by A.Pinya Hom-anek, CISSP,CISA
ACIS Professional Team

เรื่องของ e-mail ที่เราไม่ต้องการหรือเรียกว่า Junk Mail นั้นนับวันยิ่งมากขึ้นเรื่อย ๆ ส่วนตัวผมเองวัน หนึ่ง ๆ ได้รับ Junk Mail มากกว่า 10 ฉบับ ส่วนใหญ่จะเป็นเรื่องชวนไปทำงานนอกเวลาแบบ MLM หรือไม่ก็ขายของบน เน็ต ทำให้เกิดความรำคาญพอสมควร

ทีนี้เราก็เลยสงสัยว่าเจ้า SPAMMER เหล่านี้รู้จัก e-mail Address ของเราได้อย่างไรใช่ไหมครับ คำตอบ ก็คือ ส่วนใหญ่แล้วจะมาจาก 2 ปัจจัยหลัก ๆ กล่าวคือ
ปัจจัยข้อที่หนึ่งเกิดจากการที่เราเข้าไป Post e-Mail address ของเราบน Web Board สาธารณะ หรือ เข้าไป “Register” เป็นสมาชิกในบาง Web Site ซึ่งพวก SPAMMER จะมีการเขียนโปรแกรมลักษณะเป็นพวก SPIDER เข้ามากวาดหา e-mail ของเราโดยโปรแกรมหาชื่อ e-mail เหล่านี้ จะสังเกตเครื่องหมาย “@” และ “.” เป็นหลัก เช่น [email protected] ยังไงก็ต้องมีเครื่องหมาย “@” และ “.” ใช่ไหมครับ
ปัจจัยข้อที่สองคือการที่เราเขียน Web Page แล้วใส่ e-mail ของเราไว้ใน Web เพื่อให้ลูกค้าหรือผู้ที่ต้องการติดต่อกับเราให้สามารถติดต่อเราได้โดยง่าย ซึ่งบริษัทต่าง ๆ ชอบใส่ไว้ในหน้า Web ของบริษัทเป็นประจำ เช่น ติดต่อ [email protected] หรือ [email protected] เป็นต้น ชื่อ e-mail เหล่านี้ก็จะถูก พวก SPAMMER ใช้โปรแกรมเข้ามากวาด e-mail ไปเช่นกัน หลักการเหมือนแบบแรกที่ผมได้กล่าวไปแล้ว ลองไป Download โปรแกรม ชื่อ “BlackWidow” จาก Web sitehttp://www.softbytelabs.com แล้วลองเข้ามา Scan Web ของเราเอง ดูว่าจะพบ e-mail address อยู่ใน Web site มากน้อยเพียงใด

คำถามก็คือว่า ทำอย่างไรจะรอดพ้นจากภัยจากพวก SPAMMER เหล่านี้ คำตอบก็คือ ถ้าเป็นปัญหาแรกที่เกิดจากการที่เราไป Post e-mail address ตามที่ต่าง ๆ ในเน็ต ก็เพียงแต่ลดพฤติกรรมเสี่ยงเหล่านี้โดยมีความระมัดระวังมากขึ้น หรือ ถ้าจำเป็นจริง ๆ ก็อาจจะใช้วิธีการเขียนบอกเพื่อนหรือคนที่เราต้องการให้เขาติดต่อเราเป็นรหัสก็ได้เช่น [email protected] ก็เขียนเป็น “somchai At hotmail Dot com” คิดว่าคนที่เข้ามาดู Web Board คงจะเข้าใจ บาง Web Board ก็จะไม่รับอักษร “@” และ “.” เลยก็มีนะครับ
สำหรับปัญหาข้อที่สองที่เกี่ยวกับ การที่เรามีความจำเป็นต้อง post ชื่อ e-mail address ของเราใน Web Site ของเราเองเพื่อให้คนติดต่อเราได้โดยสะดวกก็มีวิธีแก้ครับ กล่าวคือ เราควรจะใช้วิธีการเข้ารหัสตัวอักษรที่ประกอบกันเป็น e-mail address ของเราโดยเราจะไม่ใช้ตัวอักษร “@” และ “.” แต่จะเปลี่ยนเป็นรหัสแทนซึ่งเวลาปรากฎใน Browser แล้วก็จะดูเหมือนปกติ เพียงแต่ Source Code ใน HTML ไฟล์นั้นมีการเปลี่ยนแปลงไปเพื่อไม่ให้เจ้าโปรแกรมประเภท SPIDER สามารถตรวจจับได้ หรืออีกวิธีหนึ่ง ซึ่งจะช้ากว่าวิธีแรกก็คือทำให้ e-mail address เรานั้นไฟล์เป็นไฟล์รูปภาพเสียเลย อาจจะใช้ format ประเภท JPEG หรือ TIFF ก็ได้ครับ

พูดถึง เจาะลึก “Web Application Security” นั้น เห็นทีจะยาวเกินบทความในฉบับนี้ ผมขอยกยอดไปใน e-week เล่มหน้านะครับ ผมจะกล่าวถึงช่องโหว่ในการใช้งาน ASP หรือ PHP ซึ่ง Hacker สามารถเข้ามาผ่านทาง Port 80 ของ Web Server เราได้อย่าลืมติดตามนะครับ.

จาก : หนังสือ eWeek Thailand
Update Information : 9 พฤษภาคม 2546