งาน Genuino Day 2016 ที่ผ่านมาได้มีโอกาสเข้า Workshop Lambda Plus ตอนแรกก็ไม่รู้เลยว่ามันคืออะไร คิดว่าเป็น development board ของต่างประเทศก็พยายาม google หาข้อมูลก็ไม่มีข้อมูลอะไรเลย จนกระทั่งเจอวิดีโอเปิดตัวใน youtube นี้ครับ

ถึงบางอ้อเลยนี่มัน development board ตัวใหม่นี่นา มิน่าล่ะหาใน google ไม่เจอ

Continue reading

ผมได้มีโอกาสไปงาน eAuthentication Day จัดโดย ETDA ไปถึงงานสายสักหน่อย เลยไม่ทราบว่าเค้าพูดเรื่องอะไรกันตอนเช้า มาถึงก็เจอ ดร.ศักดิ์ บรรยายพอดี ก็เลยทราบว่ารัฐบาลกำลังขับเคลื่อนเรื่อง Digital Government และ Digital Economy อย่างจริงจังมาก มีโครงการจากหลายกระทรวงตอบรับ นโยบาย Digital Economy พอสมควร เห็นว่าจะมี E-Payment ของกระทรวงการคลังเพิ่มเข้ามาอีก อีกหน่อยเราคงได้เห็นเงินงบประมาณในรูปแบบ Credit ถึงเวลาก็ไปตัดยอดที่สำนักงบประมาณ หรือประมูลงานจ้างงานภาครัฐบนเว็บไซต์ได้ผลลัพธ์ได้เลย

ในงานมี Demo การ Authentication โดยใช้ SIM Card ที่มี Feature Encryption จำชื่อไม่ได้ว่าเป็นแบบไหน แต่เพิ่มความปลอดภัยมากขึ้น เพราะการยืนยันตัวตนและการส่งข้อมูลทำโดยอัตโนมัติ ผู้ใช้แค่กด Pin Code เพื่อบอกว่าเป็นตัวเองเท่านั้น Demo มี 3 แบบ

  • แบบที่ 1 ยืนยันตัวตนผ่านหน้าเว็บไซต์และมือถือ คล้ายๆ กับการกด Facebook Login แต่อันนี้เป็น Mobile Login เมื่อกดแล้วที่มือถือ จะมี Notification ขึ้นมายืนยันว่าได้ทำรายการนั้นจริง แล้วให้กรอก Pin Code อีกรอบ
  • แบบที่ 2 ยืนยันตัวตนผ่านหน้าเว็บไซต์และมือถือโดยใช้ Generator คล้ายๆ กับ Google Generator แต่ต้องมี App ในเครื่อง
  • แบบที่ 3 ยืนยันตัวตนผ่านหน้าเว็บไซต์และมือถือโดยใช้ Mobile App ในการยืนยันตัวตนโดยตรง

ดู Demo แล้วรู้สึกตื่นเต้นดีครับ เพราะทำ Demo ออกมาจริงจังมาก เหมือนใช้งาน E-Commerce และ Internet Banking อยู่จริงๆ Lab ของ ETDA จะ release บริการแบบนี้ให้ทดลองใช้ประมาณปลายๆ ปีครับ

Continue reading

เมื่อปีที่แล้ว Google นำเสนอ EddyStone และ Physical Web จนต้องกลับมาเล่น Beacon อีกรอบ แต่ที่แย่ที่สุดคือ Beacon ที่มีอยู่มันเป็น HM-11 เล่น EddyStone ก็รอมานานมากคิดว่าจะไม่ได้เล่น EddyStone URL และ Physical Web แล้ว วันนี้เจอโพสของ AppStack เรื่อง ลองเล่น Eddystone URL beacon โดยใช้ Raspberry Pi 3 ก็ถึงบางอ้อเลย สบายละไม่ต้องงม data frame กันอีกต่อไป เพราะมีเครื่องมือช่วย generate คำสั่งในการ config ค่าให้เรียบร้อย

เครื่องมือที่ว่านี้คือ Eddystone URL command calculator เพียงแค่ใส่ URL ที่เราต้องการ แล้วเราก็จะได้คำสั่งใน command line สำหรับ config ออกมา สุดยอดมากมาย

Continue reading

ผมเจอปัญหาเรื่อง Clickjacking ก็เลยมา Blog ไว้สักหน่อย เพราะเป็นปัญหาซ้ำซ้อนซึ่งบางครั้งหลงลืม ผมใช้ Nginx เป็น reverse proxy ก็ตั้งค่า X-Frame-Options ให้ DENY ดูเหมือนว่าจะไม่มีปัญหาอะไร แต่พอตรวจสอบก็ยังเจอปัญหา ClickJacking Attacks อยู่เพราะ Express ยังไม่ได้แก้ เอ้อ…ใครจะไปคิดว่า developer ลืมเรื่องนี้ไป ก็เลยต้องมา patch โค้ดเอาเอง

Node.js มี module สารพัดประโยชน์อยู่ตัวนึงชื่อ Helmet เอาไว้ดัก Header โดยเฉพาะ วิธีการใช้ก็ง่ายมาก สั่ง download module มาก่อนเลย

npm helmet --save

จากนั้นแก้โค้ดเลยครับ เพิ่ม helmet ต่อท้าย express ได้เลย

สำหรับการตั้งค่าใน Web Server อื่นๆ ดูได้จากลิงค์นี้ครับ

ค่าย Elasticsearch ออกของเล่นมาใหม่มาหลายตัว เช่น Beats, Graph, Watcher เป็นต้น ครั้งนี้เราจะมาลองเล่น Beats กัน Beats เป็นแพลทฟอร์มส่งข้อมูลไปยัง Logstash หรือส่งไปยัง Eleastic Search แล้วเอา Kibana มาประมวลผลข้อมูลและสร้าง Dashboard ต่อได้

Beat มีเครื่องมือย่อยอีกหลายตัว

  • Topbeat ส่งข้อมูล CPU, memory, process และข้อมูล system อื่นๆ
  • Packetbeat ส่งข้อมูล web, database และ network protocols อื่นๆ
  • Filebeat ส่งข้อมูลในไฟล์ logs ใช้ร่วมกับ logstash ได้
  • Winlogbeat ส่ง event logs บน Windows


Continue reading

เนื่องจากมีคนถามเข้ามาบ่อยเรื่อง Font เพราะกังวลเรื่องลิขสิทธิ์ และเข้าใจว่ามีฟอนต์อยู่ในเครื่องตั้งแต่ตอนซื้อเครื่องคอมพิวเตอร์มา ไม่ทราบว่าละเมิดลิขสิทธิ์หรือเปล่า แต่อยากเอาไปใช้งาน บางรายมาขอให้ค้นหาข้อมูลเจ้าของฟอนต์กันเลยทีเดียว ครั้งนี้ ก็เลยถือโอกาสมาบล็อกไว้สักหน่อย

แหล่งดาวน์โหลดฟอนต์ภาษาไทย มี 3 แหล่ง

ถ้านึกออกจะทะยอยมาอัพเดทเพิ่มเติมครับ

เมื่อปีที่แล้วมี developer ท่านนึงคนชวนเล่น Gogs จำไม่ได้ว่าคุยเรื่องอะไรกัน แต่ก็น่าสนใจดี Gogs เป็น self-hosted Git Services เขียนด้วยภาษา Go ซึ่งเจ้าตัวนี้หน้าตาและฟังก์ชั่นหลายอย่างคล้ายกับ Github (เวอร์ชั่นเก่า) ใครเคยใช้ Github คงจะคุ้นเคย

สำหรับท่านที่อยากลอง Gogs สามารถติดตั้งได้หลายวิธีทั้งผ่าน binary, source และ package.io ครั้งนี้มาลองติดตั้งจาก package.io กันดูบ้าง เริ่มจากติดตั้ง repository กันก่อน และติดตั้ง Gogs อ้อ ผมใช้ Ubuntu 14.04 Server 64bits

Continue reading

หลายท่านอาจจะเคยพยายามค้นหาช่องโหว่ของ server บ้างก็พยายามหาจากการเปิด Port หรือหาจาก Server Infomation ที่ service นั้นๆ รายงานมาให้ จากนั้นก็ไปหารายละเอียดเพิ่มเติมจาก CVE report เพื่อให้ในการ hack หรือ patch หรือไป subscribe จาก CVE report มาเพื่อดูรายการ patch ซึ่งก็แล้วแต่ทางเลือกในการบริหารจัดการ

ครั้งนี้จะมาแนะนำเครื่องมือตรวจสอบช่องโหว่ของ Server ตัวนึงชื่อ Nessus เจ้า Nessus นี้มีมานานมากกกกก และเป็นเครื่องมือที่มีการพัฒนาที่รวดเร็วพอสมควร ปัจจุบันมีบริการแบบ Cloud Service ด้วย Nessus จะมีฐานข้อมูลของช่องโหว่ในระบบต่างๆ ของ Server ซึ่งคุณสามารถใช้ฐานข้อมูลนั้นมาช่วยในการ Scan และ Patch อ้อ สำหรับการ Patch จะเป็นคำแนะนำสั้นๆ ไม่มี Tutorial ให้อ่านจะต้องหาข้อมูลเพิ่มเติมจาก Software นั้นๆ นะครับ มาลงมือกันเลย

Continue reading

แนะนำว่าให้ตั้งรหัสผ่านให้ยากเข้าไว้ ให้ยาวเข้าไว้ มีตัวอักษรเล็กใหญ่ มีเครื่องหมายสัญลักษณ์ ฯลฯ คำถามคือทำไปทำไม จำก็ยาก แถมห้ามจดแปะไว้ที่จออีกต่างหาก ทำไม ทำไม ทำไม ทำไมต้องทำให้ชีวิตลำบากด้วย เอ่อ… ผมว่าหลายคนอาจจะเคยเจอสถานการณ์แบบนี้ แหม… ก็อยากจะบอกว่าการเจาะรหัสผ่านมันง่ายมากๆ เครื่อง PC ธรรมดาๆ ใช้เวลาไม่ถึงวินาทีก็สามารถเจาะรหัสผ่านกันได้แล้ว วิธีการแบบธรรมดาๆ ที่ชอบใช้กันคือ Brute force โดยอาศัยฐานข้อมูลรหัสผ่านและการผสมอักษรเพื่อให้ได้ชุดรหัสผ่านแล้วค่อยๆ ยิงทดสอบไปเรื่อยๆ หากผู้ใช้ตั้งรหัสผ่านง่าย การเจาะก็จะทำได้ในเวลาอันสั้น

เทคนิคการเจาะแบบนี้ยังใช้ได้จนถึงปัจจุบัน เจาะได้ทุกช่องทางที่ใช้ username, password ไม่ว่าจะเป็น Desktop, Server, Web Application ใช้ได้หมด แตกต่างแค่ช่องทางและวิธีการเชื่อมต่อเท่านั้น สำนักด้านความปลอดภัยต่างก็ออกแนวทางการตั้งรหัสผ่านมาหลายแบบ ส่วนใหญ่ก็ให้ตั้งรหัสผ่านให้ยากเข้าไว้ ให้ยาวเข้าไว้ มีตัวอักษรเล็กใหญ่ มีเครื่องหมายสัญลักษณ์ ฯลฯ หรือ Password ยอดแย่ประจำปี เอ้ามาลองดูกันว่าตั้งง่ายตั้งยากใช้เวลาต่างกันหรือไม่

Continue reading

ผมมีโอกาสได้กลับมาดูเรื่อง Security ในรอบหลายปี ก็เลยคิดว่าน่าจะเขียนเนื้อหาอะไรเกี่ยวกับ Security บ้าง เนื้อหาก็คงหนีไม่พ้นเรื่องวิธีการที่ทำบ่อยและเครื่องมือที่ใช้ประจำ เนื้อหาจะไม่อิงมาตรฐานด้าน Security มากนัก คิดว่าเอาประสบการณ์มาแลกเปลี่ยนกัน สำหรับเนื้อหาเกี่ยวกับ Security ติดตามอ่านได้ที่ Tag Security ครับ

วิธีการทำให้ Linux Server ปลอดภัยนั้นมีหลายอย่างที่ต้องคำนึงถึง จะต้องวางแผนก่อนว่าเครื่อง Server นี้ให้บริการ Service อะไร ซอฟต์แวร์ที่ต้องใช้มีอะไนบ้าง ใครเป็นผู้ใช้บ้าง เข้าถึงเครื่อง Server ได้ทางไหนบ้าง เป็นต้น ดังนั้นการ Hardening จะเริ่มตั้งแต่ตอนติดตั้ง Linux กันเลย สิ่งที่ผมทำเป็นประจำคือ

  • แบ่ง partition แยกตามความต้องการของการใช้ service นั้นๆ
  • สั่ง encrypt partition ที่ต้องการ
  • ติดตั้ง service ที่ต้องใช้เท่านั้น และใช้ ssh สำหรับ remote เท่านั้น
  • ตั้งรหัสผ่านสำหรับผู้ใช้ให้ยากเข้าไว้ ตัวเล็ก ตัวใหญ่ ตัวเลข สัญลักษณ์ ความยาวมากกว่า 8 ตัวอักษร
  • ตั้งค่าเวลากับ ntp server


Continue reading