แถลงการณ์ว่าด้วยการสืบย้อนผู้ใกล้ชิด (contact tracing) 19 เม.ย. 2563

19 เม.ย. 2563 นักวิทยาศาสตร์และนักวิจัยมากกว่า 300 คนจากทั่วโลก ลงชื่อในแถลงการณ์ร่วม “Joint Statement on Contact Tracing” ว่าด้วยการสืบย้อนกลับว่าบุคคลเคยสัมผัสใกล้ชิดผู้มีเชื้อหรือไม่ เพื่อประโยชน์ในการควบคุมโรคจากไวรัสโคโรนาสายพันธุ์ใหม่ โควิด-19

ใครสนใจก็กดอ่านและร่วมลงชื่อได้ที่ Joint Statement on Contact Tracing: Date 19th April 2020

ประเด็นสำคัญเรื่องหนึ่งในแถลงการณ์ก็คือ เรื่อง “social graph” หรือผังความสัมพันธ์ระหว่างบุคคลในสังคม ซึ่งสามารถสร้างขึ้นจากการประกอบเชื่อมโยงชิ้นส่วนข้อมูลเล็กๆ เข้าด้วยกัน

  • ข้อมูลบางชุดนั้น ดูเผินๆ อาจเหมือนระบุตัวบุคคลไม่ได้ แต่พอมีข้อมูลเยอะเข้า เช่น หมายเลขโทรศัพท์ ประกอบกับการบังคับลงทะเบียนซิมการ์ด ก็พอจะระบุตัวคนได้ (รู้ว่า “จุด” นี้คือใคร) และเมื่อประกอบกับข้อมูล “ที่ตั้ง” ทั้งในแบบที่ตั้งภูมิศาสตร์ และที่ตั้งเชิงสัมพัทธ์ ว่าตอนนี้ตั้งอยู่ข้างใคร ตั้งอยู่ใกล้อะไร โดยใช้ข้อมูลจากรหัส Bluetooth, ชื่อ WiFi, ตำแหน่ง GPS, หมายเลขเสาสัญญาณโทรศัพท์ ก็พอจะบอกได้ว่า คนเหล่านี้อาจมีความสัมพันธ์อะไรกันบางอย่าง จึงมาอยู่ด้วยกันในสถานที่และเวลาเดียวกันบ่อยๆ (รู้ว่ามี “เส้น” ลักษณะใดที่ลากเชื่อม “จุด” สองจุดหรือมากกว่าเข้าด้วยกัน)
  • ข้อมูลตำแหน่งที่ตั้งทางภูมิศาสตร์หรือข้อมูลการเดินทางนั้น จำนวนหนึ่งเปลี่ยนแปลงไปเร็วและอาจจะไม่เกิดซ้ำ แต่อีกจำนวนหนึ่งก็มีลักษณะเกิดซ้ำๆ และกว่าจะเปลี่ยนรูปแบบก็อาจใช้เวลาเป็นหน่วยปี (เช่น เมื่อเราเปลี่ยนที่เรียน ที่ทำงาน ย้ายบ้าน)
  • แต่ข้อมูลผังความสัมพันธ์ของคนนั้นเปลี่ยนแปลงช้ากว่านั้นมากๆ คืออาจเป็นระดับสิบปีหรือนานกว่านั้น ข้อมูลที่ถูกเก็บไปในช่วงสั้นๆ ไม่กี่เดือนนี้ ก็เพียงพอแล้วที่จะใช้กับบุคคลนั้นไปได้ตลอดชีวิต ระบบที่ทำงานแบบรวมศูนย์ ที่นำข้อมูลเหล่านี้ไปกองอยู่รวมกัน จึงมีความเสี่ยงอย่างมากหากมีผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลนี้ได้

ระบบที่เราจะพึ่งพาได้นั้น จึงต้องเป็นระบบที่อยู่ภายใต้อำนาจของสาธารณะที่จะตรวจสอบได้ และออกแบบมาให้รักษาความเป็นส่วนตัวตั้งแต่ขั้นการออกแบบ (by design) แทนที่จะไปคาดหวังว่าจะมีคนที่น่าเชื่อถือมาดูแลบริหารจัดการ เพื่อจะรับประกันได้ว่าสิทธิในการได้รับการปกป้องข้อมูลของพลเมืองนั้นจะได้รับการเคารพ

“We urge all countries to rely only on systems that are subject to public scrutiny and that are privacy preserving by design (instead of there being an expectation that they will be managed by a trustworthy party), as a means to ensure that the citizen’s data protection rights are upheld.”

ในแถลงการณ์ระบุว่า หลักการดังต่อไปนี้เป็นหลักการขั้นต่ำที่ควรยึดถือเพื่อเดินไปข้างหน้า:

  • แอป contact tracing จะต้องใช้สำหรับสนับสนุนมาตรการทางสาธารณสุขสำหรับการจำกัดการแพร่กระจายของ #COVID19 เท่านั้น ระบบจะต้องไม่สามารถเก็บ ประมวลผล หรือส่งข้อมูล ไปมากกว่าที่จำเป็นสำหรับการบรรลุวัตถุประสงค์ดังกล่าว
  • วิธีการใดๆ ที่นำมาพิจารณาจะต้องโปร่งใสเต็มที่ โพรโทคอลและการสร้างระบบจากโพรโทคอลดังกล่าว ซึ่งรวมถึงชิ้นส่วนย่อยที่จัดหามาให้โดยบริษัทต่างๆ จะต้องถูกพิเคราะห์พิจารณ์ได้โดยสาธารณะ ข้อมูลที่ถูกประมวล รวมถึงเงื่อนไขการจัดเก็บ วิธีการจัดเก็บ สถานที่ที่จัดเก็บ และระยะเวลาการจัดเก็บข้อมูล จะต้องถูกบันทึกเป็นเอกสารเอาไว้อย่างชัดเจน ข้อมูลที่ถูกเก็บจะต้องมีน้อยที่สุดเท่าที่จะเป็นไปได้สำหรับการวัตถุประสงค์หนึ่งๆ
  • เมื่อมีทางเลือกที่เป็นได้หลายทาง สำหรับการสร้างชิ้นส่วนหรือความสามารถของแอป ทางเลือกที่จะรักษาความเป็นส่วนตัวได้มากที่สุดจะต้องถูกเลือก การเบี่ยงเบนไปจากหลักการนี้จะเกิดขึ้นได้ก็ต่อเมื่อมีความจำเป็นที่จะต้องบรรลุวัตถุประสงค์ของแอปให้ได้มีประสิทธิผลมากขึ้น และการเลือกทางเลือกดังกล่าวจะต้องถูกอธิบายแสดงเหตุผลอันสมควรได้อย่างชัดเจน โดยมีข้อกฎหมายที่จะกำหนดวันสิ้นสุดหรือวันหมดอายุของทางเลือกดังกล่าว (sunset provisions)
  • การใช้แอป contact tracing และระบบที่สนับสนุนมัน จะต้องเป็นไปโดยสมัครใจ ใช้โดยได้รับความยินยอมอย่างชัดเจนจากผู้ใช้ และระบบต่างๆ จะต้องถูกออกแบบมาให้สามารถสั่งปิดการทำงานได้ และข้อมูลทั้งหมดจะต้องถูกลบทิ้ง เมื่อวิกฤตในปัจจุบันนี้ได้ผ่านไปแล้ว

สหภาพยุโรปก็มีแนวทางเรื่องนี้ออกมาเช่นกัน โดยออกเป็น Commission Recommendation (EU) 2020/518 ลงวันที่ 8 เมษายน 2563 และในรายละเอียดจะมีเอกสารที่เรียกว่า “toolbox” ตามมาอีกเรื่อยๆ

ตอนนี้ชิ้นแรกที่ออกมาคือ Mobile applications to support contact tracing in the EU’s fight against COVID-19 – Common EU Toolbox for Member States

โดยตัวข้อแนะนำหรือข้อระบุสิ่งที่ต้องทำก็จะเจาะจงกับการทำตามข้อกฎหมายและหลักการสิทธิเสรีภาพพื้นฐานของสหภาพยุโรป แต่ก็น่าจะพอปรับใช้ได้กับที่อื่นๆ เช่นกัน ประเด็นก็จะคล้ายๆ แถลงการณ์ข้างบน แต่มีเพิ่มเรื่อง เช่น การทำงานร่วมกับและได้รับการรับรองโดยหน่วยงานที่มีอำนาจรับผิดชอบด้านสาธารณสุข การพัฒนาบนฐานของข้อมูลที่ระบุตัวตนไม่ได้ การทำงานได้แม้จะข้ามพรมแดน (ซึ่งสำคัญมากในบริบทเสรีภาพในการเดินทางของบุคคล ซึ่งเป็นหนึ่งในสี่เสาหลักของตลาดร่วมยุโรป) การคำนึงถึงการออกแบบให้ทุกคนเข้าถึงได้ (accessibility)

The toolbox sets out the essential requirements for these apps:

  • They should be fully compliant with the EU data protection and privacy rules, as put forward by the guidance presented today following consultation with the European Data Protection Board.
  • They should be implemented in close coordination with, and approved by, public health authorities.
  • They should be installed voluntarily, and dismantled as soon as no longer needed.
  • They should aim to exploit the latest privacy-enhancing technological solutions. Likely to be based on Bluetooth proximity technology, they do not enable tracking of people’s locations.
  • They should be based on anonymised data: They can alert people who have been in proximity for a certain duration to an infected person to get tested or self-isolate, without revealing the identity of the people infected.
  • They should be interoperable across the EU so that citizens are protected even when they cross borders.
  • They should be anchored in accepted epidemiological guidance, and reflect best practice on cybersecurity, and accessibility.
  • They should be secure and effective. 

การร่วมสร้างอัตลักษณ์ “คนดี” โดยมวลมหาประชาชน: กรณีศึกษาสื่อส่วนบุคคล

โดย อาจินต์ ทองอยู่คง และ อาทิตย์ สุริยะวงศ์กุล ธันวาคม 2560

งานวิจัยนี้ใช้แนวคิดเรื่อง “มีม” (meme) ศึกษาการมีส่วนร่วมในขบวนการทางการเมืองในประเทศไทยช่วงปี 2556-2557 ผ่านการผลิตมีมของผู้สนับสนุนขบวนการ โดยใช้นิยามของมีมว่า “หน่วยของการส่งผ่านวัฒนธรรม”

  • มีม (meme) ในฐานะหน่วยที่เล็กที่สุดทางวัฒนธรรม เป็นแนวคิดที่ล้อกับ ยีน (gene) ในฐานะหน่วยที่เล็กที่สุดทางพันธุกรรม
  • มีมที่ประสบความสำเร็จ คือมีมที่ถูกคัดลอก ทำซ้ำ
  • Mike Godwin เสนอว่า มีมคือสิ่งที่สามารถรวบยอดความคิดของทั้งสายความคิด

หนึ่งในข้อเสนอของงานก็คือ ในแง่กระบวนการ มวลชนนั้นร่วมผลิตเนื้อหาที่ไหลเวียนในขบวนการด้วย ความคิดในขบวนการไม่ได้มาจากด้านบน (โดยแกนนำ) และไหลลงสู่ผู้สนับสนุนเท่านั้น แต่ผู้สนับสนุนก็ร่วมผลิตด้วย (และบางส่วนก็ไหลขึ้นไปสู่แกนนำ) — สิ่งที่คิดต่อไปจากข้อเสนอนี้ได้ก็คือ เมื่อมวลชนไม่ได้เป็นเพียงปัจเจกที่ไหลไปตามกระแสที่แกนนำกำหนด แต่ยังตัดสินใจกระทำการบางอย่าง ดังนั้นก็ต้องร่วมรับผิดชอบด้วยหรือไม่

สิ่งที่พบจากงานศึกษานี้อีกอย่างหนึ่ง คือลักษณะร่วมในมีมที่ถูกผลิตที่พอจะอธิบายได้ว่า อะไรคือ “คนดี” ในสายตาของผู้สนับสนุนการเมืองในแนวทางของ กปปส.

ดาวน์โหลดเอกสารนำเสนอและรายงานฉบับสมบูรณ์ได้ที่ท้ายโพสต์นี้ – มีลิงก์วิดีโอนำเสนอที่ด้านท้ายด้วย

When a meme catches on, it may crystallize whole school of thoughts.

โจทย์วิจัยและวิธีการศึกษา

โจทย์วิจัย

มวลชนร่วมผลิตอะไร – อย่างไร? สร้างอัตลักษณ์แบบไหน?

วิธีการศึกษา
เราจะดู การร่วมผลิต ผ่านอะไรได้บ้าง? โครงการวิจัยนี้เลือกดู

  • มีม – การผลิตออนไลน์
  • สินค้ารักชาติ – การผลิตออฟไลน์
  • เซเล็บ – บุคคลในฐานะที่เป็นสื่อ

โดยมองว่าสื่อส่วนบุคคลทั้ง 3 สิ่งนี้คือ “ภาชนะ”

โจทย์วิจัย: มวลชนร่วมผลิตอะไร - อย่างไร? สร้างอัตลักษณ์แบบไหน? (ภาพสินค้ารักชาติจากการชุมนุม กปปส.)

ทุนกับการผลิตสื่อ

เราพบว่า “ทุน” ในลักษณะต่างๆ ที่ผู้สนับสนุนมี ทั้งทุนทางเศรษฐกิจ ทุนทางสังคม และทุนทางวัฒนธรรม ทำให้สามารถผลิตสื่อส่วนบุคคลที่มีพลังทั้งทางรูปแบบ เนื้อหา และปฏิบัติการได้

  • มีม – ส่งต่อความคิด แสดงอัตลักษณ์ออนไลน์ ช่วยในการเปล่งความคิดออกมาเป็นคำพูด (articulate) ผลิตง่าย-รู้สึกได้ร่วมขบวนการ รู้สึกเป็นส่วนหนึ่งของขบวนการมากขึ้น
  • สินค้ารักชาติ – แสดงอัตลักษณ์และจุดยืนบนร่างกาย พาการชุมนุมออกไปนอกพื้นที่การชุมนุมอย่างเป็นทางการ ไปสู่พื้นที่ส่วนตัว พื้นที่ที่ใช้ร่วมกับเพื่อนร่วมงาน ครอบครัว พื้นที่ที่ใช้ร่วมกับคนแปลกหน้า เช่น ในรถโดยสารสาธารณะ ทำให้เห็นคนที่มีจุดยืนแบบเดียวกันโดยต่างฝ่ายต่างไม่ต้องเปล่งเสียง
  • เซเล็บ – ได้รับความสนใจจากสังคม เป็นผู้มีอิทธิพลทางความคิด โอกาสถูกผลิตซ้ำจากสื่อกระแสหลัก/สื่อดั้งเดิม เป็นตัวอย่างในการแสดงออก พื้นที่สื่อสังคมส่วนตัวในฐานะพื้นที่สาธารณะ
แผนผังแสดงพื้นที่แลกเปลี่ยน รูปแบบของสื่อ (ที่อยู่ของมีม) และเทคโนโลยีการผลิต

การผลิตสื่อส่วนบุคคลที่เป็นภาชนะส่งต่อความคิดและร่วมสร้างอัตลักษณ์ของขบวนการนี้ ใช้ “ทุน” (ในลักษณะที่ Pierre Bourdieu จำแนกไว้ใน “The Forms of Capital” [1986]) เป็นปัจจัยในการผลิตและการเข้าถึง “ตลาด”

ผลผลิตของมวลมหาประชาชน: การเคลื่อนไหวทางการเมืองที่ถูกทำให้ไม่เป็นการเมือง

ในกรณีของขบวนการ กปปส. (คณะกรรมการประชาชนเพื่อการเปลี่ยนแปลงปฏิรูปประเทศไทยให้เป็นประชาธิปไตยที่สมบูรณ์แบบอันมีพระมหากษัตริย์ทรงเป็นประมุข) งานศึกษาพบว่าสิ่งที่มีร่วมกันในมีมต่างๆ ที่ถูกผลิตนั้น คือการหลีกเลี่ยงความเป็นการเมือง ความเป็นการเมืองคือสิ่งไม่ดี

  • การกลายเป็นแฟนชั่นของการเคลื่อนไหวทางการเมือง
  • ลักษณะร่วมของ 3 สื่อ: สื่อสารประเด็นทางการเมืองในรูปแบบที่(พยายามทำให้)ดูไม่เป็นการเมือง
  • การเคลื่อนไหวทางการเมืองที่ถูกทำให้ดูไม่เป็นการเมือง (depoliticized political movement)
  • “ขบวนการทางการเมืองแบบคนดี” คือขบวนการทางการเมืองที่(ดู)ไม่เป็นการเมือง (apolitical political movement)
  • อัตลักษณ์: การหลีกเลี่ยงความเป็นการเมือง

งานศึกษาแยก: กรณีมีมอื่นๆ ในช่วงเวลาใกล้เคียงกัน

การผลิตมีมจำเป็นต้องอาศัยทุน การบริโภคมีมเองก็ต้องอาศัยทุน ซึ่งในแง่การเข้าใจมีมชุดหนึ่งจำเป็นต้องอาศัยทุนทางวัฒนธรรม สิ่งนี้อาจถูกใช้เพื่อสร้างภาษาเฉพาะเพื่อหลบเลี่ยงการปิดกั้นการแสดงความคิดเห็น (ทั้งจากรัฐหรือจากสังคม) แต่ในขณะเดียวกันก็อาจเป็นอุปสรรคในการส่งต่อความคิดออกไปยังวงสังคมที่กว้างขึ้น

The Art of Speaking on the Line

การนำเสนอจบโครงการ

การนำเสนอในสัมมนาสรุปโครงการวิจัย เมื่อวันศุกร์ที่ 15 ธันวาคม 2560เวลา 9.00 – 17.00 น. ณ ห้องประชุมบุญชู โรจนเสถียรอาคารอเนกประสงค์ 1 มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์ (ดูกำหนดการ)

การนำเสนอของ อาจินต์ และ อาทิตย์ จะอยู่ในคลิปที่ 3 ของ playlist ตั้งแต่ประมาณนาทีที่ 26:40 เป็นต้นไป หลังการนำเสนอของ ประจักษ์ ก้องกีรติ (ประเด็นว่า ศีลธรรม กับ ความรุนแรง ไปด้วยกันได้อย่างไรในขบวนการ)

ดาวน์โหลด

โครงการวิจัยนี้เป็นส่วนหนึ่งของชุดโครงการ การเมืองของคนดี: ความคิด ปฏิบัติการ และอัตลักษณ์ทางการเมืองของผู้สนับสนุน “ขบวนการเปลี่ยนแปลงประเทศไทย” (“Good Man’s Politics”: Political Thoughts, Practices and Identities of the “Change Thailand Movement” Supporters) สนับสนุนโดย สำนักงานกองทุนสนับสนุนการวิจัย (สกว.) — ดูการสังเคราะห์จากงานของทั้งชุดโครงการวิจัยได้ใน อภิชาตและอนุสรณ์ 2560

ขอบคุณรายการ คนสวยเรียนสูงออนแอร์ EP. 5 ตอน hashtag the movement: ปั่นยังไงให้จีนสะดุ้ง (19 เม.ย. 2563) ที่ทำให้สลัดความขี้เกียจ รวบรวมลิงก์ต่างๆ มาโพสต์เสียที

“สุดงดงาม!!! นศ.ม.ศรีปทุม จัดทำภาพชุดพี่ตูน ใส่กรอบอย่างดี ติดชื่อผู้บริจาค นำรายได้สมทบ“ก้าวคนละก้าว”..โซเชียลแห่แชร์สนั่นหวั่นไหว!!!” — ทีนิวส์ 7 ธ.ค. 2560

การสืบย้อนคนที่เคยใกล้กัน ที่ยังรักษาความเป็นส่วนตัว ในบริบท #COVID19

เขียนไว้ในเฟซบุ๊กและทวิตเตอร์ ชวนคุยเรื่องแอปติดตามผู้เคยอยู่ใกล้ผู้เป็นโรคที่อาจติดต่อได้ (contact tracing) กับความอธิบายได้ทางนโยบาย การเลือกปฏิบัติ และผลกระทบที่อาจอยู่กับเราไปนานกว่าอายุของวิกฤต?

TraceTogether ของสิงคโปร์

ทางสิงคโปร์ที่เราพอได้ยินจากข่าวมาบ้าง วันนี้มีโปรโตคอลกับตัวซอร์สโค้ดออกมาแล้ว

  • BlueTrace เป็นโปรโตคอล ที่เขาใช้คำว่า “privacy-preserving cross-border contact tracing”
  • OpenTrace เป็นแอปที่ใช้ BlueTrace (open source reference implementation)
  • TraceTogether เป็น OpenTrace ที่ปรับแต่งเพื่อใช้ในสิงคโปร์

ทาง GovTech หน่วยงานด้านเทคโนโลยีรัฐบาลของสิงคโปร์ เล่าเรื่องของ OpenTrace ไว้ที่ 6 things about OpenTrace

ไอเดียรวมๆ คือใช้บลูทูธเพื่อเก็บข้อมูลว่า เราเคยไปอยู่ใกล้ใครบ้าง (มือถือของเราเคยไปอยู่ใกล้ใครมือถือเครื่องไหนบ้าง) คือมองว่าต้องการติดตามการติดต่อที่อาจเกิดขึ้นได้ระหว่างคนสู่คนโดยตรง ดังนั้นสิ่งที่สนใจ คือการอยู่ใกล้ชิดของคน ไม่สนใจว่าคนนั้นจะไปอยู่ที่ไหน — คือเก็บเฉพาะ who ไม่เก็บ where

เท่าที่ดูในข่าว Channel News Asia เป็นการเปิดให้ใช้ตามความสมัครใจ ไม่บังคับ แต่ก็เชิญชวน

ThaiAlert (รอประกาศชื่อจริง)

ส่วนนี่เป็นแอปโดยกลุ่ม Code for Public ใน GitHub ใช้ชื่อว่า “contact-tracer”

ไอเดียคล้ายกันในส่วนการใช้บลูทูธ แต่เพิ่มเติมการเก็บตำแหน่งที่ตั้งจาก GPS มาด้วย — ก็คือเก็บทั้ง who และ where

NuuNeoi อธิบายแนวคิดไว้ในบล็อกของเขา (ภาษาไทย – เป็นคนไทย)

คุณลิ่วไปทักเรื่องการเปิดเผย user id ระหว่าง broadcast ใครสนใจตามต่อได้ในเฟซบุ๊กของ NuuNeoi

เข้าใจว่าวันศุกร์ที่ 10 เมษายนนี้ จะมีการประกาศใช้แอปจากกลุ่ม Code for Public นี้ในประเทศไทย (มี DEPA และ DGA ของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมสนับสนุน)

ระบบอื่นๆ

ตอนนี้ก็มีระบบอื่นที่เสนอกันมาเยอะ เช่น

  • WeTrace เป็นแบบทำนอง TraceTogether จากสวิตเซอร์แลนด์
  • Decentralized Privacy-Preserving Proximity Tracing (DP-3T) จาก EPFL+ทีม
  • Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) ที่เป็นโครงการระดมสมองออกแบบในทวีปยุโรป
  • หรือวิธีการเก็บตำแหน่งไว้ในเครื่องโดยมีกลไกป้องกันของ MIT Private Kit (ในนั้นมี whitepaper ชื่อ Apps Gone Rogue: Maintaining Personal Privacy in an Epidemic ด้วย ถ้าสนใจลองดูได้)

ระบบเหล่านี้อาจมีแนวคิดในการออกแบบต่างกัน บางระบบรวมศูนย์ (centralized) บางระบบกระจาย (decentralized) บางอันเก็บแค่ ใคร (who) บางอันเก็บ ที่ไหน (where) ด้วย แต่รวมๆ ก็พยายามบันทึกข้อมูลให้น้อยที่สุดเท่าที่จะใช้ติดตามผู้ที่เคยอยู่ใกล้ผู้ติดเชื้อได้ ตามที่ผู้ออกแบบเห็นว่าเหมาะสมกับบริบทของพื้นที่ที่จะเข้าไปดูแล

สิ่งที่น่าห่วงกว่าเรื่องเทคนิค — การเลือกปฏิบัติ?

แม้ในทางเทคนิค กว่าจะแปลงจากจากอัลกอริทึมสู่แอปที่รันจริงในมือถือเรา มันก็มีเรื่องต้องระวังกันในแต่ละขั้นอยู่แล้ว

อย่างไรก็ตาม สิ่งที่น่าเป็นห่วงมากที่สุด (ในบริบทของแอปที่จะยิ่งคนใช้เยอะยิ่งมีประโยชน์เยอะ คนใช้น้อยก็ยังมีประโยชน์อยู่แต่ก็น้อยลงไป) อาจไม่ใช่เรื่องทางเทคนิค แต่เป็นเรื่องว่า รัฐจะใช้วิธีอะไรให้คนมาใช้แอป หรือรู้ข้อมูลแล้วจะทำอย่างไรต่อ รู้แล้วจะมีมาตรการทางสาธารณสุข-สังคม-กฎหมาย อะไรตามมา

ตัวอย่าง:

หากกำหนดว่าใครไม่ลงแอปก็จะไม่รับรักษา หรือจัดลำดับการรักษาไว้ท้ายๆ หรือใช้ข้อมูลที่ได้มาในการจำกัดสิทธิอื่น

เช่น ไม่ให้ใช้สิทธิประกันสุขภาพหรือประกันสังคม จะรักษาต้องจ่ายเงินเองทั้งหมด ไม่ให้เข้าถึงบริการสาธารณะ ไม่ให้ใช้ขนส่งสาธารณะ ไม่ให้ติดต่อราชการ ไม่ให้เข้าร้านค้า (รัฐจะไปบังคับให้ร้านค้าต้องมีมาตรการนี้อีกที) ตัดสิทธิ์การเข้าถึงเน็ต (ซึ่งในบริบทการที่ต้องอยู่บ้านไปไหนไม่ได้สะดวก ก็เป็นเรื่องใหญ่มาก เพราะไปจำกัดความสามารถในการทำงานหารายได้ การทำธุรกรรมทางการเงิน การซื้อของกินของใช้ การศึกษา การติดต่อกับญาติ และการเข้าถึงข่าวสาร คนตอนนี้คนพึ่งเน็ตมากกว่าปกติ)

เหล่านี้เป็นเรื่องทำได้หรือไม่ เพราะอะไร จะเป็นการขัดต่อสิทธิในการได้รับการรักษาพยาบาลหรือไม่ (คือต่อให้ไม่มีข้อมูลว่าเคยไปอยู่กับใคร แต่ถ้ามีอาการเข้าข่าย ก็ควรได้รับการรักษาหรือไม่?)

ตรงนี้นอกจากเรื่องสิทธิพลเมืองแล้ว ในแง่จริยธรรมทางการแพทย์ก็ต้องตอบให้ได้ชัดเจนด้วย

(อันนี้ยังไม่นับเรื่องความเป็นเจ้าของสมาร์ตโฟน การเข้าถึงโครงข่าย ฯลฯ)

วันศุกร์ที่ 10 เมษานี้ ถ้าจะมีการประกาศใช้แอปจริง รายละเอียดที่น่าติดตามคือ จะใช้อะไรในการ “บังคับ” หรือ “จูงใจ” คนให้ติดตั้งแอป และถ้าไม่มีแอป ไม่มีข้อมูล ไม่ว่าด้วยเหตุผลอะไร จะเก็บอะไรขึ้นกับบุคคลนั้น

หน้าที่ในการอธิบายของผู้ใช้อำนาจ

ไม่ว่าจะเลือกใช้มาตรการทางเทคโนโลยี ทางกฎหมาย และทางสาธารณสุขอะไรก็ตาม หน้าที่ในการอธิบายตัวนโยบายและตัวการออกแบบทางเทคนิคต่างๆ ให้คนทั่วไปที่จะได้รับประโยชน์และผลกระทบจากนโยบายดังกล่าวได้เข้าใจอย่างชัดเจน เป็นหน้าที่ของผู้มีอำนาจตัดสินใจเลือก

อย่างของ BlueTrace มีอธิบายข้อพิจารณาทางนโยบายของรัฐบาล ซึ่งเป็นที่มาของการออกแบบตัวโปรโตคอลทางเทคนิคที่นี่ https://bluetrace.io/policy/

หากมีหน่วยงานใดก็ตามในไทย ประกาศจะทำ contact tracing ทำนองนี้สำหรับโรคระบาด ไม่ว่าจะเป็น #COVID19 หรือโรคใดก็ตาม เราก็คาดหวังคำอธิบายอะไรทำนองนี้เหมือนกัน ไม่ใช่เพียงเรื่องเทคนิค แต่เป็นเรื่องว่าการตัดสินใจใช้มาตรการต่างๆ นี้จะทำให้เกิดอะไร มีประโยชน์อะไร จะเอาอะไรไปแลกให้ได้ประโยชน์นั้นมา การเอาสิ่งนั้นไปแลก อาจมีผลกระทบอะไร ป้องกันความเสียหายยังไง เยียวยายังไง คือไม่ใช่ว่าค้านไม่ให้ทำไปเสียหมด ถ้าสมเหตุสมผล อธิบายได้หมด เราในฐานะประชาชนก็ควรสนับสนุน และจริงๆ การตั้งคำถามเหล่านี้ ก็คือการสนับสนุนทางหนึ่ง เป็นการสนับสนุนให้ทำอย่างรับผิดชอบ

ผลกระทบที่จะอยู่กับเราเกินอายุของวิกฤต

ช่วงเวลานี้ก็เป็นช่วงเวลาที่ทุกสาขาอาชีพ (รวมไปถึงสิ่งที่อธิบายในเชิงอาชีพไม่ได้) ก็ทำในเรื่องที่เขาถนัดเพื่อช่วยเท่าที่ทำได้ สายคอมก็ดูมีเรื่องน่าตื่นเต้นเยอะ เป็นพรมแดนใหม่ๆ ความท้าทายใหม่ๆ อันนึงที่หลายคนก็ระวังกันอยู่แล้วก็คือ การตัดสินใจในภาวะวิกฤต ฉุกเฉิน เกี่ยวกับความเป็นความตาย ที่มีแนวโน้มจะทำให้เราเร่งตัดสินใจเพื่อแก้ปัญหาตรงหน้านี้ จะมีผลอยู่กับเรายาวนานกว่าตัววิกฤตเองหรือเปล่า และผลที่ว่านั้นเป็นผลที่เราอยากจะอยู่กับมันไปยาวๆ จริงไหม หรือมันมีวิธีอะไรที่จะจำกัดผลดังกล่าวให้อยู่แค่ช่วงสั้นๆ แค่ในช่วง “ภาวะยกเว้น” นี้ แต่ไม่ใช่ตลอดชีวิตเราและหลังจากชีวิตเรา

Paul-Olivier Dehaye, director of PersonalData.IO, speaks to Open Rights Group about the use of contact tracing surveillance in the global response to Covid-19.

Complain-driven development

Adapting and Adjusting Change Management in an Agile Project

อย่าไปคิดแก้ปัญหาให้ครบถ้วนรอบด้าน มันทำไม่ได้ แก้เฉพาะเท่าที่ “จำเป็น” ก่อน ติดขัดไม่เป็นไร ค่อยๆ แก้ไข (ใครเดือดร้อนระหว่างนั้นก็ “ช่วยไม่ได้” จริงๆ) และต้องให้กำลังใจคนทำงานด้วย

อันไหนเป็นบั๊กแต่แก้ไม่ทัน ไม่อยากแก้ตอนนี้ หรือยังคิดไม่ออก ตอบกลับใน issue tracker เลย ว่า “Works for Me” หรือไม่ก็ให้ AE หรือ PR ช่วยคุยหน่อย บอกว่าจริงๆ มันเป็นฟีเจอร์ lol

Hello Dublin

Haven’t posted anything here for like a year. This is just a quick one the mark the fact that I have moved from Bangkok to Dublin recently and most likely will be here for the next four years. — Khao San road, I miss you already.

Hope to have a productive and fun time in this city (so far so good). Getting back to the student life at the age of 40 is interesting. I will doing a research on the governance of artificial intelligence system and the protection of privacy at ADAPT Centre, under SFI Centre for Research Training in Digitally-Enhanced Reality (D-REAL) training program, and now registered as a PhD student (yay! student discounts are underway) at Trinity’s School of Computer Science and Statistics.

Will of course still associated with Thai Netizen Network and the works on digital rights in Thailand and Southeast Asia.

นานๆ โพสต์ที หวังว่าหลังจากนี้จะโพสต์สม่ำเสมอขึ้น ถึงดับลินแล้ว ชีวิตโอเค วันนี้เป็นวันที่ 12 นับตั้งแต่ลงเครื่อง มีมิตรสหายท่านหนึ่งไปรับถึงสนามบินด้วย ขอบพระคุณ

แดดดีมากวันนี้ วันอื่นนี่ฝนตกเกือบทุกวัน มากบ้างน้อยบ้าง เหยียบกระเบื้องน้ำปรี้ดไปสองแผ่นนับตั้งแต่มา ทำให้หายคิดถึงกรุงเทพได้ 55555

เขียนและออกแบบหน้าตานโยบายความเป็นส่วนตัว-นโยบายการใช้ข้อมูล

มิตรสหายท่านหนึ่งถามมาเรื่องการทำนโยบายความเป็นส่วนตัว (privacy policy) หรือนโยบายการใช้ข้อมูล (data policy) สำหรับพวกบริการนั่นนี่ ค้นๆ มานิดหน่อย เอามาแปะรวมไว้ตรงนี้ละกัน ง่ายดี

ส่วนเทมเพลตนั้นมีอยู่เยอะแยะในเน็ต แต่เวลาใช้ก็ระวังหน่อย คือสุดท้ายมันควรจะตั้งต้นจากบริการหรือกิจการของเราเป็นหลัก ผู้ใช้เขาอยากรู้อะไร เราต้องการสื่อสารอะไร ซึ่งจะตอบเรื่องเหล่านี้ได้ เราต้องวาดภาพ data flow ของระบบเราให้ได้ก่อน จะได้รู้ว่าข้อมูลประเภทไหนวิ่งจากไหนไปไหน มีอะไรที่ต้องแจ้งหรือขออนุญาตกับใครบ้าง

หน้าแรกของนโยบายความเป็นส่วนตัวของเว็บไซต์ Juro
หน้าแรกของนโยบายความเป็นส่วนตัวของเว็บไซต์ Juro

 

เจ้าหน้าที่รัฐกับ gated community

เรื่องหลักๆ ที่ผมไม่ค่อยชอบไอเดียที่ทำงานหรือที่พักข้าราชการที่เป็นศูนย์ขนาดใหญ่ลักษณะ compound แยกไปต่างหากจากส่วนอื่นของเมือง (แบบศูนย์ราชการแจ้งวัฒนะหรือแบบบ้านพักตรงตีนดอยสุเทพ) มันเป็นเรื่องสถาปัตยกรรมการจัดแบ่งพื้นที่เลยนะ คือสุดท้าย มันเป็นไปได้ใช่ไหม ว่าชีวิตคนเหล่านี้จะมีปฏิสัมพันธ์กับคนนอกแวดวงทำงานน้อยลงอีกมาก

ไปทำงานในศูนย์ราชการก็เจอแต่พวกเดียวกัน (กับคนทำงานบริการที่โดยความสัมพันธ์เชิงอำนาจมีฐานะต่ำกว่า) กลับบ้านก็เจอแต่พวกเดียวกัน ครอบครัวก็มีแต่เพื่อนบ้านที่มาจากแวดวงเดียวกัน แล้วจะไม่ค่อยมีคนขัดคุณเท่าไรหรอก ซึ่งอันตรายนะ อยู่แบบนี้ไปนานๆ โลกทัศน์ของคนเหล่านี้จะเป็นอย่างไร

เรากำลังพูดถึงคนที่โดยบทบาทหน้าที่จะต้องไปตัดสินข้อขัดแย้งและวางบรรทัดฐานบางอย่างให้กับสังคมนะครับ ภาพสังคมในจินตนาการของพวกเขา กับภาพสังคมในจินตนาการของคนที่เหลือในประเทศ มันจะออกมาเหมือนกันไหม ถ้าใช้ชีวิตกันแบบพื้นที่แทบจะไม่ทับกันเลย หรือทับกันเฉพาะในบทบาท “ผู้รับบริการ-ผู้ให้บริการ” ซึ่งมีอำนาจไม่เท่ากัน

สิ่งนี้เป็นประเด็นเดียวกันกับที่คนวิพากษ์วิจารณ์กันว่า สถาบันตุลาการไทยไม่ยึดโยงกับประชาชน

คือยังไม่ต้องไปพูดถึงกระบวนการเข้าสู่อำนาจเลย (อย่างที่บางประเทศผู้พิพากษาศาลฎีกาถูกเสนอชื่อผ่านกระบวนการทางรัฐสภาหรือทางผู้นำที่มาจากการเลือกตั้ง-และเป็นสมาชิกพรรคการเมืองได้อย่างเปิดเผย) เอาแค่คำถามว่า ตกลงเราใช้ชีวิตอยู่ใน “สังคม” เดียวกันจริงๆ หรือไม่ ยังเป็นสิ่งท้าทายเลย

เรื่องนี้สำคัญ เพราะ *ถ้า* ในทางปฏิบัติแล้ว ผู้พิพากษาไม่ได้อยู่ในสังคมเดียวกับเรา ก็แปลว่าคำพิพากษาและการตีความกฎหมายใดๆ ที่จะส่งผลผูกพันกับเราทุกคน กลับไม่มีโอกาสผูกพันกับตัวผู้พิพากษาเอง พูดอีกแบบคือ มีแนวโน้มจะเป็นการตัดสินแบบไม่จำเป็นต้องมี accountability หรือความรับผิดรับชอบใดๆ

เป็นผู้พิพากษาที่ลอยมาจากสวรรค์ ตัดสินชี้ชะตามนุษย์เสร็จก็บินกลับไปนอนอยู่บนเมฆสวยๆ ไม่ต้องทุกข์ร้อนจากการกระทำของตัว

ต่อให้ไปสร้างหมู่บ้านในเมือง ไม่ยุ่งกับป่า ผมว่าถ้ายังเป็นรูปแบบนี้ก็มีปัญหาข้างต้นอยู่ดี

เราจัดพื้นที่ให้ที่ทำงานและที่พักของเจ้าหน้าที่รัฐไม่แยกขาดจากพื้นที่ชีวิตของคนทั่วไปขนาดนี้ได้ไหม เจ้าหน้าที่รัฐกับประชาชนทั่วไปจะได้เป็นเพื่อนบ้านกันได้ เห็นชีวิตของกันและกันมากขึ้น

ผมคิดว่านี่เป็นปัญหาที่สำคัญที่สุด และไม่ได้เป็นปัญหาเฉพาะที่ #หมู่บ้านป่าแหว่ง ไม่ได้เป็นปัญหาเฉพาะกับข้าราชการตุลาการ แต่เป็นปัญหากับทุกหน่วยงาน

ถ้าเรามองว่า polarization การแบ่งขั้วแบ่งข้างจนไม่สนใจคนอื่น ทำให้คนมีพื้นที่ตรงกลางน้อยลงที่จะเข้าใจกัน (*ผมคิดว่าสุดท้ายเราเลือกข้างได้นะ ไม่จำเป็นต้องอยู่ตรงกลาง เพียงแต่ควรเข้าใจข้างอื่นๆ ด้วย) ไอ้ gated community อยู่กันเฉพาะพวกตัวเองแบบนี้ก็เป็นปัญหาแบบเดียวกัน (ผมไม่ค่อยชอบธรรมศาสตร์รังสิตในประเด็นนี้ด้วย)

ถ้าคิดว่าวาระสำคัญของชาติคือการ “ปรองดอง” ก็ควรจะออกมาดองกับคนอื่นบ้างน่ะครับ

….

ค้นคำว่า “gated community” เจอบทความนี้ของ นิธิ เอียวศรีวงศ์ จาก มิ.ย. 2560 – “ฐานทางสังคมของเผด็จการ”

(เผยแพร่ครั้งแรกในเฟซบุ๊ก 29 เม.ย. 2018)

ภาพประกอบ “Gated” โดย Gordon Joy สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน

ทำเว็บไซต์ให้ปลอดภัยขึ้นอีกนิดนึง ไม่ยากเกินไป ถ้าเขียนเว็บได้ก็น่าจะทำได้ #websecurity

ช่วงนี้เห็นเว็บไซต์ที่เกี่ยวกับคนใกล้ตัวโดนแฮ็กบ้าง หรือบางอันไม่ได้โดนแฮ็ก แต่เหมือนเอาของไปวางไว้หน้าบ้านรอคนมาหยิบเอาไปบ้าง เลยขอโน๊ตๆ ไว้หน่อย ถึงวิธีการป้องกันตัวเองเบื้องต้น (มากๆ) ที่คนทำเว็บน่าจะพอทำเองได้ครับ

เครื่องมือตรวจสอบเบื้องต้น (ส่วนใหญ่ฟรี)

ใครเป็นคนดูแลเว็บ ลองใช้เครื่องมือในลิงก์นี้ตรวจสอบเบื้องต้นก่อนก็ได้ครับ ว่าเว็บไซต์เรายังโอเคไหม: 12 Online Free Tools to Scan Website Security Vulnerabilities & Malware

เข้าไล่มา 12 เครื่องมือ ผมก๊อปมาให้ดูตรงนี้อีกที (บางตัวก็ทำงานคล้ายๆ กัน)

  • Scan My Server – ตรวจหารูรั่วอย่าง SQL injection, PHP injection, HTTP Header injection, cross site scripting (XSS)
  • SUCURI – ตรวจหามัลแวร์ ลิงก์สแปม
  • Qualys SSL Server Test – ตรวจความปลอดภัยของการเข้ารหัสลับข้อมูลที่เว็บไซต์รับส่ง
  • Quttera – ตรวจหามัลแวร์และรูรั่วอื่นๆ
  • Detectify – ตรวจหาจุดอ่อน เช่นจุดอ่อนตามรายการ OWASP Top 10 ที่เว็บแอปโดนเจาะบ่อยๆ
  • SiteGuarding – ตรวจหามัลแวร์ ลิงก์สแปม
  • Web Inspector – ตรวจหา backdoor มัลแวร์ เฟรมหรือการเชื่อมต่อแปลกๆ
  • Acunetix – ตรวจหาความผิดปกติที่ระดับเครือข่าย อย่าง DNS รวมไปถึงการตรวจหารูรั่วอื่นด้วย
  • Asafa Web – ตรวจหาการใช้คุกกี้ที่ไม่ได้เข้ารหัสลับ clickjacking
  • Netsparker Cloud – ตรวจหารูรั่วประเภท injection, permission
  • UpGuard Web Scan – ตรวจหาความไม่ปลอดภัย โดยอาศัยข้อมูลที่บุคคลภายนอกสามารถดูได้ เช่น ตรวจว่ามีใครส่งอีเมลจากชื่อโดเมนเราได้ไหม
  • Tinfoil Security – ตรวจหาความไม่ปลอดภัย อย่างเช่นตามรายการ OWASP Top 10 และรูรั่วอื่นๆ

ที่ตรวจดูได้โดยไม่ต้องพึ่งผู้เชี่ยวชาญมากๆ ก็เช่น ติดมัลแวร์รึเปล่า การส่งข้อมูลได้เข้ารหัสลับ (https) ดีพอไหม พวกคุกกี้ของเว็บไซต์เราที่ไปฝากไว้กับเครื่องผู้ใช้นี่เว็บไซต์อื่นเข้ามาอ่านได้ไหม

ส่วนใหญ่จะฟรี บางอันต้องลงทะเบียนก่อน หรือต้องยืนยันสิทธิ์ก่อนว่าเราเป็นผู้ดูแลของเว็บไซต์นั้นจริงๆ (ด้วยการเอาไฟล์บางอย่างไปวางไว้ในเครื่องเรา – ยังไงก็ตรวจสอบดีๆ ก่อนจะเอาไฟล์อะไรไปวางนะครับ มันควรจะเป็น text/html file ที่เราเปิดเข้าไปอ่านๆ ได้ ถ้าดูแปลกๆ ก็อย่าทำต่อ)

* สำหรับตัวที่มีการทดสอบ SQL injection ให้ระวังด้วยว่ามันจะพยายามยิงอะไรบางอย่างเข้าไปในฐานข้อมูลของคุณ เพื่อจะทดสอบ แปลว่ามันอาจจะทำให้เกิดขยะในฐานข้อมูลได้  ดังนั้นไม่ควรทดสอบกับระบบที่ใช้อยู่จริง (on production) นะครับ ให้ทดสอบกับระบบที่เอาไว้ทดสอบเท่านั้น ถ้าเจอรูก็รีบอุด พอแน่ใจแล้วค่อยไปอัปเดตโค้ดในส่วนของ production ครับ [ขอบคุณคุณ Thitipong Samranvarnich ในกลุ่มสมาคมโปรแกรมเมอร์ไทย ที่เตือนเรื่องนี้ครับ]

หลายตัวยังสามารถเปิดให้มันทำงานอัตโนมัติ หรือผสานมันเข้าไปในระบบการทำงานของเรา (เช่นทุกครั้งที่อัปเดตเว็บไซต์ด้วยโค้ดชุดใหม่ ก็ให้มันสแกนอัตโนมัติเลย)

ทีนี้ถ้าสมมติว่าพบสิ่งปกติ แล้วอยากแก้ไข ถ้าไม่มั่นใจจะทำเอง ก็อาจจะต้องเรียกหาคนที่ทำเป็นมาทำน่ะครับ

(แต่ถ้าไม่พบ ก็ไม่ได้แปลว่าไม่มีนะครับ อาจจะแค่หาไม่เจอ)

ป้องกันคนมาดูภาพหรือไฟล์ที่ยังไม่พร้อมเผยแพร่

สำหรับเว็บไซต์ที่ไม่อยากให้คนมาดูภาพ ดูข้อมูลอะไรที่อยู่เว็บไซต์นั่นแหละ อัปโหลดเตรียมไว้ แต่ยังไม่ได้เผยแพร่ในหน้าเว็บ อันแรกที่ควรทำก็คือ ปิด directory listing ไม่ให้คนมาไล่ดูชื่อไฟล์ได้ง่ายๆ

ถ้าเว็บเซิร์ฟเวอร์ใช้ Apache HTTP Server ก็ทำได้ด้วยการแก้ไขไฟล์ .htaccess โดยเพิ่มบรรทัด

Options -Indexes

ทีนี้ก็จะยังมีปัญหาอยู่บ้าง คือถ้าคนรู้ชื่อไฟล์ (อาจจะเดาไปเรื่อยๆ) เขาก็จะยังดูได้อยู่ดี

อันนึงที่ทำได้ก็คือ อย่าตั้งขึ้นไฟล์ให้มันเดาง่ายนัก (พวกรันเลขเรียงลำดับไปเรื่อยๆ นี่เดาสบายเลย)

อีกวิธีคือ ป้องกันการ hot link ไม่ให้คนเข้าถึงได้โดยตรง (พิมพ์ url ชื่อไฟล์ในเบราว์เซอร์ตรงๆ จะดูไม่ได้ ) แต่ถ้าภาพไหนถูกโหลดจากหน้าเว็บของโดเมนนั้นเอง จะโหลดดูได้ (ซึ่งกรณีหลังนี้ เป็นเรื่องที่เราต้องการให้ทำได้ เพราะเราเป็นคนเผยแพร่เอง)

แต่ปลอดภัยที่สุดคือ อะไรที่ไม่อยากให้คนเห็น ลับมาก อย่าเพิ่งไปอัปขึ้นเว็บเซิร์ฟเวอร์ครับ lol

Please do not leave the key in the lock

ปกปิดข้อมูลเว็บเซิร์ฟเวอร์

อีกอันที่ทำได้ไม่ยาก และช่วยให้การเจาะเว็บเราวุ่นวายขึ้นมาอีก “เล็กน้อย” คือปิดข้อมูลเกี่ยวกับเว็บเซิร์ฟเวอร์เราครับ

ไอเดียมันคือว่า ซอฟต์แวร์ที่เอามาใช้เป็นเว็บเซิร์ฟเวอร์นี่มันก็มีบั๊ก มีรูรั่วอะไรอยู่แหละ คนเจออยู่เรื่อยๆ ทีนี้พอเจอปุ๊บก็จะมีการแก้ไขในซอฟต์แวร์รุ่นใหม่ แต่ถ้าใครไม่อัปเดต ก็จะมีความเสี่ยง คนที่อยากจะลองเจาะ เขาก็จะไปไล่หาเว็บไซต์ที่ยังใช้ซอฟต์แวร์ตกรุ่นพวกนี้แหละครับ เพราะเป็นเป้าหมายที่รู้อยู่แล้วว่าจะเจาะตรงไหนได้

ถ้าเราปกปิดข้อมูลเกี่ยวกับเว็บไซต์เราเสียหน่อย ก็จะลดโอกาสเป็นเป้าไปไ้ด้บ้างจากนักเจาะที่ฉวยโอกาส

อย่างไรก็ตามวิธีนี้ไม่ได้ทำให้ปลอดภัยขึ้นจากนักเจาะที่ล็อกเป้าหมายมุ่งมั่นว่าต้องการจะเจาะเราอยู่แล้วนะครับ – เพราะสุดท้ายมันไม่ได้เป็นการแก้ไขปัญหาในซอฟต์แวร์รุ่นที่เราใช้อยู่ เป็นแค่การปกปิดไม่บอกคนอื่นว่าเราใช้ซอฟต์แวร์รุ่นอะไรเท่านั้น

ยังไงก็ควรหมั่นอัปเดตรุ่นของซอฟต์แวร์ที่เขาแก้ไขเรื่องความปลอดภัยครับ

WordPress และ CMS อื่นๆ

ใครใช้เวิร์ดเพรส ลองดูหน้านี้ครับ มีอะไรที่พอทำตามได้บ้าง เช่นการตั้ง permission ของ directory ต่างๆ การปิดไม่ใช้แก้ไขไฟล์ของเวิร์ดเพรสผ่านหน้า dashboard ได้
https://codex.wordpress.org/Hardening_WordPress

คนใช้ Joomla, Drupal หรือ CMS อื่นๆ ลองเสิร์ชดูครับ ผมว่ามีแน่ๆ
https://docs.joomla.org/Security
https://www.keycdn.com/blog/drupal-security/

พอทำได้เบื้องต้นไปก่อน-แต่ในระยะยาวก็ต้องลงทุนน่ะ

ทั้งหมดที่เขียนมานี้ เป็นของที่ ถ้าเขียนเว็บได้ ตั้งค่าเว็บไซต์เบื้องต้นได้ อัปโหลดไฟล์ขึ้นไปเซิร์ฟเวอร์ได้เอง ก็น่าจะพอทำตามตัวอย่างในลิงก์ได้ครับ

แน่นอนว่าถ้าจะให้ดี ก็ควรปรึกษากับคนที่ชำนาญเรื่องความปลอดภัยของเว็บไซต์ (ซึ่งก็อาจจะมีค่าใช้จ่ายน่ะแหละ แต่อันนี้ก็ต้องไปอธิบายกันในองค์กรว่า มันสำคัญยังไง ทำไมถึงควรจ่าย – คิดมันอยู่ในหมวดเดียวกับรปภ.ไรงี้ได้ไหม อันนั้นยังจ่ายได้เลย :p)

คำเตือน

ผมไม่ใช่ผู้เชี่ยวชาญด้านนี้ ไม่ต้องมาถามผมเรื่องนี้ lol
ทั้งหมดนี้อาศัยจำจากเพื่อนๆ ที่เขาทำงานพวกนี้ และอ่านๆ เอาในเน็ตทั้งนั้น

แต่นั่นหมายความว่า นักออกแบบเว็บและคนทำเว็บไซต์ทั่วไปทุกคน ก็เข้าใจเรื่องพวกนี้ในเบื้องต้นได้ครับ ไม่ต้องเป็นผู้เชี่ยวชาญด้านความปลอดภัยมากๆ ก็พอจะตามประเด็นและป้องกันตัวเองได้ในระดับหนึ่งครับ 🙂

ชุมชนความปลอดภัยเว็บ

เพิ่มอีกอัน บางทีถ้ามีเวลา ก็อาจจะไปอัปเดตความรู้ใหม่ๆ พวกนี้กับชุมชนที่เขาทำงานเรื่องนี้โดยตรงก็ได้ครับ ในไทยก็มีกลุ่มพวกนี้ ที่คุยทั้งออนไลน์ และทุกเดือนก็อาจจะมีพบปะเจอหน้ากันบ้าง มีสัมมนาบ้าง บางเรื่องนี้ก็อาจจะลึกเกินไป เราเลือกไปอันที่ดูเป็นสำหรับคนเพิ่งเริ่มต้นก็ได้ครับ

https://www.facebook.com/groups/2600Thailand/
https://www.facebook.com/groups/owaspthailand/

อันนึงที่ได้แน่ๆ คือ เราจะได้รู้จักกับคนที่ทำงานพวกนี้โดยตรง เผื่อจะปรึกษาทำงานอะไรด้วยกันในอนาคตก็พอได้ หรือถ้ามันมีอะไรติดขัดนิดๆ หน่อยๆ ไม่ได้เหลือบ่ากว่าแรงมาก โพสต์ถามในกรุ๊ป ก็มีคนพร้อมจะตอบอยู่เรื่อยๆ นะครับ

อีกกรุ๊ปในเฟซบุ๊กที่ก็เข้าไปถามได้เหมือนกัน คือกลุ่มสมาคมโปรแกรมเมอร์ไทยครับ กลุ่มนี้ใหญ่และหลากหลายครับ https://www.facebook.com/groups/ThaiPGAssociateSociety/

เพิ่มเติม

  • คำแนะนำในการเก็บรหัสผ่านในระบบสำหรับนักพัฒนาซอฟต์แวร์ และผู้ดูแลระบบไอที@FordAntiTrust แนะนำวิธีการเก็บ “ข้อมูลตัวแทนรหัสผ่าน” ที่ทำให้เราไม่จำเป็นต้องเก็บรหัสผ่านต้นฉบับ ทำให้แม้ระบบถูกเจาะหรือข้อมูลรั่ว ข้อมูลที่หลุดไปก็ไม่ใช้รหัสผ่านที่เอาไปใช้ได้ทันที ต้องใช้เวลาในการย้อนรอยหารหัสผ่านจริงๆ ทำให้ผู้ใช้พอมีเวลาบ้างในการเปลี่ยนไปใช้รหัสผ่านใหม่
  • การออกแบบระบบให้รับ Request เยอะๆ — อันนี้ไม่ใช่ระดับพื้นฐานละ แต่เห็นว่าน่าสนใจดี เผื่อใช้เป็น reference เอาไปคุยตอนจ้างคนมาทำระบบ — คุณ ijemmy อธิบายแนวคิดเอาไว้ในโพสต์นี้ครับ (เรื่องจริงๆ ก็มีมุม security เหมือนกัน คือมุม availability หรือความพร้อมใช้ของระบบ ออกแบบยังไงให้ระบบไม่ล่มตอนมีคนใช้เยอะๆ พร้อมๆ กัน)

(เผยแพร่ครั้งแรกในเฟซบุ๊ก 1 พ.ค. 2018)

ภาพประกอบ “Key locker” โดย Jonathan O’Donnell สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน

เก็บตกวันแรงงาน #MayTheForthBeWithYou #8hourday

  • กราฟิกคั่นรายการของไทยพีบีเอส บอกว่าที่หยุดวันแรงงาน เพราะหยุดให้พักผ่อน หลังจากตรากตรำมาทั้งปี
  • เท่าที่ดูข่าวสามสี่ช่องและออนไลน์ ไม่มีใครพูดถึงการเฉลิมฉลอง “การทำงานวันละไม่เกินแปดชั่วโมง”
  • การทำงาน 8 ชั่วโมงต่อวันในทุกวันนี้ส่วนหนึ่งมาจากข้อเรียกร้องของคนทำงานในสหรัฐอเมริกา (ซึ่งเป็นส่วนหนึ่งของขบวนการแรงงานทั่วโลก) ที่ต้องการให้ลดชั่วโมงการทำงานเหลือไม่เกิน 8 ชั่วโมงต่อวัน ไม่เกิน 40 ชั่วโมงต่อสัปดาห์
  • ในสมัยนั้นชั่วโมงการทำงานอยู่ในช่วง 10-16 ชั่วโมงต่อวัน 6 วันต่อสัปดาห์

“By extending the working day, therefore, capitalist production…not only produces a deterioration of human labour power by robbing it of its normal moral and physical conditions of development and activity, but also produces the premature exhaustion and death of this labour power itself.”
Karl Marx

  • สหพันธ์สหภาพแรงงาน กำหนดเป้าหมายว่า วันที่ 1 พฤษภาคม 1886 จะเป็นวันเริ่มต้น ของการทำงานวันละ 8 ชั่วโมง
  • ในวันที่ 1 พฤษภาคม 1886 สหภาพแรงงานได้นัดหยุดงานทั่วสหรัฐ เพื่อสนับสนุนข้อเรียกร้องดังกล่าว
  • การนัดหยุดงานที่ใหญ่ที่สุดเกิดขึ้นในชิคาโก มีผู้เข้าร่วมประมาณ 30,000 ถึง 40,000 คน
  • การนัดหยุดงานในชิคาโกยืดเยื้อ ในวันที่ 3 พฤษภาคม คนงานสองคนถูกตำรวจยิงเสียชีวิต จากเหตุความรุนแรงดังกล่าวคนงานนัดชุมนุมในวันรุ่งขึ้นที่จตุรัสเฮย์มาร์เก็ต
  • 4 พฤษภาคม 1886 การชุมนุมเริ่มขึ้นในตอนเย็น ประมาณการจำนวนผู้ชุมนุมระหว่าง 600 ถึง 3,000 คน มีการปราศรัยต่างๆ
  • เวลาประมาณสี่ทุ่มครึ่ง การปราศรัยเพิ่งจบลง ตำรวจกลุ่มหนึ่งเดินหน้าเข้าไปหากลุ่มผู้ปราศรัย ระหว่างนั้นมีระเบิด (ซึ่งจนถึงทุกวันนี้ยังไม่สามารถระบุได้ว่าใครเป็นคนขว้าง) ถูกโยนเข้ามาระหว่างผู้ชุมนุมและเจ้าหน้าที่ เจ้าหน้าที่ตำรวจเสียชีวิตหนึ่งนาย และหลังจากนั้นก็เกิดความอลหม่าน มีการยิงใส่กัน รวมมีเจ้าหน้าที่เสียชีวิต 7 ราย บาดเจ็บมากกว่า 60 ด้านผู้ชุมนุมเสียชีวิต 4 นาย บาดเจ็บมากกว่า 70 และถูกจับกุมมากกว่า 100 คน
  • เหตุการณ์ดังกล่าว นำไปสู่การกวาดล้างจับกุมสหภาพแรงงานต่างๆ ประชาชนและบริษัทห้างร้านจำนวนมากให้การสนับสนุนเจ้าหน้าที่ตำรวจ มีการบริจาคค่ารักษาพยาบาลให้กับเจ้าหน้าที่ที่บาดเจ็บ ส่วนกลุ่มคนงานและผู้อพยพถูกจับตาสงสัย โดยเฉพาะผู้อพยพชาวเยอรมันและโบฮีเมียน การจับกุม การดำเนินคดี การพิพากษาและการตัดสินประหารชีวิตแกนนำการชุมนุม ยังคงเป็นประเด็นที่มีข้อสงสัยให้วิพากษ์วิจารณ์จนถึงทุกวันนี้

Socialists in Union Square, N.Y.C., 1 May 1912
Socialists in Union Square, N.Y.C., 1 May 1912

  • ปี 1889 “สากลที่สอง” หรือ องค์กรสากลที่รวมพรรคสังคมนิยมและพรรคแรงงานจากทั่วโลก เสนอให้ทั่วโลกร่วมเดินขบวนในเดือนพฤษภาคมปี 1890 เพื่อรำลึกถึงการครบรอบเหตุการณ์เฮย์มาร์เก็ต
  • ปี 1904 สากลที่สองประกาศเชิญชวนให้พรรคสังคมนิยมประชาธิปไตยและสหภาพแรงงานทุกแห่งทุกประเทศร่วมเดินขบวนเพื่อเรียกร้องการรับรองตามกฎหมายของการทำงานแปดชั่วโมงต่อวัน ความต้องการของชนชั้นแรงงาน และสันติภาพทั่วโลก โดยให้หยุดงานวันที่ 1 พฤษภาคม เพื่อร่วมขบวน เป็นจุดเริ่มต้นของ “วันแรงงานสากล” (International Workers’ Day)
  • พนักงานกินเงินเดือนทุกคนนี่ก็คือชนชั้นแรงงานทั้งนั้นนะครับ นั่งทำงานในออฟฟิศนี่ก็ใช่ — ถ้าคุณไม่มีปัจจัยการผลิตอื่น แต่เอาแรง(ใจ/กาย/สมอง)ไปทำให้เกิดงาน เพื่อแลกค่าจ้าง ก็เป็นคนทำงานแลกค่าจ้าง (wage-earner) อยู่ในชนชั้นแรงงานเหมือนกันหมด
  • และที่ทุกวันนี้เรามีระบบทำงานวันละแปดชั่วโมง (รวมไปถึงวันหยุด วันลาคลอด) ก็เพราะขบวนการแรงงานสากล
  • 1 พฤษภาคม จึงไม่ได้เป็นวันหยุดพักผ่อนเฉยๆ แต่เป็นวันระลึกถึงสิ่งที่ต้องต่อสู้จึงจะได้มา (ไม่ต้องไปสู้กับอริราชศัตรูที่ไหน สู้กับพวกขูดรีดแรงงานนี่แหละ)
  • ส่วนวันที่ 4 พฤษภาคม เป็นวันรำลึกว่า สิทธิที่เรามีอยู่ ใช้อยู่ ทุกวันนี้ มีคนในอดีต (ที่อาจจะไม่ใช่บรรพบุรุษโดยตรงของเรา) สูญเสียอะไรบางอย่างเพื่อแลกมันมา
  • ขอพลังจงอยู่กับท่าน

(เผยแพร่ครั้งแรกในเฟซบุ๊ก 4 พ.ค. 2018)