Web Hacking and Security Workshop

   สองวันก่อนได้เข้าร่วมอบรม Web Hacking and Security Workshop (14-15 ม.ค.) ซึ่งจัดโดยศูนย์คอมพิวเตอร์ สืบเนื่องจากปลายปีที่แล้วเกิดช่องโหว่ด้านความปลอดภัยของ Joomla ทำให้ Web site ภายใน PSU เองหลาย site ถูกโจมตี ศูนย์เครื่องมือฯ เองก็มี Hacker มาเยื่อมเยือนด้วยแต่เนื่องจากเราเองไม่ได้ใช้ Joomla การโจมตีจึงไม่สำเร็จ Hacker เองยังไม่พบช่องโหว่อื่นที่จะโจมตีได้แต่ไม่ใช่ว่าช่องโหว่จะไม่มี 555 โชคดีที่ยังไม่เจอ

   นี่จึงเป็นที่มาของ Workshop นี้ที่ศูนย์คอมพิวเตอร์ได้จัดขึ้นซึ่งเป็นเรื่องที่เยี่ยมมากๆ ครับที่ได้แลกเปลี่ยนเรียนรู้กัน เพราะตัวผมเองนั้นเป็นวิศวกรไฟฟ้า ความรู้ทางด้าน IT นั้นก็มีเพียงน้อยนิด แต่ชอบลองจึงริตั้ง Server เองพอตั้งเองแล้วก็ต้องรับผิดชอบต่อไปเรื่อยๆ โชคดีที่มีท่าน iHum ช่วยแบ่งกันดูแลด้าน Web ส่วนตัวผมดูแลด้าน Server และการสำรองข้อมูล เพราะเราเริ่มจากการพัฒนา Web เองตั้งแต่ปี 2547 ได้มั้งครับ โดยใช้ php+MySQL ทำแบบนี้ และปรับปรุงกันไปเรื่อยๆ เปลี่ยน Server กันไปก็สองสามครั้งตามสภาพของ Hardware เหตุผลเดียวคือ มันสนุกและแก้ไขได้เองทุกอย่างตามที่ต้องการ

   ข้อดีของการพัฒนาแบบนี้ก็อย่างที่บอกครับ อยากได้อะไรก็แก้เอาเองเพิ่มเอาเองได้โดยตลอด ถือว่ายืดหยุ่นดี เรื่องความปลอดภัยก็มีทั้งข้อดีและข้อเสียบ้างคือ มันมีโอกาสมีช่องโหว่ได้บ้างเพราะไม่ได้ตรวจสอบ (เพราะรู้กันแค่สองคน) แต่บนข้อเสียก็เป็นข้อดีเช่นกัน กล่าวคือ ช่องโหว่ที่เราไม่รู้เหล่านั้น Hacker (บ้านๆ) ก็ยังไม่รู้เหมือนกันเพราะไม่ได้มีการเปิดเผยเหมือน Opensource อื่นๆ อย่าง Joomla เมื่อไม่มีการเปิดเผยก็ต้องเดาสุ่มหาช่องโหว่เอาเอง ซึ่งคงไม่คุ้มกับผลที่ได้เพราะ Web site เราไม่มีข้อมูลสำคัญพอที่ Hacker มืออาชีพจะมา Hack ได้ 555

   จาก Workshop ก็ได้ลองตรวจสอบความปลอดภัยแบบพื้นฐานของ Server เราเองก็พบว่าการ Coding ปลอดภัยดียังไม่พบช่องโหว่แบบบ้านๆ ถือได้ว่า iHum ยังเยี่ยมยุทธอยู่

   ก็ต้องทำกันต่อไป มีเนื้อหาดีๆ มากมายจากการ Workshop ในครั้งนี้ขอขอบคุณทางทีมงานอย่างมากมายครับ แต่อย่างที่บอก ความรู้เหล่านั้นเอามาเปิดเผยในที่นี้ไม่ได้ มันเป็นดาบที่มีสองคม ขอบคุณครับ:)