2 คะแนน โดย GN⁺ 2025-08-21 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เว็บไซต์ ยื่นขอวีซ่าสหรัฐฯ พยายามทำ การสแกนพอร์ตเครือข่าย ของผู้ใช้
  • ผู้ใช้บางรายสังเกตเห็นทราฟฟิกเครือข่ายที่ไม่คาดคิดขณะเข้าใช้งานเว็บไซต์
  • เกิดข้อถกเถียงเกี่ยวกับจุดประสงค์ของพฤติกรรมการสแกนพอร์ตดังกล่าวและประเด็น ความปลอดภัย
  • บางคนคาดว่าอาจเป็นขั้นตอนสำหรับการตรวจสอบด้านความปลอดภัย
  • ความกังวลเกี่ยวกับความเป็นส่วนตัวและ การเข้าถึงเครือข่ายที่มากเกินควร กำลังขยายวงกว้าง

ประเด็นถกเถียงเรื่องการสแกนพอร์ตเครือข่ายของเว็บไซต์ยื่นขอวีซ่าสหรัฐฯ

ผู้ใช้หลายรายที่เข้าเว็บไซต์ยื่นขอวีซ่าสหรัฐฯ พบว่าเว็บไซต์ดังกล่าวพยายามทำ การสแกนพอร์ต ต่อเครือข่ายของผู้ใช้ ส่งผลให้ผู้ใช้ตรวจพบผ่านบันทึกล็อกและวิธีอื่น ๆ ว่าเกิดทราฟฟิกเครือข่ายที่แตกต่างจากปกติขณะเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์

คำถามสำคัญ

  • ไม่มีคำชี้แจงที่ชัดเจนว่าความพยายามสแกนพอร์ตนี้เป็น ขั้นตอนการตรวจสอบ เพื่อเสริมความปลอดภัย หรือมีจุดประสงค์อื่น
  • ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าวิธีนี้อาจเป็นการตรวจสอบล่วงหน้าเพื่อคัดกรองบอตอันตราย พร็อกซีเซิร์ฟเวอร์ หรือผู้ใช้ VPN
  • อย่างไรก็ตาม ได้เกิดข้อถกเถียงแพร่หลายว่าการ เข้าถึงพอร์ตเครือข่ายโดยไม่ได้รับความยินยอมล่วงหน้า บนเว็บไซต์สาธารณะที่ต้องกรอกข้อมูลส่วนบุคคลที่ละเอียดอ่อนนั้น ขัดต่อหลักการคุ้มครองข้อมูลส่วนบุคคลหรือไม่

ปฏิกิริยาจากชุมชนและความกังวล

  • ผู้ใช้ทั่วไปแสดงความไม่สบายใจต่อ การเข้าถึงเครือข่ายที่ไม่ได้ตั้งใจ
  • เนื่องจากการสแกนพอร์ตมีลักษณะคล้ายพฤติกรรมที่เป็นอันตราย จึงมีการตั้งคำถามต่อความน่าเชื่อถือของเว็บไซต์
  • บางส่วนมองว่าประเด็นนี้ยิ่งเป็นข้อถกเถียงมากขึ้น เพราะเกิดขึ้นบนเว็บไซต์ทางการของรัฐบาลสหรัฐฯ

ประเด็นด้านความปลอดภัยและความเป็นส่วนตัว

  • การสำรวจพอร์ตเครือข่ายที่ดำเนินการโดยไม่มีสิทธิ์จากผู้ใช้อาจเข้าข่าย การละเมิดสิทธิ์เกินขอบเขต
  • จำเป็นต้องมีการถกเถียงถึง ประสิทธิผลทางเทคนิค ว่าวิธีนี้ช่วยด้านความปลอดภัยได้จริงหรือไม่
  • มีการชี้ให้เห็นถึงปัญหาการขาดแนวทางที่เกี่ยวข้องและขั้นตอนขอความยินยอมจากผู้ใช้ที่ไม่เพียงพอ

บทสรุปและนัยสำคัญ

กรณีนี้สะท้อนว่าเมื่อ เว็บไซต์ของหน่วยงานภาครัฐ นำแนวทางทางเทคนิคใหม่มาใช้เพื่อวัตถุประสงค์ด้านความปลอดภัย ก็จำเป็นต้องหาจุด สมดุล ระหว่างการคุ้มครองความเป็นส่วนตัวกับความปลอดภัยทางเทคนิค อีกทั้งการให้ข้อมูลที่ชัดเจนแก่ผู้ใช้และการสร้าง ความโปร่งใส ยังเป็นโจทย์สำคัญในอนาคต

1 ความคิดเห็น

 
GN⁺ 2025-08-21
ความคิดเห็นจาก Hacker News
  • ในกระบวนการยื่นขอวีซ่ามีมิจฉาชีพอยู่เต็มไปหมด ตั้งแต่เว็บไซต์ที่แค่คิดเงินแพงเป็นสองเท่า ไปจนถึงเว็บไซต์ที่หลอกผู้สมัครว่าถูกปฏิเสธแล้วทำเอกสารปลอมในนามผู้สมัครให้ ดังนั้นดูเหมือนว่าระบบวีซ่ากำลังพยายามตรวจสอบว่าผู้ใช้เป็นคนจริง หรือเป็นพวกมิจฉาชีพที่ใช้รีเลย์เซิร์ฟเวอร์หรือช่องทาง C2
    • สำหรับเว็บไซต์ที่แย่มากแบบนี้ การป้องกันลักษณะนี้ถือว่าเป็นแนวทางที่ฉลาดพอสมควร คู่ของผมเป็นพลเมืองตุรกีและเพิ่งยื่นขอวีซ่าไป ไม่นานมานี้กรอกข้อมูลอย่างละเอียดนานกว่า 30 นาทีแต่เซสชันหมดอายุทำให้ข้อมูลหายหมด ถ้าไม่ได้สร้างบัญชีไว้หรือไม่ได้จด ID ใบสมัครปัจจุบันไว้ก็แทบหมดทางกู้ ระหว่างทางยังถูกรีไดเรกต์ไปยังเว็บน่าสงสัยที่ไม่ใช่ .gov ด้วย ตอนแรกคิดว่าเป็นเว็บหลอกลวงแต่จริง ๆ ไม่ใช่ เลยเข้าใจได้ว่าทำไมถึงมีบริการเสียเงินที่พยายามทำให้กระบวนการฝันร้ายนี้ง่ายขึ้นอีกนิด การยื่นเอกสารที่เกี่ยวข้องส่วนใหญ่จัดการโดย VFS Global แต่บริษัทนี้เองก็มีปัญหาเยอะ ทำหน้าที่แค่ตัวกลางตามพิธีการโดยแทบไม่ได้ช่วยอะไรจริง ๆ ไม่นานมานี้ EU เพิ่งทำให้ขั้นตอนยื่นขอวีซ่า Schengen สำหรับพลเมืองตุรกีง่ายขึ้น เหตุผลคือเอเจนซี่ทางการที่รับทำวีซ่ากลับโกงเสียเองด้วยการเอาช่วงเวลาจองที่ “ดี” ไปขายในตลาดมืด ทั้งสหรัฐและ EU ต่างก็มีปัญหาเวลารอนานจนผู้คนพลาดโอกาสสำคัญ เช่น ทุนการศึกษา ยิ่งมีปัญหายิบย่อยแต่ซับซ้อนอย่างการแปลงตัวอักษรหรือ encoding ซ้อนอยู่อีก เลยคิดว่าถ้ามีอะไรอย่าง AI agent ที่ช่วยได้จริง ตลาดนี้อาจมีโอกาสอยู่
    • ระบบวีซ่าของอินเดียก็คล้ายกัน เว็บไซต์ .gov.in อย่างเป็นทางการหาเจอยาก และวีซ่าก็ออกง่าย ๆ ราคาประมาณ 10 ดอลลาร์ แต่เว็บหลอกลวงที่เก่งแค่ SEO ขายของแบบเดียวกันในราคา 80 ดอลลาร์ โดยแค่ส่งคำขอจริงต่อไปยังเว็บไซต์ทางการแล้วกินส่วนต่าง ถ้ารัฐบาลอินเดียจะจัดการมิจฉาชีพพวกนี้ก็คงดี แต่ดูเหมือนไม่ใช่เรื่องเร่งด่วนในตอนนี้
    • ผมไม่ค่อยถนัดด้านเครือข่าย เลยสงสัยว่าการสแกนพอร์ตจะใช้ตรวจจับว่าเป็นมิจฉาชีพได้อย่างไร
    • นึกภาพไม่ค่อยออกว่าวิธีนั้นจะทำได้จริงอย่างไร ถ้า “การสแกน” แบบนี้รันด้วย JavaScript ฝั่งไคลเอนต์ ต่อให้ส่งไฟล์ผ่านพร็อกซีก็ไม่น่าจะตรวจจับอะไรเกี่ยวกับพร็อกซีได้
  • ฟีเจอร์นี้มาจากสคริปต์ของ F5 และ F5 เป็นบริษัทที่ขายโซลูชันความปลอดภัยแบบ anti-bot (/TSPD โหลดสคริปต์ที่ถูกทำให้อ่านยาก และนี่เป็นองค์ประกอบเฉพาะของ F5)
    https://www.f5.com/
    • TS ดูเหมือนจะย่อมาจาก TrafficShield ซึ่ง F5 เคยซื้อกิจการไว้ และ PD ก็น่าจะย่อมาจาก Proactive Defense
  • เพิ่งรู้ไม่นานมานี้ว่า uBlock Origin มีลิสต์เริ่มต้นชื่อ "Block Outsider Intrusion into LAN" ข้อมูลนี้มีประโยชน์มาก
    • พอไปดูคำขอฟีเจอร์ใน GitHub ก็ยิ่งสงสัยว่าทำไมถึงต้องมีฟีเจอร์แบบนี้ ไม่ค่อยเข้าใจว่าทำไมเบราว์เซอร์ถึงเปิดให้เข้าถึงเครือข่ายท้องถิ่นได้หรือควรเปิดให้ได้ เคยเห็นคำขอลักษณะนี้บ้างเวลามีการเข้าถึงสิ่งที่ผูกกับซ็อกเก็ต เช่นทราฟฟิก mDNS เลยพอนึกความเป็นไปได้ออก
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • แค่การที่อนุญาตให้เข้าถึงแบบนี้ได้ก็ทำให้ตกใจมาก อยากรู้จริง ๆ ว่าทำไมถึงมีแนวคิดว่าเว็บไซต์ทุกเว็บที่เราเข้าเยี่ยมชมควรเข้าถึงเครือข่ายท้องถิ่นของเราได้
    • ตอนนี้ uBlock Origin ค่อย ๆ ตัดฟังก์ชัน js ออกไป เลยสงสัยว่าเวอร์ชัน lite ยังมีฟีเจอร์นี้อยู่ไหม
    • พอเปิดตัวเลือกนี้แล้วระดับความปลอดภัยของผมดีขึ้นมาก ขอบคุณทุกคน
    • ผมเองก็ไม่รู้ว่ามีฟีเจอร์นี้ แต่บนแล็ปท็อปกับเบราว์เซอร์มือถือของผมมันถูกเปิดไว้อยู่แล้ว
  • ไม่เข้าใจว่าเบราว์เซอร์ยอมให้ทำแบบนี้ได้อย่างไร และทำไมไม่ขอความยินยอมจากผู้ใช้เหมือนสิทธิ์เข้าถึงไมโครโฟน การที่เว็บไซต์อะไรก็ได้สามารถสแกนพอร์ตใน LAN ของผมได้มันอันตรายเกินรับได้ รู้สึกว่าสิ่งนี้ควรถูกนับเป็นช่องโหว่ด้านความปลอดภัยมากกว่าจะเรียกว่า “ฟีเจอร์”
    • ใน Chrome ไม่ได้เปิดให้เข้าถึงแบบนี้ บริการบนเครือข่ายท้องถิ่นต้อง opt-in ก่อนจึงจะให้เว็บไซต์ภายนอกเข้าถึงได้(
      https://github.com/WICG/private-network-access
      ) และกำลังเปลี่ยนไปใช้การขอความยินยอมจากผู้ใช้(
      https://github.com/WICG/local-network-access
      ) มีข้อถกเถียงว่า PNA ถูกปล่อยใช้งานจริงแล้วหรือยัง แต่ผมเคยเจอกับ Chrome รุ่น stable เมื่อหลายปีก่อน เลยไม่แน่ใจสถานะล่าสุด Firefox ไม่รองรับการเข้าถึงแบบนี้ เดาว่าเพราะทรัพยากรฝั่งพัฒนาไม่พอ
  • ผมใช้ uMatrix อยู่ ซึ่งโดยค่าเริ่มต้นจะบล็อกการเชื่อมต่อทั้งหมดนอกจากไซต์ที่กำลังเปิดและโดเมนหลักของมัน เช่น ถ้าเข้า mail.yahoo.com ก็ต้องอนุญาต yimg.com เองด้วยมือ เลยทำให้พอร์ตสแกน/การทำโปรไฟล์แบบนี้ใช้ไม่ได้ ตอนแรกใช้งานลำบากมาก แต่พอค่อย ๆ สะสม whitelist หลายเดือนเข้า ปัจจุบันครอบคลุมประมาณ 90% ของเว็บที่เข้า บนระบบของผม ceac.state.gov/genniv/ พยายามเชื่อมต่อไปยัง captcha.com, Google Analytics, Tag Manager, 127.0.0.1, และ burp (ชื่อโฮสต์ภายในที่ไม่มีอยู่ในเครือข่ายผม) ที่น่าสนใจคือในคอนโซลของเบราว์เซอร์กลับแทบไม่เห็นความพยายามไปที่ localhost หรือ burp เลย หลังจากอนุญาต 127.0.0.1 แล้วใช้ tcpdump ดู ก็พบทราฟฟิกที่พยายามเชื่อมต่อพอร์ต 8888 (แต่พอร์ตนั้นไม่ได้เปิดอยู่)
    • สงสัยว่า uMatrix บล็อก Facebook tracking pixel หรือของทดแทนใหม่อย่าง Conversions API Gateway ได้หรือไม่ Conversions API Gateway คือการโฮสต์คอนเทนเนอร์ไว้ใต้โดเมนของตัวเองได้เลย (รวมถึงโดเมนหลัก) แล้วส่งข้อมูลผู้ใช้ไปให้ Facebook ทางฝั่งเซิร์ฟเวอร์ แค่แทรก JS ก็ส่งข้อมูลทั้งหมดออกไปได้
    • ตอนนี้ uMatrix ถูกเก็บเข้าคลังแล้ว (ยุติการสนับสนุน) ปัจจุบันแนะนำให้ใช้ uBlockOrigin โดยเปิดการตั้งค่าขั้นสูงแทน (โครงสร้างนี้ดูดซับความสามารถของ uMatrix ไปแล้ว) ถ้าอยากบล็อกให้เข้มกว่านั้น แนะนำให้ตั้งเป็น hard mode แล้วใช้คีย์ลัดสลับไปโหมด relax blocking ด้วย และควรใช้ filter list ด้วย โดยเฉพาะ yokoffing/filterlists และลิสต์ตามภูมิภาค/ภาษา
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • ดูเหมือนเจตนาคือเช็กว่า Burp Suite เชื่อมต่อกับเว็บแอปอยู่หรือไม่
    • สงสัยว่าพวกเขาซ่อนคำขอไปยัง 127.0.0.1 จากแท็บเครือข่ายได้อย่างไร
    • burp ที่จริงก็คือ Burp Suite ตามที่กล่าวถึงใน
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      ดูเหมือนตั้งใจจะทำให้การวิเคราะห์เว็บไซต์ยากขึ้น
  • ส่วนขยายบางตัวขอสิทธิ์ “เข้าถึงข้อมูลของทุกเว็บไซต์” ถ้าไม่ใช่บริษัทดังหรือผู้พัฒนาที่น่าเชื่อถือ ผมไม่เข้าใจเลยว่าจะยอมให้สิทธิ์แบบนั้นไปทำไม โดยเฉพาะส่วนขยายชื่อ "Hacks and Hops" ที่ใช้
    https://g666gle.me/
    เป็นโฮมเพจ ทั้งที่เป็นโดเมนที่ไม่มีอยู่จริง ต่อให้ส่วนขยายดูน่าสนใจแค่ไหนผมก็จะไม่ติดตั้งเด็ดขาด
    • ความย้อนแย้งแบบนี้แทบเป็นเรื่องปกติในฟอรัมอย่าง HN คนที่ติดตั้งส่วนขยายแบบนี้นี่เหมือนสติไม่ดีเลย หมกมุ่นกับภาพลวงว่าตัวเอง “ติดตั้งความเป็นส่วนตัว” ได้มากเกินไป จนผู้บริโภคจำนวนมากกลับไปดาวน์โหลดรูทคิตปลอมตัวเป็น VPN หรือส่วนขยายสุ่ม ๆ แทน ถ้าคุณติดตั้งส่วนขยายหลอกลวงเข้าไปแล้ว มาตรการขั้นต่ำสุดที่ควรทำอาจเหลือแค่เผา PC ทิ้ง ขับรถทับมัน เปิดบัญชีทุกอย่างใหม่ แล้วรีเซ็ตรหัสผ่านทั้งหมดบนอุปกรณ์ใหม่เอี่ยมเท่านั้น
  • การสแกนพอร์ตแบบนี้ การทำ fingerprint อุปกรณ์ และ anti-anonymity SAAS เกิดขึ้นในหลายเว็บไซต์มาก eBay กับ Facebook ก็ทำกัน แต่กรณีนี้ดูเหมือนเป้าหมายหลักคือพยายามบล็อกการบล็อกโฆษณาเป็นอันดับแรก มีทั้ง fingerprint ขนาด 1MB ที่ถูก obfuscate + การสแกนพอร์ต + WebGL ครบชุด แถมยังมีความพยายามค้นหาเส้นทางของ burp suite ด้วย
    • สงสัยว่าจะทำให้เครือข่ายของผมแข็งแรงขึ้นเพื่อต้านการโจมตีแบบนี้ได้อย่างไร
    • ผมเคยเจอวิธีสแกนพอร์ตแบบเดียวกันนี้ในเว็บไซต์ลงทะเบียนบัตรใหม่
  • “การสแกนพอร์ต” ครั้งนี้เป็นเพียงการพยายามเชื่อมต่อแบบโลคัลไปที่ 127.0.0.1:8888 เท่านั้น ยังไม่รู้แน่ชัดว่าใช้ทำอะไร แต่เว็บไซต์ของภาครัฐมักใช้วิธีนี้เพื่อสื่อสารกับซอฟต์แวร์เนทีฟสำหรับเซ็นเอกสารอิเล็กทรอนิกส์ สงสัยว่ามีการพยายามเชื่อมต่อไปยัง IP อื่นด้วยหรือไม่
    • อาจเกิดจากเครื่องอ่านบัตร เซิร์ฟเวอร์ดีบัก หรือแค่ความผิดพลาดของนักพัฒนาก็ได้ จากประสบการณ์ของผม เคยมีการปล่อยระบบที่ฝัง URL แบบ localhost มาจากสภาพแวดล้อมพัฒนาแทนที่จะเป็นโฮสต์ภายนอกจริง ๆ เป็นไปได้ว่าพวกเขาใช้พอร์ต 8888 เป็นเซิร์ฟเวอร์พัฒนาในเครื่อง ซึ่งก็ไม่ได้น่าแปลกใจนัก
    • นี่มีแนวโน้มว่าจะเป็นการพยายามเชื่อมต่อเพื่อเก็บข้อมูล/ติดตาม ถ้าเครื่องของผู้ใช้มีเว็บเซิร์ฟเวอร์ทำงานอยู่ในเครื่องมากกว่า เมื่อก่อน Facebook/meta ก็เคยถูกเปิดโปงว่าติดตามด้วยวิธีคล้ายกันบน Android (ติดตามผ่านเว็บเซิร์ฟเวอร์ผ่าน Messenger/Instagram) ดูด้านล่าง
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • ในสถานการณ์แบบนี้ การที่เว็บไซต์พยายามเข้าถึงพอร์ตภายในเครื่อง เช่น ของเครื่องอ่านบัตร อาจเป็นเรื่องปกติด้วยซ้ำ บางประเทศใน EU หรืออาจส่วนใหญ่ ใช้ชิปบนบัตรประชาชนหรือบัตรทะเบียนรถเพื่อยืนยันตัวตนและเข้าถึงบริการภาครัฐ ในอดีตเคยรองรับแค่ Java + Internet Explorer แต่หลัง IE ยุติไปและเปลี่ยนเป็น Chromium แล้ว ผมไม่แน่ใจว่าปัจจุบันใช้วิธีไหนเพราะไม่ได้ใช้งานมานาน
    • ทุกวันนี้จำเป็นต้องติดตั้งบริการในเครื่องเพื่อเชื่อมระหว่างเบราว์เซอร์กับไดรเวอร์สมาร์ตการ์ด บริการ bridge นี้ทำหน้าที่แทน Java applet ในอดีต โดยจะติดตั้งมาพร้อมกับไดรเวอร์เฉพาะของบัตร
    • ครั้งหนึ่งผมเคยถูกขอให้อ่านชิป NFC ในพาสปอร์ตด้วยแอป iPhone/Android ดูเหมือนว่านี่จะเป็นตัวแทนสมัยใหม่ของ IE/Java
  • รู้สึกอายเล็กน้อยที่ไม่เคยรู้ธรรมเนียมแบบนี้มาก่อน สงสัยว่านอกจาก fingerprinting แล้วจะมีเป้าหมายเพื่อการใช้ในทางที่ผิดอื่นอีกหรือไม่
    • ในความเป็นจริง Facebook เคยใช้วิธีนี้บน Android แอป Android ของ Meta จะเปิดเซิร์ฟเวอร์ไว้บน localhost แล้วแลกเปลี่ยนข้อมูลติดตามที่ถูกบล็อกโดยการป้องกันของเบราว์เซอร์ผ่านเซิร์ฟเวอร์ในเครื่อง ที่จริงก็ยังถือเป็น fingerprinting แต่เป็นการใช้งานในแบบสุดโต่งที่สุด
      https://news.ycombinator.com/item?id=44169115
    • อาจมีเราเตอร์ที่มี URL อ่อนแออยู่ด้วย ลองค้นคำว่า “router authentication bypass” จะเจอตัวอย่าง
    • บนคอนโซล Safari ของ macOS เมื่อเข้าเว็บไซต์ พบปรากฏการณ์แบบนี้
      https://files.catbox.moe/g1bejn.png
      เลยสงสัยว่าพอร์ต 8888 มักถูกใช้กับบริการอะไรโดยเฉพาะหรือไม่
    • โดยหลักแล้วใช้เพื่อการติดตาม แต่ถ้าผู้ใช้กำลังรันบริการที่อ่อนไหวบน localhost ก็มีโอกาสถูกนำไปใช้ขโมยข้อมูลได้เช่นกัน
      https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe