Cloudflare ปล่อยโครงการโอเพนซอร์ส HAR File Sanitizer สำหรับล้างข้อมูลสำคัญก่อนแชร์ไฟล์ request จากเบราว์เซอร์ หลังเกิดช่องโหว่ในระบบซัพพอร์ตของ Okta จนมีองค์กรถูกแฮกจำนวนมาก
HAR หรือ HTTP Archive เป็นไฟล์ log ของเบราว์เซอร์ที่เรียกไปยังเซิร์ฟเวอร์ โดยทั่วไปสามารถสั่งเซฟได้จาก Developer Tools ของเบราว์เซอร์ต่างๆ เนื่องจากมีข้อมูลครบถ้วนว่าเบราว์เซอร์เรียก URL ใดและได้รับข้อมูลอะไรบ้าง จึงเป็นทางที่ได้รับความนิยมในการดีบั๊กปัญหาให้กับผู้ใช้ แต่ไฟล์ HAR จะมีข้อมูลสำคัญติดไปด้วยเสมอ ไม่ว่าจะเป็น session token, cookie หรือบางครั้งก็มี username/password ติดไปด้วย แม้ว่าหลายครั้งฝ่ายซัพพอร์ตที่ต้องการไฟล์ HAR อาจจะต้องการดูเพียงข้อมูลอื่นๆ เช่น response ที่แสดงข้อความผิดพลาด, DNS มีปัญหา
หากคนร้ายได้ไฟล์ HAR ไปแล้ว และ token ต่างๆ ในไฟล์ยังไม่หมดอายุก็สามารถปลอมตัวเป็นเหยื่อได้ทันที โดยกระบวนการยืนยันตัวตนหลายขั้นตอนไม่ช่วยอะไรเพราะโทเค็นเหล่านั้นได้มาหลังการยืนยันตัวตนสำเร็จแล้ว
HAR File Sanitizer จะลบ cookie ที่เกี่ยวกับ session ออกทั้งหมด รวมถึง JWT ต่างๆ ที่โปรแกรมจะลบส่วนลายเซ็นออก เพื่อให้ JWT ใช้งานไม่ได้แต่ยังอ่านข้อมูลใน JWT ได้อยู่ ในอนาคตทาง Cloudflare จะรองรับข้อมูลจากระบบยืนยันตัวตนอื่นๆ เพื่อให้แน่ใจว่าล้างข้อมูลที่ใช้ปลอมตัวเป็นเจ้าของ session ได้ครบ เหลือไว้แต่ข้อมูลสำหรับดีบั๊ก
ที่มา - Cloudflare
Topics:
Cloudflare
Privacy
Security
อ่านต่อ...
HAR หรือ HTTP Archive เป็นไฟล์ log ของเบราว์เซอร์ที่เรียกไปยังเซิร์ฟเวอร์ โดยทั่วไปสามารถสั่งเซฟได้จาก Developer Tools ของเบราว์เซอร์ต่างๆ เนื่องจากมีข้อมูลครบถ้วนว่าเบราว์เซอร์เรียก URL ใดและได้รับข้อมูลอะไรบ้าง จึงเป็นทางที่ได้รับความนิยมในการดีบั๊กปัญหาให้กับผู้ใช้ แต่ไฟล์ HAR จะมีข้อมูลสำคัญติดไปด้วยเสมอ ไม่ว่าจะเป็น session token, cookie หรือบางครั้งก็มี username/password ติดไปด้วย แม้ว่าหลายครั้งฝ่ายซัพพอร์ตที่ต้องการไฟล์ HAR อาจจะต้องการดูเพียงข้อมูลอื่นๆ เช่น response ที่แสดงข้อความผิดพลาด, DNS มีปัญหา
หากคนร้ายได้ไฟล์ HAR ไปแล้ว และ token ต่างๆ ในไฟล์ยังไม่หมดอายุก็สามารถปลอมตัวเป็นเหยื่อได้ทันที โดยกระบวนการยืนยันตัวตนหลายขั้นตอนไม่ช่วยอะไรเพราะโทเค็นเหล่านั้นได้มาหลังการยืนยันตัวตนสำเร็จแล้ว
HAR File Sanitizer จะลบ cookie ที่เกี่ยวกับ session ออกทั้งหมด รวมถึง JWT ต่างๆ ที่โปรแกรมจะลบส่วนลายเซ็นออก เพื่อให้ JWT ใช้งานไม่ได้แต่ยังอ่านข้อมูลใน JWT ได้อยู่ ในอนาคตทาง Cloudflare จะรองรับข้อมูลจากระบบยืนยันตัวตนอื่นๆ เพื่อให้แน่ใจว่าล้างข้อมูลที่ใช้ปลอมตัวเป็นเจ้าของ session ได้ครบ เหลือไว้แต่ข้อมูลสำหรับดีบั๊ก
ที่มา - Cloudflare
Topics:
Cloudflare
Privacy
Security
อ่านต่อ...