[แจ้งเตือน] ออราเคิลปล่อยอัพเดตจาวา อุดช่องโหว่ตรวจสอบลายเซ็น ECDSA ผิดพลาด คนร้ายปลอมโทเค็น JWT ได้

Loading

ออราเคิลปล่อยอัพเดตตามรอบปกติเดือนเมษายน มีการแก้ไขช่องโหว่ในซอฟต์แวร์จำนวนมากนับร้อยรายการ แต่ช่องโหว่หนึ่งที่กระทบคนจำนวนมากและค่อนข้างร้ายแรง คือ CVE-2022-21449 เป็นบั๊กการตรวจสอบลายเซ็นดิจิทัลแบบ EDSDA ทำให้คนร้ายสามารถปลอมลายเซ็นและเซิร์ฟเวอร์ตรวจสอบไม่ได้ กระบวนการเซ็นลายเซ็นดิจิทัลแบบ ECDSA ได้รับความนิยมสูงมากในช่วงหลังเพราะมีขนาดลายเซ็นเล็ก มีการใช้งานเป็นวงกว้าง เช่น JWT สำหรับการล็อกอินเว็บ , SAML/OIDC สำหรับการล็อกอินแบบ single sign-on , และ WebAuthn สำหรับการล็อกอินแบบหลายขั้นตอนหรือการล็อกอินแบบไร้รหัสผ่าน หากเว็บใดใช้การล็อกอินเพื่อตรวจสอบลายเซ็นเช่นนี้ก็เสี่ยงจะถูกแฮกเกอร์ปลอมตัวเป็นผู้ใช้สิทธิ์ระดับสูงได้ ช่องโหว่กระทบตั้งแต่ Java 8 ขึ้นไป ออราเคิลให้ระดับความร้ายแรงที่ระดับสูง แต่ถ้ามีการใช้งานตรงกับแนวทางที่กล่าวมาแล้วก็นับว่าร้ายแรงมาก ควรเร่งอัพเดตโดยเร็ว ที่มา – Oracle , ForgeRock     ที่มา : blognone    /   วันที่เผยแพร่ 20 เม.ย.65 Link : https://www.blognone.com/node/128122

เวียดนามจ่อออกกฎหมายใหม่ลบเนื้อหาผิดกฎหมายบนโลกออนไลน์ภายใน 24 ชม.

Loading

  รอยเตอร์ – เวียดนามกำลังเตรียมออกกฎหมายใหม่ที่กำหนดให้บริษัทสื่อสังคมออนไลน์ต้องลบเนื้อหาที่ทางการถือว่าผิดกฎหมายภายใน 24 ชั่วโมง แหล่งข่าวเปิดเผยกับรอยเตอร์ว่า การแก้ไขกฎหมายฉบับปัจจุบันตามที่วางแผนไว้นั้นจะยิ่งทำให้เวียดนามเป็นหนึ่งในประเทศที่มีระบอบการปกครองที่เข้มงวดที่สุดของโลกสำหรับบริษัทสื่อสังคมออนไลน์ และจะยิ่งเสริมความแข็งแกร่งให้พรรคคอมมิวนิสต์ที่ปกครองประเทศในการปราบปรามกิจกรรมต่อต้านรัฐ แหล่งข่าวระบุว่า เนื้อหาและบริการที่ผิดกฎหมายจะต้องถูกลบภายใน 24 ชั่วโมง โดยไม่มีระยะเวลาผ่อนผัน ขณะที่การสตรีมสดผิดกฎหมายต้องถูกปิดกั้นการเข้าถึงภายใน 3 ชั่วโมง โดยบริษัทที่ไม่สามารถดำเนินการได้ตามกำหนดเวลาอาจถูกแบนแพลตฟอร์มในเวียดนาม นอกจากนี้ บริษัทสื่อสังคมออนไลน์ยังได้รับแจ้งว่า เนื้อหาที่เป็นอันตรายต่อความมั่นคงของชาติต้องถูกลบออกทันที ปัจจุบัน แพลตฟอร์มโซเชียลมีเดียมักมีเวลา 2-3 วันในการจัดการตามคำร้องของรัฐบาลเวียดนาม แหล่งข่าวระบุและคาดว่า นายกรัฐมนตรีจะลงนามกฎหมายนี้ในเดือนหน้า และมีผลบังคับใช้ตั้งแต่เดือน ก.ค.เป็นต้นไป แหล่งข่าวทั้งหมดที่พูดคุยกับรอยเตอร์ปฏิเสธที่จะระบุตัวตนเนื่องจากความอ่อนไหวของประเด็น ด้านกระทรวงการสื่อสารและกระทรวงการต่างประเทศของเวียดนามไม่ได้ตอบสนองต่อคำร้องขอความคิดเห็นจากรอยเตอร์ ด้านตัวแทนของบริษัทเมตา แพลตฟอร์ม (Meta Platforms Inc) เจ้าของเฟซบุ๊ก และบริษัทอัลฟาเบท (Alphabet Inc) เจ้าของเว็บไซต์ยูทิวป์และกูเกิล ปฏิเสธที่จะแสดงความเห็น ส่วนบริษัททวิตเตอร์ (Twitter) กล่าวว่าบริษัทไม่มีความคิดเห็นในตอนนี้ ติ๊กต็อก (TikTok) ของบริษัทไบท์แดนซ์ (ByteDance) จะยังคงปฏิบัติตามกฎหมายท้องถิ่นที่บังคับใช้ เพื่อให้แน่ใจว่า แอปพลิเคชันติ๊กต็อกยังคงเป็นพื้นที่ปลอดภัยสำหรับการแสดงออกอย่างสร้างสรรค์ ตัวแทนของบริษัทในเวียดนามกล่าวกับรอยเตอร์และเสริมว่า บริษัทจะลบเนื้อหาที่ละเมิดแนวทางของแพลตฟอร์ม เวียดนาม…

‘ห้ามหญิงมุสลิมสวมฮิญาบ’ประเด็นร้อนเลือกตั้งฝรั่งเศส

Loading

  นโยบายห้ามผู้หญิงมุสลิมสวมฮิญาบในที่สาธารณะ ของ “มารีน เลอ เพน” ผู้ชิงตำแหน่งประธานาธิบดีฝรั่งเศสฝ่ายขวา ถูกวิจารณ์อย่างหนักว่าริดรอนสิทธิเสรีภาพ ขณะผลเลือกตั้งรอบสองมีตัวแปรที่สำคัญคือผู้มีสิทธิ์ออกเสียงที่ยังไม่ได้ตัดสินใจว่าจะเลือกใคร “มารีน เลอ เพน” คู่แข่งชิงตำแหน่ง ประธานาธิบดีฝรั่งเศส ของ เอ็มมานูเอล มาครง กำลังถูกวิพากษ์วิจารณ์อย่างหนักเกี่ยวกับนโยบายที่เธอเสนอว่าจะห้ามผู้หญิงมุสลิมสวมใส่ผ้าคลุมศีรษะที่เรียกว่าฮิญาบในที่สาธารณะ หากใครฝ่าฝืนจะมีโทษปรับเงิน ซึ่งนโยบายนี้ถูกมองว่าเป็นการริดรอนสิทธิเสรีภาพในเรื่องการแต่งกายและเรื่องความเชื่อทางศาสนา ล่าสุด นักการเมืองที่เป็นพันธมิตรกับ เลอ เพน หลายคนต้องออกมาช่วยแก้ต่างเรื่องนี้ให้ โดยอธิบายว่าเรื่องนี้ต้องผ่านการเห็นชอบจาก ส.ส. ในสภา และการเปลี่ยนแปลงก็ต้องค่อยเป็นค่อยไป เริ่มจาก“หลุยส์ เอเลียต” นายกเทศมนตรีเมืองแปร์ปีญอง ซึ่งเป็นพันธมิตรคนสำคัญของ เลอ เพน ให้สัมภาษณ์สถานีวิทยุเฟรนช์ อินเตอร์ว่า การห้ามสวมฮิญาบ เป็นหนึ่งในเครื่องมือทางการเมืองเพื่อต่อสู้กับลัทธิอิสลาม แต่ว่าการเปลี่ยนแปลงจะต้องเกิดขึ้นตามขั้นตอน โดยจะเริ่มต้นจากการห้ามสวมฮิญาบในสถานที่ราชการก่อน แล้วก็ค่อยๆ ขยายไปยังสถานที่อื่นๆ อย่างค่อยเป็นค่อยไป ซึ่งเรื่องนี้จะต้องถูกนำไปถกเถียงกันในรัฐสภาก่อนที่จะมีการลงคะแนนเสียงเพื่อตัดสินใจ พันธมิตรอีกคนของ เลอ เพน คือ“เดวิด ราไคลน์” นายกเทศมนตรีเมืองเฟรจัส อธิบายเรื่องนี้เพื่อช่วยให้นโยบายห้ามสวมฮิญาบฟังดูอ่อนลง โดยบอกว่านโยบายนี้ไม่ได้มุ่งเป้าโจมตีคนมุสลิม เพราะไม่ใช่ว่าคนสวมฮิญาบทุกคนจะเป็นคนหัวรุนแรง อย่างไรก็ตาม…

5 ข้อ Checklist PDPA องค์กรต้องทำอะไรอย่างไรบ้างในการบังคับใช้ PDPA 1 มิ.ย.65

Loading

  แม้จะเหลือเวลาอีกไม่นานก่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในวันที่ 1 มิถุนายน 2565 แต่องค์กรก็สามารถเตรียมตัวให้เป็นไปตามข้อกำหนดให้ทันได้ ในบทความนี้ เราได้สรุปแนวทางและขั้นตอนการปฏิบัติสำหรับองค์กรที่คุณกำพล ศรธนะรัตน์ – Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation แห่งก.ล.ต. และประธานชมรม DPO ได้แนะนำไว้มาให้ผู้อ่านได้ทราบและนำไปดำเนินการในองค์กรได้ทันที เปิด Checklist สิ่งที่องค์กรต้องทำ จากการแนะนำของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สิ่งที่องค์กรต้องเตรียมความพร้อมตามข้อกำหนดของกฎหมาย PDPA นั้นมีด้วยกันทั้งหมด 5 หัวข้อด้วยกัน โดยหลักการในแต่ละข้อมีสาระสำคัญดังนี้ 1. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ซึ่งสามารถเป็นพนักงานภายในหรือภายนอกองค์กรที่ Outsource มาก็ได้ มีหน้าที่ในการดูแลให้องค์กรมีการคุ้มครองและรักษาควมปลอดภัยของข้อมูลตามกฎหมาย และเป็นผู้ประสานงานกับเจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) ซึ่งเป็นหน่วยงานกำกับดูแล 2.จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ที่ระบุถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การนำไปใช้ และการส่งต่อข้อมูลให้กับหน่วยงานอื่นๆ 3.จัดทำ Record…

ทำไม ‘สนธิสัญญาความมั่นคง’ จีน – หมู่เกาะโซโลมอน สร้างเซอร์ไพรส์ ‘สหรัฐ’

Loading

“นายกรัฐมนตรีหมู่เกาะโซโลมอน” ออกโรงปกป้องสนธิสัญญาด้านความมั่นคงที่เพิ่งลงนามไปกับจีนเมื่อเร็วนี้ๆ ท่ามกลางความกังวลจากประเทศเพื่อนบ้านร่วมมหาสมุทรแปซิฟิก ตั้งแต่ออสเตรเลีย ไปจนถึงสหรัฐฯ นายมานาสเซห์ โซกาวาเร นายกรัฐมนตรีหมู่เกาะโซโลมอน กล่าวต่อรัฐสภาว่า ข้อตกลงที่มีต่อรัฐบาลปักกิ่งตอกย้ำถึงความจำเป็น ในการจัดการกับ “สถานการณ์ความมั่นคงภายใน” ของหมู่เกาะโซโลมอน หมู่เกาะโซโลมอนต่อสู้กับความไม่สงบทางการเมืองมาช้านาน โดยเมื่อเดือนพฤศจิกายน 2564 ได้มีเหตุการณ์ผู้ประท้วงรวมกลุ่มกันที่ไชน่าทาวน์ ในเมืองโฮนีอารา หลังจากนั้นเดินเท้าและพยายามบุกเข้าไปในบ้านพักของนายโซกาวาเร ก่อนหน้านี้ มีเหตุการณ์ความรุนแรงอีกหลายครั้ง และยังเกิดรัฐประหารเมื่อปลายทศวรรษที่ 1990 ทำให้ออสเตรเลียส่งเจ้าหน้าที่ช่วยรักษาเสถียรภาพบ้านเมือง ตามคำร้องขอรัฐบาลหมู่เกาะโซโลมอน สนธิสัญญาฯ หายนะ “ออสเตรเลีย – สหรัฐฯ” รัฐบาลแคนเบอร์ราส่งสัญญาณเตือนสนธิสัญญาความมั่นคงดังกล่าว หลังจากร่างเอกสารฯได้หลุดเมื่อเดือน มี.ค.ที่ผ่านมา ขณะที่สหรัฐฯแสดงความกังวลว่า เรื่องนี้อาจส่งผลให้ “จีนตั้งฐานทัพ” ในมหาสมุทรแปซิฟิก มาร์ค แฮร์ริสัน อาจารย์อาวุโสด้านจีนศึกษาของมหาวิทยาลัยแทสเมเนีย บอกกับอัลจาซีราว่า ข้อตกลงนี้ถือเป็น “หายนะ” สำหรับออสเตรเลีย และสหรัฐฯ เพราะมีความสัมพันธ์ตึงเครียดกับรัฐบาลปักกิ่งมานานแล้ว “เรื่องนี้ท้าทายออสเตรเลีย ว่าจะประเมินอนาคตในภูมิภาคต่อไปอย่างไร เพราะจีนกำลังแผ่อิทธิพลในภูมิภาคนี้มากขึ้น” แฮร์ริสัน กล่าว หมู่เกาะโซโลมอน มีประชากรน้อยกว่า 700,000 คน…

สหรัฐหวั่นอาวุธที่ส่งไปช่วยยูเครนหลุดไปอยู่ในมือฝ่ายอื่น

Loading

  แม้แต่สหรัฐฯเองก็สุดจะรู้ว่าเกิดอะไรขึ้นบ้างกับอาวุธมหาศาลที่ส่งไปช่วยยูเครน แหล่งข่าวหลายรายเผยกับ CNN ว่า สหรัฐฯ มีหนทางติดตามอาวุธยุทโธปกรณ์ต่างๆ รวมทั้งขีปนาวุธต่อต้านรถถัง ขีปนาวุธต่อต้านอากาศยาน ที่ส่งไปสนับสนุนยูเครนเพียงไม่กี่วิธี สาเหตุหลักเป็นเพราะสหรัฐฯ ไม่มีทหารอยู่ในยูเครน ขณะที่ระบบอาวุธชิ้นเล็กๆ ที่เคลื่อนย้ายได้ง่ายกำลังหลั่งไหลเข้าไปในยูเครนอย่างต่อเนื่อง แต่มันคือความเสี่ยงที่รัฐบาลไบเดนเต็มใจจะเสี่ยง ในระยะสั้นสหรัฐฯ มองว่าการส่งอาวุธมูลค่าหลายร้อยล้านดอลลาร์สหรัฐสำคัญอย่างยิ่งต่อศักยภาพของยูเครนในการสู้กับการรุกรานของรัสเซีย ทั้งเจ้าหน้าที่สหรัฐฯ และนักวิเคราะห์ด้านกลาโหมมองว่า ความเสี่ยงอยู่ที่ระยะยาว อาวุธเหล่านั้นบางส่วนอาจตกอยู่ในมือของกองทัพและกองกำลังติดอาวุธอื่นๆ ที่สหรัฐฯไม่ได้ตั้งใจจะส่งมอบอาวุธให้ แหล่งข่าวรายหนึ่งที่ได้รับการบรรยายสรุปข่าวกรองของสหรัฐฯ เผยกับ CNN ว่า “เรามีความซื่อสัตย์ในช่วงเวลาสั้นๆ แต่เมื่อเข้าสู่เมฆหมอกแห่งสงคราม เราแทบจะไม่มีเลย มัน (อาวุธ) ตกลงไปในหลุมดำขนาดใหญ่ และไม่นานจากนั้นคุณแทบจะไม่รับรู้เกี่ยวกับมันเลย” CNN ระบุว่า เจ้าหน้าที่กลาโหมรายหนึ่งเผยว่า ในการตัดสินใจที่จะส่งอาวุธและอุปกรณ์มูลค่าหลายพันล้านดอลลาร์ไปยังยูเครน ฝ่ายบริหารของไบเดนได้คำนึงถึงความเสี่ยงที่ในท้ายที่สุดอาวุธบางส่วนอาจไปอยู่ในสถานที่ที่ไม่คาดคิด แต่ขณะนี้ฝ่ายบริหารมองว่าการจัดหาอาวุธให้ยูเครนไม่เพียงพอเป็นความเสี่ยงมากกว่า เนื่องจากกองทัพสหรัฐฯไม่ได้เข้าไปในยูเครน ดังนั้นสหรัฐฯและนาโตจึงต้องพึ่งพาข้อมูลจากรัฐบาลยูเครนเป็นหลัก ซึ่งโดยส่วนตัวแล้วเจ้าหน้าที่หลายคนทราบดีว่า ยูเครนมีแรงจูงใจที่จะให้ข้อมูลเฉพาะที่จะช่วยสนับสนุนให้ได้รับความช่วยเหลือ ได้รับอาวุธมากขึ้น และความช่วยเหลือทางการทูตมากขึ้น เจ้าหน้าที่อีกรายหนึ่งที่เชี่ยวชาญข่าวกรองตะวันตกเผยว่า “มันคือสงคราม ทุกสิ่งที่พวกเขาทำและพูดในที่สาธารณะล้วนมีเป้าหมายเพื่อช่วยให้พวกเขาชนะสงคราม แถลงการณ์ต่อสาธารณทุกฉบับคือปฏิบัติการด้านข้อมูลข่าวสาร ทุกการให้สัมภาษณ์ ทุกการปรากฏตัวออกอากาศของเซเลนสกีคือปฏิบัติการด้านข้อมูลข่าวสาร แต่มันก็ไม่ได้หมายความว่าพวกเขาทำผิดแต่อย่างใด” CNN ระบุว่า ตลอดหลายเดือนที่ผ่านมาเจ้าหน้าที่สหรัฐฯและตะวันตกได้แบ่งปันข้อมูลต่างๆ…