พันคำว่า งานด้านระบบความปลอดภัยของเทคโนโลยีของข้อมูลบนอินเทอร์เน็ต เป็นงานที่ยากๆๆและคิดว่าทั้งหนักและเหนื่อย (แต่ผู้ที่ชำนาญด้านนี้คงได้ค่าตอบแทนคุ้ม :)
พันคำก็ลองอ่านเรื่อง XSS บ้างเนื่องจากโดนรบกวนทางเว็บเล็กๆน้อยๆ คิดว่าเป็นเรื่อง XSS นี้ล่ะ (บทความนี้อ่านค้นอย่างไม่ลึกซึ้ง เพียงพอรู้จักแต่ไม่สมบูรณ์ครับ ท่านที่สนใจก็ต้องหาอ่านต่อ ส่วนท่านที่เชี่ยวชาญก็ให้คำแนะนำเพิ่มเติมด้วยครับ ขอบคุณครับ)
ย่อจาก Cross-site scripting
เป็นจุดอ่อนในระบบความปลอดภัยของคอมพิวเตอร์ที่พบในการใช้โปรแกรมผ่านเว็บไซต์ (web applications) โปรแกรมนั้นจะยอมให้ผู้ไม่ประสงค์ดีป้อนสคริพท์เข้าทางด้านผู้ใช้คอมพิวเตอร์ที่กำลังเปิดหน้าเว็บนั้นอยู่ การโจมตีอาศัยหลักการความปลอดภัยที่ใช้ในภาษาคอมพิวเตอร์บางชนิดเช่น จาวาสคริพท์ ที่จะยอมให้คอมพิวเตอร์อ่านสคริพท์ที่มาจากเว็บไซต์เดียวกัน (same origin policy) ให้สามารถใช้ทุก methods และ properties อย่างไม่จำกัด
ในปีพ.ศ.2550 บริษัท Symantec เคยประมาณว่า XSS อาจมีประมาณ 80 เปอร์เซ็นต์
ผลจาก XSS อาจเป็นเพียงแค่ก่อความรำคาญ จนถึงความเสียงต่อความปลอดภัยข้อมูล ขึ้นกับระดับความสำคัญของข้อมูลที่เก็บ รวมทั้งมาตรการความปลอดภัยที่เจ้าของเว็บไซต์ใช้อยู่
การลดปัญหาจาก XSS
- ใช้การประเมิน การหลบหลีกและการกรองสคริพท์ ประเมินแล้วพบอักขระที่ไม่ดีก็ปัดออกไปหรือใช้หลบหลีกข้อมูลที่ไม่น่าเชื่อถือที่ป้อนเข้ามา
- ระบบความปลอดภัยด้วยคุ้กกี้ (Cookie security) โปรแกรมทางเว็บไซต์อาจใช้ IP address ของผู้ใช้ควบไปกับการใช้คุ้กกี้ จะให้เจ้าของ IP address นั้นเท่านั้นที่ใช้คุ้กกี้ได้ บางบราวเซอร์สามารถตั้งเซิร์ฟเวอร์ให้ไม่มีคุ้กกี้ที่ต้องการสำหรับสคริพท์
- หยุดการอ่านสคริพท์ (Disabling scripts) บราวเซอร์บางชนิดสามารถตั้งคอนฟิกุเรชั่นเพื่อหยุดการอ่านสคริพท์ตามโดเมนที่กำหนด ในบราวเซอร์ไฟร์ฟ็อกซ์มีโปรแกรม (Extensions) ที่เลือกติดตั้งเพิ่มเติมเพื่อเลือกเปิดปิดการอ่านสคริพท์
รายละเอียดเพิ่มเติม รวมประวัติ และมีลิงค์จุดอ่อนของคอมพิวเตอร์ที่ ที่ http://en.wikipedia.org/wiki/Cross-site_scripting
ขอบคุณครับ คุณบุษรา