เพื่อโต้ตอบกับการโจมตีในสัปดาห์ก่อนที่มีผู้โจมตีสร้าง Web Application ปลอมตัวเป็น Google Docs หลอกให้ผู้ใช้งานทำการยืนยันตัวตนผ่าน OAuth เพื่อนำข้อมูลไปใช้โจมตีต่อเนื่อง ทาง Google จึงได้ตัดสินใจเพิ่มกระบวนการตรวจสอบ Web Application ของ 3rd Party ที่ต้องการเข้าถึงข้อมูลผู้ใช้งานจาก Google เพื่อเพิ่มความมั่นคงปลอดภัยขึ้นแล้ว
เบื้องต้นนั้น ทาง Google ได้ประกาศว่ามีการอัปเดตใหม่ๆ บน Google API User Data Policy เพิ่มเติม เช่น การตั้งชื่อ Application จะต้องเป็นเอกลักษณ์แตกต่างจากผู้อื่น และไม่ได้ลอกเลียนแบบผู้อื่นมา และได้เพิ่มขั้นตอนใหม่ในการ Publish Application, การทำ Risk Management และปรับเปลี่ยนหน้า Console เพื่อให้สามารถตรวจสอบ Application ของเหล่านักพัฒนาและทำการแจ้งเตือนได้ โดยทุกๆ Application ใหม่หรือการปรับแต่ง Application เดิมนั้นจะถูกตรวจสอบ และอาจปรากฏ Error Message ได้บน Google API Console, Firebase Console และ Apps Script Editor
ทั้งนี้บาง Web Application นั้นก็อาจถูกตรวจสอบด้วยกระบวนการ Manual Review โดยตราบใดที่การตรวจสอบยังไม่เสร็จสิ้น Google ก็จะไม่เปิดสิทธิ์การเข้าถึงข้อมูลให้กับนักพัฒนาเด็ดขาด โดยเหล่านักพัฒนาสามารถร้องขอให้มีการ Review ได้ตั้งแต่ขั้นตอนการทดสอบระบบเพื่อให้สามารถปล่อย App ออกสู่สาธารณะได้ โดย Google ระบุว่าจะพยายามใช้เวลาภายใน 3-7 วันทำการเพื่อดำเนินการตรวจสอบแต่ละ App ให้เสร็จ และอนาคตก็จะเปิดให้มีการร้องขอการ Review ได้ตั้งแต่ขั้นตอนการลงทะเบียน
สำหรับ App ที่ยังไม่ผ่านการ Review นั้น สามารถทดสอบได้ด้วยการใช้ Account ที่ลงทะเบียนให้เป็น Owner หรือ Editor ในแต่ละโครงการภายใน Google API Console ได้เลย
เหล่านักพัฒนาที่ใช้เทคโนโลยีของ Google ก็อาจต้องคอยติดตามข่าวสารและความเปลี่ยนแปลงที่จะเกิดขึ้นกันหน่อยครับ และการวางแผนในการเปิดตัว Application ที่ต้องขึ้นกับบริการ API ของ Google ก็อาจต้องมีการวางแผนล่วงหน้าเพิ่มเติมครับ
Google ออก Certification Program ใหม่สำหรับนักพัฒนา Mobile Sites ซึ่งจะเป็นใบประกาศที่รองรับความรู้ความสามารถในการออกแบบและพัฒนาเว็บไซต์ในโทรศัพท์มือถือและแท็บเล็ต
ไม่ว่าจะเป็นระบบทดสอบ, โค้ดที่อยู่ระหว่างการพัฒนา, ระบบสำรอง หรือแม้แต่ระบบ Production นั้นก็ควรตั้งรหัสผ่านให้ปลอดภัยทั้งหมดอยู่เสมอให้ติดเป็นนิสัย จะได้ไม่ถูกโจมตีจากการคาดเดารหัสผ่านหรือใช้รหัสผ่านพื้นฐานในอนาคต
4. ตั้งค่าการทำงานของระบบต่างๆ ให้ปลอดภัย
การกำหนดค่าการทำงานของเว็บไซต์ให้มีความปลอดภัยนั้นก็ถือเป็นอีกสิ่งสำคัญเช่นกัน ไม่ว่าจะเป็นการกำหนดค่าที่ระดับของ Web Server หรือ Proxy Server ให้ทนทานและยากต่อการเข้าถึงข้อมูลต่างๆ ที่ไม่ได้รับอนุญาต, การทำความเข้าใจและกำหนดการตั้งค่าเชิงลึกให้ระบบทำงานอย่างปลอดภัย, การจำกัดรูปแบบที่ใช้ได้ในการยืนยันตัวตนเข้าถึงระบบจากระยะไกล และอื่นๆ
การสำรองข้อมูลเอาไว้บน Server ต่างเครื่องนั้นถือเป็นสิ่งที่จำเป็นเป็นอย่างมากในการลดความเสี่ยงที่ข้อมูลของเว็บไซต์ทั้งหมดจะสูญหายไปพร้อมๆ กับระบบ Production รวมไปถึงกรณีที่ถูกติดตั้ง Ransomware เรียกค่าไถ่บน Server โดยตรง การมีข้อมูลสำรองถึงแม้จะไม่ได้เป็นการป้องกันไม่ให้ถูกโจมตีได้สำเร็จ แต่อย่างน้อยๆ หลังการโจมตีเกิดขึ้นแล้ว เว็บไซต์ก็ยังพอจะดำเนินกิจการต่อไปได้หากมีข้อมูลสำรองอยู่
ผู้ที่สนใจโซลูชั่น Open Source Software ต่างๆ รวมถึง Linux/Unix/OpenStack, Data Center Infrastructure, VMware vSphere/VSAN/NSX/vCloud, Microsoft Windows Server และระบบ CMS สำเร็จรูปที่มีประสิทธิภาพสูงและปลอดภัยระดับองค์กรพร้อมบริการครบวงจร ทั้ง WordPress และ Magento หรือกำลังมองหาทีมงาน Outsource Linux/VMware/Windows Systems Engineer สามารถติดต่อทีมงาน UnixDev ได้ทันทีที่โทร 081-651-9393 หรืออีเมลล์ info@unixdev.co.th
เกี่ยวกับ UnixDev
UnixDev คือทีมงานผู้เชี่ยวชาญทางด้าน System Engineering ที่ครอบคลุมทั้ง Linux, Unix, Microsoft Windows และ VMware แบบ Full Stack ซึ่งสามารถให้บริการในการตรวจสอบแก้ไขปัญหาและปรับปรุงประสิทธิภาพและความปลอดภัยสำหรับระบบ Hypervisor, Operating System, Application, Web Application ไปจนถึง Database แบบครบวงจร https://www.unixdev.co.th