212cafe.com

212cafe.com

สวัสดีครับ พอดีได้อ่านแถลงการณ์ เรื่องการขายเว็บ และขอบริจาค จากทาง 212cafe.com
แล้วผมรู้สึก เศร้ามากครับ เพราะว่าเป็นเว็บที่ก่อตั้งมากะมือ เป็นคนจด domain และก็
เขียนโปรแกรมให้บริการทั้งหมด จากบ้านที่สวนที่จันทบุรี ..

ที่มาของ 212cafe.com หลายๆ คนยังไม่รู้ ว่าเป็นมายังไง ถึงได้ชื่อนี้ จริงๆ มันมีเรื่องราว
ผ่านร้อนผ่านหนาวมามากครับ ชื่อนี้ได้มาจากห้องที่ผมอยู่กัน สมัยเรียนวิศวะลาดกระบัง
รุ่น 39 เป็นห้องที่อยู่ที่หอชัยพฤกษ์ เป็นหอนอกครับ พวกเราอยู่กัน แบบรักกันมาก
มิตรภาพระหว่างเพื่อนสมัยนั้น ผมคิดว่าเป็นสิ่งที่ดีมากๆ ที่ผลักดันให้ทุกวันนี้ ก้าวหน้า
ในหน้าที่การงานกัน ที่ห้อง 212 สอนให้เรารู้ว่า การเรียนอย่างเดียว ไม่ใช่วัดประสิทธิภาพ
ของคน แต่การเรียนมหาลัย ต้องทำกิจกรรม ต้องเข้าสังคม ต้องช่วยเหลือแบ่งปันคนอื่น
ที่นี่ผมได้รู้จักเพื่อนที่ดี มีน้ำใจ มีแต่จะให้ ไม่คิดเอาเปรียบกัน เพื่อนที่ดี มีส่วนให้เราไปได้ดี ..

ตอนก่อตั้ง 212cafe.com ผมปรึกษาพี่เปี๊ยก (webmaster พระจอมเกล้าฯ ลาดกระบัง)
สมัยก่อน การจะจด domain name ไม่ง่ายเหมือนสมัยนี้ครับ ทำได้ยากมาก ตอนแรก
ผมเองก็ไปขอใช้ server ของพี่ตัวเล็ก (TourThai.com) เพื่อให้บริการ ระบบฟรีต่างๆ
เพราะว่าสมัยก่อน การที่คนจะเขียนโปรแกรมระบบ webboard, guestbook, poll เอง
ยังทำได้ยาก เพราะ free hosting ต่างๆ ไม่ให้รันพวก PHP และคนที่เขียน PHP, Perl
ที่ใช้เป็นโปรแกรมทำงานผ่านเว็บได้ ยังมีน้อยมาก ผมเป็นคนแรกๆ ในไทย ที่เขียน
และเขียน source code แจกเป็น open source สมัยก่อน เราอยู่กันที่เว็บพี่แสนศักดิ์
http://php.deeserver.net สมาชิกรุ่นเก่าๆ ตอนนี้ ก็ใหญ่ๆ โตๆ กันหมดละ หลายๆคน
ก็ไม่ได้ทำเว็บแล้ว สมัยก่อนอบอุ่นมาก .. ไม่มีการแก่งแย่งชิงดีกันเหมือนสมัยนี้ ..

หลังจากทีี่ผมซุ่มเขียน code ในสวนที่จันทบุรี สักพัก ก็เปิดให้บริการในชื่อ 212cafe.com
ตอนนั้น server เป็นเพียงเครื่อง PC ธรรมดา ที่เอามา modify กันเอง ได้รับการสนับสนุน
จากพี่หวาน modify โดยเพื่อนโย และช่วยทำระบบลง OS ให้โดยพี่บอมบ์ mangmug
spec ก็ประมาณ P4 mem 256 H/D 60GB แค่นี้ก็แรงมากละ รองรับกับจำนวน user
จำนวนหลายหมื่นคนได้ ต่อมาก็พัฒนาต่อมาตลอด จนเป็น free service อันดับ 1 ของไทย
เครื่องก็ซื้อเพิ่มกัน โดยการช่วยเหลือ และการช่วยสมทบทุนเป็นหุ้นส่วนของเพื่อนๆ พี่ๆ
ในสมัยนั้น ตรงนี้ เป็นความประทับใจมากๆครับ ทุกคนช่วยกันไม่เคยทิ้งกัน ..

ส่วนที่กระแสข่าวในอดีตเกี่ยวกับ ต้น 212 หรือ ต้น 212cafe ออกมาว่า ไปยิงชาวบ้านอะไร
ตรงนี้ ผมไม่เคยได้พูด ไม่เคยมีโอกาสได้แถลงการณ์อะไร แต่ถ้าคนที่รู้จักผมจริงๆ
จะเข้าใจว่าเรื่องราวอะไรต่างๆ มันเป็นยังไง แล้วผมก็ไม่ได้ต้องการแก้ตัวอะไร ถ้าไม่มีเหตุ
ผมไม่ทำอะไรใครก่อนแน่ๆ แต่บางครั้ง การที่ผมเป็นคนรักเพื่อน ใจนักเลง ตรงนี้
ถ้าใครมารังแกเพื่อนผม หรือว่ามาโกงเพื่อน หรือคนที่ผมรู้จัก ถ้าเค้ามาขอผมช่วย
ผมไม่เคยปฏิเสธ ยินดีช่วยเสมอ ไม่ว่าผมกำลังมีเรื่องกับใคร ผมก็ไม่เคยกลัว เพราะว่า
ผมไม่ชอบการเอารัดเอาเปรียบ การเสแสร้ง การสร้างภาพ ..

ส่วนเรื่องที่ผมขาย 212cafe.com ให้ท่านปุ๊ก ก็หลายปีมาแล้วครับ ตอนที่ผมจะไปใช้ชีวิต
แบบสันโดดอยู่ที่เชียงใหม่ ก็เลยหวังว่าจะให้ท่านปุ๊กมาดูแลต่อ ผมจะได้เบาใจได้ ..
น่าจะประมาณปี 2005 กลางๆ ปี รายละเอียดเดี๋ยวผมจะมา update อีกทีครับ ตอนนั้น
ก็คิดว่า user น่าจะสบายๆ ไม่มีปัญหาอะไร น่าจะไปได้ด้วยดี ..

วันนี้ผมเห็นแถลงการท่านปุ๊ก แล้วผมก็รู้สึกว่าผมเป็นคนสร้าง แต่ว่าต่อมามันทำให้
ต้องมีผลกระทบกับ user แล้วผมรู้สึกไม่สบายใจเท่าไรครับ ยังไง ผมจะพยายาม
หาทางออกที่ดีที่สุดช่วยนะครับ จะไม่ยอมให้ user ได้รับผลกระทบเด็ดขาด ในฐานะ
ที่ผมเป็นผู้ก่อตั้ง 212cafe.com ..

I have no security :)

สวัสดีครับ ไม่ได้ update blog มานาน เลยขอมาอัพหน่อย title
อาจจะดูเป็นคำแสลงไปหน่อยครับ “I have no securityฉันไม่มีความปลอดภัย
ตรงนี้ผมอยากจะพูดถึงเรื่อง web security อีกสักนิดครับ จริงๆ เบื่อมาก
กับคำว่า security เพราะว่ามีแต่คนพูด แต่ว่าไม่ค่อยรู้จริงกันเท่าไร พูดตามๆ กันมา
เชื่อตามๆ กันมา ทั้งๆ ที่ไม่ได้รู้ว่ามันถูกหรือผิด เค้าสั่งมาแบบนั้น ก็ต้องทำตาม
อะไรแบบนี้ ซึ่งผมคิดว่านี่แหละคือความเสื่อมของเรื่องความปลอดภัย ..

คำว่า security พูดง่าย แต่ทำจริงๆ ยากมากครับ ผมเคยพูดไว้หลายๆ ครั้งว่า ถ้าคุณไม่เคย
เป็น hacker หรือลอง hack ระบบต่างๆ มาก่อน (ในที่นี้ขอพูดถึงเรื่องเว็บนะครับ
เพราะระบบหลักๆ ในปัจจุบัน เป็น web app หมด) ก็อย่าพูดเรื่อง security เลย เพราะว่า
มันฟังดูแปร่งๆ ฟังแล้วงงๆ ไม่ได้น่าเชื่อถืออะไรเลย ..

ผมขอสรุปง่ายๆ สั้นๆ ตรงนี้เลยว่าอะไรคือความเชื่อผิดๆ เกี่ยวกับ web security บ้าง
เท่าที่เจอมาตลอด 10 กว่าปีนะครับ ..

1.Firewall ไม่ได้ช่วยเรื่อง security นะครับ อย่าคิดว่ามีอะไรที่ทำให้ช้าๆ หลายๆ hop
แล้วจะทำให้ระบบของคุณปลอดภัย มันไม่เกี่ยวกัน เมืองนอกเค้าเลิกพูดถึงกันแล้วครับ
เรื่องนี้ บางทีเจอ UDP flood มาทีแบบ BW แทบเต็ม ISP ทั้งหมดของไทย ทำไมเค้าป้องกัน
กันได้ ไม่ใช่เค้ามี Firewall ราคาแพง คุณภาพอัจฉริยะนะครับ วันหลังผมจะมาอธิบาย
วิธีการอีกทีว่าเค้าป้องกันกันแบบไหน ใช้วิธีไหนบ้าง ..

2.วิ่งวง private โดยการ map host เป็น domain เอาข้างใน โดยคิดว่าวิ่งกันข้างในแล้ว
security อันนี้ เป็นความคิดที่ผิดมากๆ และไม่เป็นไปตามมาตรฐาน วิธีการนี้ ถ้าใช้กับ
การ develop ผมก็เห็นด้วยครับ จะได้ไม่ต้องแก้ code อะไรมาก แต่ว่าถ้าไปใช้จริงๆ สมมติ
คุณมีเครื่องอยู่ 1000 เครื่อง คุณไปนั่ง map host กันไหวไหมครับ ทั้งๆ ที่เค้ามี DNS ไว้
เป็นมาตฐานอยู่แล้ว จริงๆ วงข้างใน มีอะไรอันตรายกว่าขา public อยู่เยอะครับ เพราะว่า
มาจากความเชื่อที่ผิดๆ เหล่านี้แหละ ทำให้ไม่มีระบบตรวจสอบต่างๆ ที่แข็งแรงพอ ไม่เหมือนกับ
การวิ่งผ่าน public IP ที่ถ้ามีปัญหาอะไร จะรู้ได้ทันที และแก้ไขได้อย่างรวดเร็ว ในเมื่อ
ทั้ง private และ public อยู่เครื่องเดียวกัน คุณจะไปกลัวขา public ทำไม web app
เวลาเค้า hack กัน เค้า hack ผ่าน app ที่บกพร่องครับ ยังไงก็เข้าได้ ไม่อย่างนั้น เว็บใหญ่อย่าง
Google, Facebook เค้าคงต้องให้เราลากสาย LAN ไปต่อกับเค้าขา private ถึงจะใช้ API
เค้าได้นะครับ แต่ไม่เห็นเค้าทำแบบนั้นเลย เห็นเค้าเปิดให้ใช้ API ผ่าน public กันหมด โดยที่
มีปัจจัยอื่นๆ ในการควบคุมการเข้าถึงครับ เช่น อัตราในการ access ถ้าคุณใช้เยอะเกิน ก็อาจจะ
ต้องเสียค่าทำเนียม อะไรทำนองนี้เพิ่มเติม ซึ่งผมว่าตรงนี้ คือมาตรฐานที่ถูกต้องแล้วครับ ..

3.จำกัดเรื่อง Internet ไม่ให้เครื่อง server ออกเน็ตได้ เพราะว่ากลัวไป update อะไรที่ไม่ถูกต้อง
เข้ามาที่เครื่อง รู้ไหมครับ ว่าวิธีการนี้ เป็นการทำให้ security ของระบบต่ำลงมาก ในระบบ Windows
ผมไม่รู้นะครับว่า เป็นแบบไหน แต่ระบบของ Unix ต่างๆ กว่าจะออก patch ออก release มาแต่ละตัว
มีการตรวจสอบกันละเอียดมากครับ ไม่ต้องกลัวว่าจะมีความผิดพลาด ถ้าคุณเข้าใจมันดีพอ ..
การที่คุณเห็น security report ออกมาแล้วคุณคิดว่า ไม่น่ามีผลอะไร นั่นคือการที่คุณกำลังทำร้าย
ระบบของคุณเองอย่างรุนแรงครับ bug แค่นิดเดียวก็สามารถทำให้ใครก็สามารถเป็น root เครื่องคุณได้
โดยไม่ต้องมีความรู้อะไรมากมาย อาศัยแค่ exploits  ต่างๆ ที่ทำออกมาแจกกันก็พอ ..

วันนี้ผมขอจบแค่นี้ก่อนครับ ใครที่อยากศึกษาเรื่อง web security อย่างจริงๆ จังๆ แนะนำ
http://packetstormsecurity.org/ (ไม่ใช่ PacketLove.com นะครับ)