โดยปกติ Web Application ที่ต้องมีระบบ Login ย่อมต้องมีการใช้งาน Cookies ในการเก็บค่าต่างๆ เพื่อให้รู้ว่ามีการ Login ไปแล้ว เช่น Token หรือ Session เลยทำให้ Cookies นั้นสามารถเป็นเป้าหมายในการโจมตีเพื่อขโมยข้อมูล ไว้ไป เช่น อาจจะเอาไปปลอมแปลงเป็น User เพื่อ Login เข้าใช้งานอีกตัวตนนึง เป็นต้น โดยวิธีการโจมตีช่องโหว่ที่นิยมคือ

  • Cross-Site Scripting (XSS) คือ การฝัง Script ไว้ในหน้า Page เพื่ออ่านข้อมูล Cookies อาจจะเกิดการเขียนโปรแกรมที่ไม่รัดกุมปล่อยให้ ฟอร์มกรอกข้อมูลรับ Javascript ไปโดยที่ไม่ได้กรอง แล้วระบบเอาไปเก็บใน Database เพื่อ Render ในหน้า Page เมื่อ User ทั่วไปเปิดอ่าน Script ที่ฝังก็จะทำงานอ่านข้อมูลใน Cookies เป็นต้น
  • Cross-Site Request Forgery (CSRF) จะเกิดเมื่อ Login ค้างไว้ นั่นคือใน Cookies จะมีข้อมูลระบุตัวตนพร้อมเข้าใช้งานได้แล้ว การโจมตีคือ User เช่น อาจจะได้รับอีเมล์ Phishing แล้วเผลอไปกดลิงค์นั้น เข้าไปยัง Server ของผู้โจมตีที่ส่ง Resuest พร้อมกับ Cookies ที่มีอยู่เดิมจากการ Login ค้างไว้ เพื่อทำธุรกรรมบางอย่างโดยที่ตัวเองก็ไม่รู้ตัว เป็นต้น

* จากช่องโหว่ด้านบนอธิบายสั้นๆ อาจจะไม่ละเอียด ลองนำคำไปค้นหาใน Google เพื่อทำความเข้าใจอีกครั้งครับ

ในส่วนวิธีการป้องกันก็มีได้หลายแบบ ไม่ว่าจะเป็นการกรองข้อมูล Request ที่ได้รับจากภายนอกให้รัดกุม หรือตั้งค่า Server ว่า Request ที่ได้รับมานั้นเป็น User ไม่ใช่ผู้โจมตี แต่บทความนี้จะกล่าวเพียงแค่ส่วน Cookies เท่านั้น โดยเราควรจะกำหนด HTTP Cookie scopes หรือ Cookie flags ดังนี้

1. เปิดใช้ HttpOnly

เพื่อไม่ให้ Client สามารถเห็นหรืออ่านข้อมูล Cookies ช่วยลดความเสี่ยงของการโจมตีแบบ Cross-Site Scripting (XSS)

2. เปิดใช้ Secure

เพื่อบังคับให้รับส่ง Cookie บน HTTPS ซึ่งมีการเข้ารหัสข้อมูลเท่านั้น ทำให้จะไม่มีการดักอ่าน Cookies ระหว่างทางของ Client และ Server ได้

3. เปิดใช้ SameSite

เพื่อลดความเสี่ยงของการโจมตีแบบ Cross-Site Request Forgery (CSRF) ด้วยการป้องกันต้นทางของ Cookie ที่จะส่งมายัง Server โดยเลือกกำหนดค่าได้ 2 แบบ ดังนี้

  • Strict  อนุญาตให้ส่ง Cookies จากเว็บไซต์ของเราเท่านั้น
  • Lax  อนุญาตให้เว็บไซต์อื่นส่ง Cookies มายัง Server เราได้ โดยผ่าน HTTP GET เท่านั้น ส่วน POST PUT DELETE จะใช้ไม่ได้

เมื่อตั้งค่าทุกอย่างเสร็จแล้ว สามารถตรวจสอบความถูกต้องใน Chrome โดย Inspect และเลือกแถบ Application จากนั้นดูที่เมนู Cookies ดังรูป

ก็หวังว่าบทความนี้คงจะเกิดประโยชน์ไม่มากก็น้อยครับ

👨🏻‍💻 บอกต่ออุปกรณ์ที่ใช้เอง

✍️ ปากกาลบได้ Pilot Frixion Ball Knock Erasable Pen ใช้มานานเปลี่ยนไส้ไปหลายครั้งแล้ว เพราะส่วนตัวไม่ค่อยชอบเสียงดินสอที่ขีดลงบนเนื้อกระดาษมากนัก
📒 สมุดโน๊ต Grid Blank Dot แบบสันห่วง เวลาวาด UI หรือ Flow งาน จะมีเส้นคอยไกด์ทำให้เป็นระเบียบและคุมการลากเส้นได้ดี ในส่วนสันห่วงจะปิดปัญหาการเปิดหน้าที่เปิดยากในพวกที่เป็นสันกาว จะใช้สะดวกมากๆครับ

Author: ศิริชัย ธีรภัทรสกุล (ตั้ม) เป็นนักพัฒนาเว็บไซต์ มาตั้งแต่ปี พ.ศ. 2547 มีประสบการณ์ การเขียนโปรแกรม, ออกแบบเว็บไซต์, ออกแบบ UX/UI, วิเคราะห์ระบบ รวมถึงการบริหารเว็บไซต์ร้านค้าออนไลน์ จึงทำให้มีความเข้าใจคนทำธุรกิจ สนใจทำเว็บไซต์?