม่จบ  

มันเป็นเรื่องที่ตรวจสอบไม่ได้ไง ต่อให้ผม แค๊ป pm ผมตอนนี้ ผมก็เปลี่ยน pm ผมได้เหมือนกัน ทำได้อย่างที่คุณอยากเห็นเลย เปลี่ยนรูป เปลี่ยนชื่อคนที่คุยด้วยยังได้

ผมถึงได้แซวๆพรี่รุดเขาไงว่า ถ้าเปิดชื่ออกมาเป็นชื่อรุดวานนี้่ หงายเงิบเลยนะนั่น

อย่างเข้าประเด็นเรื่องแฮกที่มีคนสงสัยผมเลยมัดรวมตอบตรงนี้ในข้อความเดียวกันไปเลย

สรุป เรื่องนี้ก็แค่มีคนตอแหลซักคนนั้นแหละ ไม่ซับซ้อนเลย

ผมเป็น WM คงกุมขมับไม่น้อย แคป ip ประวัติใช้งานมาเปิดให้ดูขนาดนี้ ยังมีคนสงสัยกันอยู่อีก

ถึงต่อให้เขาไม่เปิดให้ดู แต่ wm เขาแค่จะแสดงเจตนาว่า เขาเช็คแล้ว

อย่างจะให้เขาบอกว่า มีสองคนนี้โกหก เขาคงพูดไม่ได้หรอก เด่วก็ทัวร์ถล่มหาว่าเขาเป็น wm มากล่าวหายังงี้ได้ยังไง ไหนหลักฐานอีก  

จะตอบประเด็นอื่นก็ไปโควทคนอื่นสิ

แล้วไม่เชื่อ pm เพราะอาจมีการเปลี่ยนได้ แต่ เชื่อ log ที่มีปุ่ม delete เนี่ยนะ!!!

แหมขิงซะด้วย เปลี่ยน pm ได้อย่างที่คุณอย่างเห็น แหมมมมมม ใครๆ ก็ทำได้ปะวะ  

เอ้า เก๊าไม่รู้อ่า ก็เห็นหลายคนไม่เข้าใจ เก๊าไม่ได้ขิง อย่าเข้าใจเจตนาเก๊าผิดซิ

มันมีปุ่ม delete ก็จริง แต่ผมว่าน่าใช่แฮกเกอร์หรอกฮะ เหตุผลตามที่ผมพิมพ์ไป มันไร้สาระไป

แต่ถ้าบอกเป็นทีมงานจริง WM เขาต้องมีวิธีจัดการอยู่ละ เพราะมันเกี่ยวกับความน่าเชื่อถือเว็บด้วย

แต่ส่วนตัวก็ยังคิดว่าไม่น่ามีใครทำหรอก หลุดกันเองนี้ละ  

ออกทรงมั่ว ไปตลกเล่นเสียงซะแล้ว  

ออกทรงมั่ว แถไปตลกเล่นเสียงซะแล้ว  

เรื่องอื่นผมอาจจะตอบไม่ได้นะ แต่ในฐานะคน IT ผมว่ามันน่าเป็นห่วงนะ

การดู log แบบที่เว็บเรามี ถ้าเจอ audit เข้านี่ผิดเต็มๆ ไม่ผ่าน compliance แน่นอนครับ เพราะ log มันไม่ควรจะมีปุ่มให้กดลบหรืออะไรเลย เพราะมันเป็น hard facts ที่ไม่ควรลบได้ แต่อาจจะมีการ set retention period ที่เหมาะสม เช่นจะ purge log ทุก 6 เดือนหรืออะไรก็ว่าไป ซึ่งมองว่าตรงนี้เป็น security risk นะครับ ถ้ามีมือเก๋าๆที่ไม่หวังดีกับเว็บ เอาจริงๆว่าเราอาจจะเอาไม่อยู่เลยด้วยซ้ำ แค่ลบ log ได้นี่ก็เจอ exploit ได้ไม่รู้จบแล้วครับ

ประเด็นที่สอง UI การเช็ค log ผมว่าระบบของที่นี่ไม่ค่อย secure เลย เพราะจริงๆมันควรจะมี log history ที่ครอบคลุมกว่านี้ นอกจาก IP และ agent แล้ว ควรจะมีทั้ง session time, Logout time ด้วยเช่นกัน หรือกระทั่งควรจะมีการตั้ง retention time ด้วยว่าถ้า user inactive เป็นเวลาเท่าไหร่ ควรจะ force auto Log-off ด้วยหรือไม่ ยิ่งตอนนี้มี PDPA แล้วด้วย ผู้ใช้งานมีสิทธิ์เรียกดู log การเข้าระบบของตัวเองด้วยซ้ำ รวมถึงสิทธิ์อื่นๆด้วย (right to delete, modify, transfer, etc…) ซึ่งระบบของ SS เองยังไม่ครอบคลุมตรงนี้เลย แถม cookie settings หรือ policy ก็ไม่มี consent management ก็ไม่มี

เอาจริงๆว่าถ้าเจอ PDPC เข้า audit นะ คุณเบนลำบากแน่ๆครับ
ผมฝากไว้เท่านี้แล้วกัน

ส่วนเรื่อง แชทหลุดหรืออะไร จากประสบการณ์ทำงาน มันเป็นไปได้ในกรณีที่สองที่คุณ Cafe1n บอกไว้ค่อนข้างเยอะ อย่างไรก็ดี ไอ้การที่ login แล้วไปเข้าผิด account ที่เคยเกิดขึ้น แบบนี้ผมก็เคยเจอกับ AD Authentication เหมือนกัน ซึ่งไม่มี log เก็บไว้ด้วยนะ (เพราะระบบมันมองว่าไม่ได้มีการ login account นี้ แค่ key มันจับกันผิด)

ฉะนั้น จริงๆอยากให้ explore ทั้งด้าน user error เอง และ system glitch ด้วยเช่นกันครับ