ทำไมเว็บไซต์ยื่นขอวีซ่าสหรัฐฯ จึงสแกนพอร์ตเครือข่ายของฉัน?
(news.ycombinator.com)- เว็บไซต์ ยื่นขอวีซ่าสหรัฐฯ พยายามทำ การสแกนพอร์ตเครือข่าย ของผู้ใช้
- ผู้ใช้บางรายสังเกตเห็นทราฟฟิกเครือข่ายที่ไม่คาดคิดขณะเข้าใช้งานเว็บไซต์
- เกิดข้อถกเถียงเกี่ยวกับจุดประสงค์ของพฤติกรรมการสแกนพอร์ตดังกล่าวและประเด็น ความปลอดภัย
- บางคนคาดว่าอาจเป็นขั้นตอนสำหรับการตรวจสอบด้านความปลอดภัย
- ความกังวลเกี่ยวกับความเป็นส่วนตัวและ การเข้าถึงเครือข่ายที่มากเกินควร กำลังขยายวงกว้าง
ประเด็นถกเถียงเรื่องการสแกนพอร์ตเครือข่ายของเว็บไซต์ยื่นขอวีซ่าสหรัฐฯ
ผู้ใช้หลายรายที่เข้าเว็บไซต์ยื่นขอวีซ่าสหรัฐฯ พบว่าเว็บไซต์ดังกล่าวพยายามทำ การสแกนพอร์ต ต่อเครือข่ายของผู้ใช้ ส่งผลให้ผู้ใช้ตรวจพบผ่านบันทึกล็อกและวิธีอื่น ๆ ว่าเกิดทราฟฟิกเครือข่ายที่แตกต่างจากปกติขณะเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์
คำถามสำคัญ
- ไม่มีคำชี้แจงที่ชัดเจนว่าความพยายามสแกนพอร์ตนี้เป็น ขั้นตอนการตรวจสอบ เพื่อเสริมความปลอดภัย หรือมีจุดประสงค์อื่น
- ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าวิธีนี้อาจเป็นการตรวจสอบล่วงหน้าเพื่อคัดกรองบอตอันตราย พร็อกซีเซิร์ฟเวอร์ หรือผู้ใช้ VPN
- อย่างไรก็ตาม ได้เกิดข้อถกเถียงแพร่หลายว่าการ เข้าถึงพอร์ตเครือข่ายโดยไม่ได้รับความยินยอมล่วงหน้า บนเว็บไซต์สาธารณะที่ต้องกรอกข้อมูลส่วนบุคคลที่ละเอียดอ่อนนั้น ขัดต่อหลักการคุ้มครองข้อมูลส่วนบุคคลหรือไม่
ปฏิกิริยาจากชุมชนและความกังวล
- ผู้ใช้ทั่วไปแสดงความไม่สบายใจต่อ การเข้าถึงเครือข่ายที่ไม่ได้ตั้งใจ
- เนื่องจากการสแกนพอร์ตมีลักษณะคล้ายพฤติกรรมที่เป็นอันตราย จึงมีการตั้งคำถามต่อความน่าเชื่อถือของเว็บไซต์
- บางส่วนมองว่าประเด็นนี้ยิ่งเป็นข้อถกเถียงมากขึ้น เพราะเกิดขึ้นบนเว็บไซต์ทางการของรัฐบาลสหรัฐฯ
ประเด็นด้านความปลอดภัยและความเป็นส่วนตัว
- การสำรวจพอร์ตเครือข่ายที่ดำเนินการโดยไม่มีสิทธิ์จากผู้ใช้อาจเข้าข่าย การละเมิดสิทธิ์เกินขอบเขต
- จำเป็นต้องมีการถกเถียงถึง ประสิทธิผลทางเทคนิค ว่าวิธีนี้ช่วยด้านความปลอดภัยได้จริงหรือไม่
- มีการชี้ให้เห็นถึงปัญหาการขาดแนวทางที่เกี่ยวข้องและขั้นตอนขอความยินยอมจากผู้ใช้ที่ไม่เพียงพอ
บทสรุปและนัยสำคัญ
กรณีนี้สะท้อนว่าเมื่อ เว็บไซต์ของหน่วยงานภาครัฐ นำแนวทางทางเทคนิคใหม่มาใช้เพื่อวัตถุประสงค์ด้านความปลอดภัย ก็จำเป็นต้องหาจุด สมดุล ระหว่างการคุ้มครองความเป็นส่วนตัวกับความปลอดภัยทางเทคนิค อีกทั้งการให้ข้อมูลที่ชัดเจนแก่ผู้ใช้และการสร้าง ความโปร่งใส ยังเป็นโจทย์สำคัญในอนาคต
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
/TSPDโหลดสคริปต์ที่ถูกทำให้อ่านยาก และนี่เป็นองค์ประกอบเฉพาะของ F5)https://www.f5.com/
https://github.com/uBlockOrigin/uAssets/issues/4318
jsออกไป เลยสงสัยว่าเวอร์ชัน lite ยังมีฟีเจอร์นี้อยู่ไหมhttps://github.com/WICG/private-network-access
) และกำลังเปลี่ยนไปใช้การขอความยินยอมจากผู้ใช้(
https://github.com/WICG/local-network-access
) มีข้อถกเถียงว่า PNA ถูกปล่อยใช้งานจริงแล้วหรือยัง แต่ผมเคยเจอกับ Chrome รุ่น stable เมื่อหลายปีก่อน เลยไม่แน่ใจสถานะล่าสุด Firefox ไม่รองรับการเข้าถึงแบบนี้ เดาว่าเพราะทรัพยากรฝั่งพัฒนาไม่พอ
yimg.comเองด้วยมือ เลยทำให้พอร์ตสแกน/การทำโปรไฟล์แบบนี้ใช้ไม่ได้ ตอนแรกใช้งานลำบากมาก แต่พอค่อย ๆ สะสม whitelist หลายเดือนเข้า ปัจจุบันครอบคลุมประมาณ 90% ของเว็บที่เข้า บนระบบของผมceac.state.gov/genniv/พยายามเชื่อมต่อไปยังcaptcha.com, Google Analytics, Tag Manager,127.0.0.1, และburp(ชื่อโฮสต์ภายในที่ไม่มีอยู่ในเครือข่ายผม) ที่น่าสนใจคือในคอนโซลของเบราว์เซอร์กลับแทบไม่เห็นความพยายามไปที่localhostหรือburpเลย หลังจากอนุญาต127.0.0.1แล้วใช้tcpdumpดู ก็พบทราฟฟิกที่พยายามเชื่อมต่อพอร์ต 8888 (แต่พอร์ตนั้นไม่ได้เปิดอยู่)yokoffing/filterlistsและลิสต์ตามภูมิภาค/ภาษาhttps://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
127.0.0.1จากแท็บเครือข่ายได้อย่างไรburpที่จริงก็คือ Burp Suite ตามที่กล่าวถึงในhttps://portswigger.net/burp/documentation/desktop/tools/proxy
ดูเหมือนตั้งใจจะทำให้การวิเคราะห์เว็บไซต์ยากขึ้น
https://g666gle.me/
เป็นโฮมเพจ ทั้งที่เป็นโดเมนที่ไม่มีอยู่จริง ต่อให้ส่วนขยายดูน่าสนใจแค่ไหนผมก็จะไม่ติดตั้งเด็ดขาด
127.0.0.1:8888เท่านั้น ยังไม่รู้แน่ชัดว่าใช้ทำอะไร แต่เว็บไซต์ของภาครัฐมักใช้วิธีนี้เพื่อสื่อสารกับซอฟต์แวร์เนทีฟสำหรับเซ็นเอกสารอิเล็กทรอนิกส์ สงสัยว่ามีการพยายามเชื่อมต่อไปยัง IP อื่นด้วยหรือไม่localhostมาจากสภาพแวดล้อมพัฒนาแทนที่จะเป็นโฮสต์ภายนอกจริง ๆ เป็นไปได้ว่าพวกเขาใช้พอร์ต 8888 เป็นเซิร์ฟเวอร์พัฒนาในเครื่อง ซึ่งก็ไม่ได้น่าแปลกใจนักhttps://news.ycombinator.com/item?id=44169115
https://news.ycombinator.com/item?id=44175940
localhostแล้วแลกเปลี่ยนข้อมูลติดตามที่ถูกบล็อกโดยการป้องกันของเบราว์เซอร์ผ่านเซิร์ฟเวอร์ในเครื่อง ที่จริงก็ยังถือเป็น fingerprinting แต่เป็นการใช้งานในแบบสุดโต่งที่สุดhttps://news.ycombinator.com/item?id=44169115
https://files.catbox.moe/g1bejn.png
เลยสงสัยว่าพอร์ต 8888 มักถูกใช้กับบริการอะไรโดยเฉพาะหรือไม่
localhostก็มีโอกาสถูกนำไปใช้ขโมยข้อมูลได้เช่นกันhttps://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe