ถาม: แล้วอย่างนี้ จะต้องเรียงหน้าเข้าคุกกันทั่วประเทศ ?
ตอบ: เพราะ HTTPS ออกแบบมาเพื่อต่อต้านการแกะรหัส ปกปิดข้อมูล แต่ พรบ.บังคับให้เราต้องเก็บข้อมูลในสิ่งที่ถูกเข้ารหัส สิ่งที่เจ้าของข้อมูลจงใจปกปิดไว้ด้วยการเข้ารหัส ย่อมทำได้ยากมาก กฎหมายขัดแย้งกับความจริงทางเทคโนโลยี ขัดแย้งกับคนทั้งโลก การไม่เก็บ Log จาก HTTPS ก็ถือเป็นการกระทำความผิด (ไม่ได้เก็บ Log ตาม พรบ.) ในลักษณะที่ศาลน่าจะให้ความเป็นธรรมได้
ถาม: ไม่เก็บ Log ของคำสั่ง POST หรือ GET งั้นเก็บ URI ก็ยังดี (URL บน Address bar ของ Browser)
ตอบ: เวลาที่เปิดเวบธนาคาร และเรากดที่ Link สิ่งที่เกิดเบื้องหลังคือ Browser ของเราก็จะส่ง Link นั้นไปยัง web server ผ่าน HTTPS เช่นกัน คือ แม้แต่ URI ที่เราจะเปิด Address ก็ถูกเข้ารหัสด้วยเช่นกัน
ถาม: แล้วปัจจุบัน มีอะไรที่ใช้ HTTPS ที่เราเก็บ Log ไม่ได้ และเป็นความผิดตาม พรบ.บ้าง
ตอบ: คำตอบคือ แทบจะทุกอย่าง เช่น
– Dropbox (จัดเป็นบริการโอนแฟ้มข้อมูล)
– E-mail ที่ติดต่อกันด้วย TLS (จัดเป็นบริการจดหมายอิเล็กทรอนิคส์)
– Web server ทุกแห่งที่ใช้ HTTPS สำคัญ ๆ เช่น Facebook, Twitter, (จัดเป็นบริการ web)
– Line ก็เข้ารหัสข้อมูลด้วยเช่นกัน (จัดเป็นบริการโต้ตอบกันบนเครือข่าย) และบริการเหล่านี้ ก็เริ่มหันมาเข้ารหัสกันมากขึ้น
ถาม: แล้ว Firewall ยี่ห้อที่เขาอ้างว่า เก็บข้อมูลได้ตาม พรบ. 100% หมายความว่าอย่างไร
ตอบ: เขาพูดไม่ครบ มันจะมีคำว่า “แต่….” แฝงอยู่ด้วยเสมอ ซึ่งลูกค้ามักไม่ถามต่อ แค่ได้ยินว่า 100% ก็ซื้อแล้ว บทความนี้คือการนำเบื้องหลังของคำว่า “แต่…” มาขยายให้ได้อ่านกัน
ถาม: อยากรู้ว่า Firewall ที่ใช้อยู่ หรือที่กำลังจะซื้อ เก็บตาม HTTPS ตามพรบ.ได้ หรือไม่ จะทดสอบได้อย่างไร
ตอบ: วิธีตรวจสอบว่า เก็บตาม พรบ.ได้ 100% หรือไม่ ก็แค่การทดสอบเดียวง่าย ๆ คือ เราเปิด Facebook และโพสข้อความ หรือเปิด web ของธนาคาร และ Login จากนั้น ให้ผู้ขายหรือ Admin แสดง Log ว่า Browser ของเราได้มีการส่งคำสั่ง POST ไปยังผู้ให้บริการ (Facebook หรือธนาคาร)