Sunday, March 24, 2013
Apple ปิดช่องโหว่ iForgot ที่ใช้ reset password เพียงใส่ email และวันเกิดเรียบร้อยแล้ว
ชอบบทความนี้ ช่วยกันคลิก like/ถูกใจ/+1 กันนะครับ
เมื่อ 2-3 วันก่อนนี้มีการรายงานเรื่องความปลอดภัย ที่มีผู้ค้นพบช่องโหว่บนเว็บไซต์ Apple.com ในส่วนของฟังก์ชั่น iForgot ที่ไว้ใช้สำหรับการ รีเซ็ตรหัสผ่านของ Apple ID โดยช่องโหว่นี้ ทำให้ผู้ไม่ประสงค์ดี ใช้เพียงอีเมลและวันเดือนปีเกิดเท่านั้น ซึ่งตามปกติ ต้องใส่ คำถามเพื่อความปลอดภัยด้วย ในการรีเซ็ต
แกะรอยช่องโหว่ iForgot
ปกติแล้วขั้นตอนการขอรีเซ็ตรหัสผ่านใหม่จะมี 6 ขั้นตอนดังนี้
1. ไปที่ iforgot.apple.com และใส่ Apple ID (email)
2. เลือกวิธีการพิสูจน์ตัวตน เลือก "Answer security questions"
3. ใส่วันเดือนปีเกิด
4. ตอบคำถามเพื่อความปลอดภัย
5. ใส่รหัสผ่านใหม่ แทนรหัสเดิม
6. เสร็จสิ้นขั้นตอน รหัสผ่านจะถูกเปลี่ยนไปใช้รหัสผ่านใหม่
ในขั้นตอนที่ 5 นี้เอง ถ้าก่อนหน้านี้ที่ยังช่องโหว่อยู่ URL ที่ส่งไปให้ยัง Apple server จะเป็นประมาณนี้
https://iforgot.apple.com/iForgot/resetPassword.html? forceBetterPlusPasswordRules=true&password=NEWPASSWORD aolParameter=false&borderValue=true&confirmPassword NEWPASSWORD&findAccount=false&myAppleIdImageURL https%3A%2F%2Fappleid.apple.com%2Fcgi-bin%2FWebObjects%2F MyAppleId.woa%3Flocalang%3Den_US&appendingURL &urlhit=false&accountName=johnny%40apple.com
ซึ่ง URL นี้จะช่วยให้ ผู้ไม่ประสงค์ดี ข้ามขั้นตอนข้อ 4 ไปได้เลย แต่ตอนนี้ ไม่ต้องเป็นห่วง เพราะวิธีการนี้นั้น Apple ปิดไปเรียบร้อยแล้ว ถ้าเข้า URL แบบเทคนิคนี้ จะขึ้นหน้า “Your request could not be completed.” แทน แล้วก็ต้องเริ่มขั้นตอนการรีเซ็ตรหัสผ่านใหม่ แต่ไม่ต้องเป็นห่วงเพราะตอนนี้ทาง Apple ปิดช่องโหว่นี้ไปเรียบร้อยแล้ว
ที่มา : iMore
บทความนี้เขียนและเรียบเรียงโดย: ST.GiZMo
ติดตามข่าวสาร ของ iPhone, iPad ได้ทาง อีเมล, RSS feed หรือ Facebook Page รับรองไม่พลาดข่าว และบทความน่าสนใจ ส่งตรงถึงคุณทุกวัน ถ้าหาเรื่องที่ต้องการไม่เจอ ลอง ค้นหาข้อมูลในกล่อง search รับรองเจอง่าย ในคลิกเดียว ติดต่อ AppTube ได้ที่ "iphoneapptube @ gmail.com"
0 Responses to “Apple ปิดช่องโหว่ iForgot ที่ใช้ reset password เพียงใส่ email และวันเกิดเรียบร้อยแล้ว”
Post a Comment