ชื่อบันทึกนี้ดูเหมือนจะไม่สร้างสรรค์ ทั้งๆที่มามากมุมมองที่สร้างสรรค์ เพื่อป้องกันไว้ดีกว่า วัวหายแล้วมาล้อมคอก เพื่อจะได้หาแนวทางในการหยุดพฤติกรรมในทางบ่อนทำลายต่อไป
นายบอนได้ไหว้วานให้เพื่อนๆได้ช่วยดูว่า คุณสมบัติใหม่ๆใน gotoknow v.2 มีจุดไหนที่จะเป็นถูกนำไปใช้ในทางที่ไม่สร้างสรรค์ได้บ้าง ในมุมมองของผู้ใช้งาน
รวบรวมประเด็นได้ตามลำดับดังนี้ครับ
1) ไฟล์อัลบั้ม หรือตู้เก็บไฟล์ สามารถนำมาใช้เก็บรูปภาพ หรือไฟล์ละเมิดลิขสิทธิ์ได้ โดยที่ผู้ดูแลระบบตรวจไม่พบ
2) เมื่อเพิ่มรูปหรือไฟล์ใหม่เข้าไป แล้ว จะมีการนำไปแสดงในไฟล์ล่าสุด เพียงแค่เลือกการซ่อนไฟล์ ก็สามารถหลบเลี่ยงการถูกผู้อื่นพบเห็นในไฟล์ล่าสุดได้แล้ว
3) ทิ้งช่วงให้เวลาผ่านไปสักพัก ให้หลายคนทำการเพิ่มไฟล์เข้าไป ให้ไฟล์ใหม่แสดงในส่วน แสดงไฟล์ล่าสุดหลายๆไฟล์ ผู้ประสงค์ร้ายก็เข้าไปเลือก ไม่ต้องซ่อนไฟล์ จะสามารถใช้ ลิงค์ที่อยู่ของไฟล์ไปทำตามความประสงค์ร้ายได้ทันที
4) เนื่องจากผู้บริหารระบบ ผู้ดูแลระบบมีน้อย ไม่สามารถตรวจสอบได้ทั้งหมด หากไม่มีอะไรที่ผิดสังเกต หรือ หากไม่มีการใช้ทรัพยากรของระบบมากเกินไป
5) เปิดบล็อกหลายๆบล็อก เพื่อการอำพราง เช่น เปิดบล็อก 4 บล็อก เขียนบันทึกเหมือนคนอื่นๆ และเปิดอีก 1 บล็อก เพื่อใช้ตามความประสงค์ในทางบ่อนทำลาย
6) เมื่อระบบ gotoknow ย้ายเข้ามาในไทย ทำให้การใช้งานสะดวก รวดเร็วมากขึ้น ตลอด 24 ชั่วโมง ยิ่งมีการเชื่อมโยงระหว่าง gotoknow กับเวบไซต์ยอดนิยมของไทย เช่น sanook.com ทำให้ผู้ที่ค้นพบสามารถเข้ามาลงทะเบียนและทดลองใช้ได้เพิ่มขึ้น จำนวนผู้ใช้เพิ่มขึ้น ผู้ที่ต้องการใช้ในทางบ่อนทำลาย สามารถเข้ามาเปิดบล็อกได้อย่างสะดวก และสามารถลงทะเบียนไว้หลายๆชื่อ ด้วยฟรีอีเมล์หลายๆที่ เมื่อบล็อกใหม่ๆมีจำนวนมาก จำนวนสมาชิกมีจำนวนมาก ก็ยากที่จะตรวจสอบ
7) จากข้อ 6) สามารถหลบหลีกการตรวจสอบของผู้ดูแลระบบได้ โดยวางแผนใช้แต่ละบล็อก หมุนเวียนกันไป เช่น ลงทะเบียนเป็นสมาชิกไว้ 5 ชื่อ เปิดบล็อกไว้ ชื่อละ 2 บล็อก ก็มีบล็อกอยู่ในมือแล้ว 10 บล็อก เข้ามาใช้ทรัพยากรของระบบ หมุนเวียนกันไป ตามวันทั้ง 7 วัน เพื่อหลบหลีกการตรวจสอบของผู้ดูแลระบบได้อย่างไม่ผิดสังเกต
8) กรณีจะใช้บล็อก เพื่อความประสงค์ร้าย เช่น การโจมตีฝ่ายตรงข้าม เผยแพร่ข้อมูลโจมตีคู่แข่ง ข้อมูลโจมตีกันทางการเมือง การเผยแพร่ภาพที่ไม่เหมาะสม คลิปวิดีโอ ฯลฯ ก็สามารถเข้ามาเพิ่มบันทึกแล้ว ซ่อนไว้ก่อน รอเวลาสักนิด แล้วเลิกซ่อน copy ที่อยู่ลิงค์ไปเผยแพร่ทางอีเมล์ กระดานข่าว เวบอื่นๆ ที่มีกลุ่มเป้าหมายที่ต้องการสื่อสารไปถึง
9) มีระบบสถิติ แสดงสถิติของหน้าเพจนี้ ทุกหน้า อย่างละเอียด ใช้วัดจำนวนผู้เข้าชม แหล่งที่มาได้อย่างดี ผู้ประสงค์ร้ายสามารถใช้ตรวจสอบได้ว่า สิ่งที่เผยแพร่ออกไปยังกลุ่มเป้าหมาย มีผู้เข้ามาเปิดดูมากน้อยแค่ไหน รูปแบบไหนที่เป็นที่สนใจมาก และกลุ่มเป้าหมายจากเวบใด ที่สนใจติดตาเนื้อหานั้น มากน้อยเพียงใด..
แล้วจะปิดช่องโหว่ หยุดพฤติกรรมการบ่อนทำลายได้อย่างไรบ้าง
เมื่อเพื่อนของนายบอนเสนอมุมมองนี้ออกมา ก็ขอมุมมองในการป้องกันบ้าง ดังนี้ครับ
ข้อ 1) 2) 3) สมควรกำหนดไว้เลยว่า จะให้ upload ขนาดไฟล์ได้ไม่เกินครั้งละกี่ byte และมีชนิดของไฟล์ประเภทไดบ้างที่สามารถ Upload เข้าไปได้ ระบุเอาไว้ให้ชัดเจนเลย เช่น .zip .rar. pdf. Ppt. .doc .xls jpg. Gif. นอกจากนั้น ระบบไม่ยอมรับ อาจจะมีระบบการสแกนไวรัสเมื่อจะ upload ไฟล์ไว้ เพราะไม่อยากให้ gotoknow เป็นแหล่งแพร่ไวรัสใน internet
4) เมื่อมีการอบรมการใช้บล็อกแล้ว น่าจะมีการอบรม ให้คำแนะนำ การเป็นผู้ช่วยดูแลระบบอย่างง่ายๆกันบ้าง เช่นการดูแลระบบในมุมมองของผู้ใช้ สามารถทำอย่างไรได้บ้าง หลายคนย่อมดีกว่าดูแลเพียงไม่กี่คน
5) – 8) การเข้ามาลงทะเบียนไว้ เพื่อการเรียนรู้ หรือทดลองใช้ แล้วไม่ได้เขียนบันทึก หรือเปิดบล็อกอะไรไว้เลย น่าจะมีการช่วยกันดูแล เช่น ผ่านไปแล้ว 3 เดือน ไม่มีการใช้งาน หรือเข้าสู่ระบบ อาจจะส่งเมล์ไปสอบถามว่า ต้องการใช้งาน gotoknow หรือไม่ หากประสงค์จะใช้งาน กรุณาเข้าระบบ แล้วเพิ่มบันทึกอย่างน้อย 1 เรื่อง หากไม่ดำเนินการใดๆ ภายใน 1 สัปดาห์ แสดงว่า ไม่ประสงค์จะใช้งาน ผู้ดูแลระบบจะดำเนินการลบข้อมูลการลงทะเบียนของท่านออกจากระบบทันที แต่ท่านสามารถเข้ามาสมัครเป็นสมาชิกใหม่ได้ตลอดเวลา
9) ระบบสถิติ ไม่ทราบว่า จำเป็นหรือไม่ที่จะต้องเก็บข้อมูลที่ละเอียดถึงเพียงนั้น ซึ่งละเอียดถึงว่า ผ็ชมเข้ามาจากเวบใดบ้าง วันเวลาใด ในบล็อกที่มีบันทึกหลายสิบ หลายร้อยบันทึก เจ้าของบล็อกเข้ามาเปิดดูสถิติดูทุกบันทึกหรือไม่ จุดประสงค์หลักของการเปิดดู gotoknow ในแต่ละวัน อยู่ที่การดูสถิติหรือว่า การอ่านบันทึก การแสดงสถิติเฉพาะจำนวนครั้งผู้อ่านน่าจะดีกว่า และน่าจะทำให้ฐานข้อมูลที่เก็บไว้ กระชับมากขึ้น โหลดข้อมูลเร็วขึ้น
ก็เป็นอีกมุมมองที่แตกต่างครับ นายบอนเลยรวบรวมมาบันทึกไว้ เผื่อจะเป็นประโยชน์กับทีมพัฒนาระบบบ้างนะครับ
ขอบคุณมากครับสำหรับข้อมูลและคำแนะนำครับ เราจะพยายามเพิ่มเติมส่วนในการป้องกันใช้ทรัพยากรในรูปแบบที่ไม่สร้างสรรค์ครับ
เรื่องการ upload นั้น ตอนนี้เรากำหนดไว้ให้ไม่เกิน 1MB แต่เรายังไม่ได้ scan virus และกำหนดประเภทของไฟล์ครับ
สิ่งเหล่านี้เราจะเพิ่มเติมทันทีเมื่อมีโอกาสครับ
ถ้ามีคำแนะนำใหม่ๆ กรุณาเขียนอีกนะครับ ช่วยกันเป็นหูเป็นตากันหลายๆ คนย่อมดีกว่าน้อยคนแน่นอน โดยเฉพาะสำหรับทรัพยากรที่เป็นส่วนกลางเช่น GotoKnow.org เช่นนี้ครับ
ผมมองว่าเป็นบันทึกหนึ่งที่มีคุณภาพเลยครับ และเชื่อว่าสื่อออกมาให้ผมคนที่ไม่ค่อยเข้าใจการพัฒนาเชิงระบบ IT ได้มองเห็นภาพเลยครับ ขอบคุณนายบอน! มากครับผม
การออกแบบระบบนี้เป็นระบบที่ค่อนข้างมองโลกในแง่ดีคะ โดยดูจากความต้องการของกลุ่มผู้ใช้เพื่อการจัดการความรู้เป็นหลัก
เช่น เราอนุญาตให้นำไฟล์อะไรก็ได้ขึ้นมาใส่ ไม่ว่าจะเป็น powerpoint, pdf, word เป็นต้น เรายังไม่ได้ติด virus scan ไฟล์ จนกว่าจะได้เครื่องใหม่ที่มีประสิทธิภาพดีพอ เพราะ การกระทำนี้อาจจะกิน resource เยอะคะ ดังนั้น ก็อยู่ที่จรรยาบรรณของผู้ใส่ไฟล์เป็นหลักคะ
ส่วนเรื่องการให้ซ่อนไฟล์ หรือ ปัจจุบันเปลี่ยนคำเป็น "ไม่แสดงต่อผู้อื่น" เราก็มีเจตนาดีคะ เช่น บางท่านอาจยังไม่พร้อมที่จะ share ไฟล์นั้น เช่น word ยังพิมพ์ไม่เสร็จ Powerpoint ก็ยังตกแต่งไม่ดี เป็นต้นคะ แต่ก็อยากวางไว้ในระบบ เพื่อจะได้เปิดได้ทุกทีคะ จริงๆ แล้ว ยังคิดอยู่ว่า คุณสมบัตินี้จำเป็นหรือไม่ ถ้าไม่จำเป็น ก็สามารถเอาออกได้นะค่ะ