เพื่อให้ Web Server ของเราปลอดภัยจากการถูกโจมตี บทความนี้จะเป็นการแนะนำการกำหนดค่าต่างๆของ web server ที่ให้บริการ ซึ่งทำงานด้วยบน Windows Server และ มีการติดตั้ง IIS, PHP, MySql, ASP.Net และ WordPress
จากโพสตั้งต้น เมื่อ 6 เดือนก่อนที่https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/ มาดูว่ามีอะไรเปลี่ยนแปลงไปบ้างในรายงาน OVAL 1.1. v1.2.16 เมื่อวันที่ 6Feb2023@1632 สำหรับ Ubuntu 20.04 LTS1.2. v1.2.17 เมื่อวันที่ 18Aug2023@0234 สำหรับ Ubuntu 22.04 LTS 2.1. เมื่อวันที่ 6Feb2023@0635 มี 1049 Definitions, 2284 Tests, 2264 Variables สำหรับ Ubuntu 20.04 LTS2.2. เมื่อวันที่ 14Jul2023@0240 มี 513 Definitions, 1043 Tests, 735 Variables สำหรับ Ubuntu 22.04 LTS2.3. เมื่อวันที่ 16Aug2023@0037 มี 550 Definitions, 1123 Tests, 794 Variables สำหรับ Ubuntu 22.04 LTS
ช่องโหว่ประเภท Injection นี้ยังคงเป็นสิ่งที่ผู้พัฒนาเว็บไซต์และโปรแกรมประยุกต์ต่างๆ ต้องหมั่นตรวจสอบติดตามแก้ไขโดยใน OWASP Top 10:201 ได้รายงานไว้เป็นลำดับที่ 3 A03:2021 ที่ https://owasp.org/www-project-top-ten/ 2023-05-31 ตามกรณีที่เป็นข่าวว่าช่องโหว่ Injection นี้ได้ถูกใช้ในซอฟต์แวร์ MOVEit Transfer ซึ่งโปรแกรมจัดการไฟล์สำหรับองค์กร ซึ่งทางบริษัท Progress เจ้าของผลิตภัณฑ์ MOVEit Transfer ก็ได้ออกโปรแกรมอุดรอยรั่วแล้วอย่างรวดเร็ว ซึ่งผูใช้ต้องรีบปรับไปใช้รุ่นใหม่แทนทันที เพื่ออุดช่องโหว่นี้https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerabilityhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-34362https://headtopics.com/th/361036193636362187386-39893729
วันที่ 23-24 พ.ค. 66 ได้รับโอกาสจาก NECTEC ให้เข้าอบรม”ทักษะด้านปัญญาประดิษฐ์ และประยุกต์ใช้แพลตฟอร์ม AI for Thai ประจำปี 2566″ รอบที่ 3 เรามาทำความรู้จัก NECTEC แบบรวดเร็วกันนะครับ “NECTEC องค์กรที่มีหน้าที่ในการวิจัยและพัฒนาเทคโนโลยีสารสนเทศ และการสื่อสารในหลากหลายด้าน และ NECTEC ยังมีบทบาทในการสนับสนุนการพัฒนาทางธุรกิจด้านเทคโนโลยีสารสนเทศ และการสื่อสารในประเทศไทย ผ่านการให้คำปรึกษา การฝึกอบรม และการให้ความรู้ด้านเทคโนโลยีสารสนเทศแก่สถานประกอบการ รัฐบาล และสังคมทั่วไป และ AI for Thai คือผลงานจาก NECTEC” AI for Thai : Thai AI Service Platform เป็นแพลตฟอร์มให้บริการ AI สัญชาติไทย มุ่งวิจัยและพัฒนาเทคโนโลยีปัญญาประดิษฐ์และ Machine Learning เพื่อเน้นตอบโจทย์ผู้ใช้งาน ทั้งในภาคอุตสาหกรรมและการบริการต่างๆ ในประเทศไทย เช่น AI for Thai เกิดจากการรวบรวมผลงานวิจัยและพัฒนาทางด้าน AI ภายใต้หน่วยวิจัยปัญญาประดิษฐ์ (AINRU) ของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ อันประกอบไปด้วยงานทางด้านการประมวลผลภาษาธรรมชาติของภาษาไทย, งานด้านการเข้าใจภาพในบริบทของความเป็นไทยและงานด้านการรู้จำและสร้างเสียงพูดภาษาไทย กลุ่มเป้าหมาย/ ผู้ใช้งาน จุดเด่นและข้อดี APIs & Service โมดูลต่าง ๆ ที่รวบรวมเข้ามาให้บริการบนแพลตฟอร์ม ถูกจำแนกออกเป็น 3กลุ่ม ได้แก่ Language, Vision และ Conversation ซึ่งโมดูลต่าง ๆ จะพร้อมให้ใช้งานในรูปแบบ Web Service หรือ API วิธีการสมัครใช้งาน จะต้องเข้า Mail Confirm การลงทะเบียนและ set password เพื่อ Login ใช้งานระบบ วิธีการดู API Key ส่วนตัวเพื่อใช้งาน วิธีการทดลองใช้งาน ไปที่เมนู Developer เข้าหน้านี้แล้ว Apikey ของแต่ละคนจะถูกใส่ไว้ให้อัตโนมัติแล้ว หา code ภาษาที่ต้องการจะใช้ เช่น ถ้าต้องการภาษา Python ก็สามารถไป copy code มาว่างบน file .py ใน VS Code และก็ run ได้ทันทีครับ ผลการทดลองใช้ Python ใน VS Code สามารถตัดคำออกจากประโยคยาวๆออกมาได้อย่างถูกต้อง มีอะไรให้ทดลองเล่นได้หลากหลายมากครับ ลองสมัครและทดลองดูครับ ความรู้ที่ได้จากการอบรม ยุคนี้คือยุค Generative AI มาดูความสามารถของ AI ยุคนี้กันนะครับ AI ที่เป็นที่นิยมในตอนนี้ • ChatGPT for text (OpenAI) สำหรับถามตอบ •Stable Diffusion (MidJourney) and DeepFakefor image and video สำหรับสร้างภาพและ video • VALL-E for voice (Microsoft) เลียนแบบเสียงพูดของคนได้เลยแค่ฟังคำพูด 3 วินาที เหมือนว่าทุกวงการจะถูก AI เข้าไปมีส่วนรวมหมดจะมากจะน้อยก็แล้วแต่ความสนใจ ความสามารถในการทำเงินและข้อมูลที่มากๆๆๆๆพอ บรรดา platform online ที่ใช้กันทั่วไป google fakebook tiktok เป็นแหล่งอาหารชั้นยอดสำหรับ AI หวังว่ามีคนเก่งสนใจสร้าง AI ให้เก่งเร็วพอจะช่วยโลกพ้นวิกฤษ climate change ก่อนที่ทุกอย่างจะสายเกินไป ช่วยหาวิธีเพิ่มป่าไม้ เพิ่มออกซิเจน ลดการใช้พลังงานอย่างไม่ใส่ใจ ลดการปล่อยก๊าชเรือนกระจก ลดขยะ ช่วย recycle ขยะ ช่วยทำให้คนมีเวลาเอาใจใส่สิ่งแวดล้อม เอาใจใส่กันและกัน เพื่อให้คนรุ่นต่อไปใช้ชีวิตที่ดีขึ้นและรู้สึกขอบคุณคนยุคก่อนๆที่ทำให้คนรุ่นต่อๆไปใช้ชีวิตอย่างมีความสุขง่ายขึ้น อ้างอิง บทความนี้ส่วนบางส่วนนำมาจาก AI for Thai และ “AI for
Data cleansing เป็นส่วนสำคัญในการทำ ETL (Extract, Transform, Load) data cleansing process เป็นกระบวนการที่เกี่ยวกับ การระบุและ แก้ไขหรือลบ ข้อผิดพลาด ความไม่สอดคล้องหรือความไม่แม่นยำในข้อมูลก่อนที่จะโหลดเข้าสู่ที่เก็บข้อมูล ขั้นตอนการทำ Data cleansing ประกอบด้วยขั้นตอนดังนี้ data cleansing ทำให้แน่ใจว่าข้อมูลที่ผ่านกระบวนการ ETL ไปยังที่เก็บข้อมูลต้องมี accurate consistent และ reliable โดยเป็นไปตามกฏเกณฑ์ที่ตั้งไว้ตามมาตราฐานขององค์กรหรือตามมาตราฐานสากล Data Profiling การประมวลผลข้อมูล (Data Profiling) เป็นขั้นตอนสำคัญในกระบวนการ ETL (Extract, Transform, Load) ซึ่งเป็นการวิเคราะห์คุณภาพ โครงสร้าง และเนื้อหาของข้อมูลเพื่อตรวจสอบปัญหาหรือความไม่สอดคล้องที่ต้องการแก้ไขก่อนการโหลดข้อมูลเข้าสู่ระบบเป้าหมาย ขั้นตอนดังกล่าวประกอบไปด้วย: โดยรวมแล้ว การทำ Data profiling เป็นขั้นตอนสำคัญในกระบวนการ ETL เนื่องจากมันช่วยให้มั่นใจได้ว่าข้อมูลที่โหลดเข้าระบบเป็นข้อมูลที่ถูกต้อง สอดคล้องกัน และเชื่อถือได้ซึ่งเป็นสิ่งสำคัญสำหรับการตัดสินใจทางธุรกิจ Data Standardization จัดข้อมูลให้เข้ากับมาตราฐานองค์กรหรือมาตราฐานสากล ตัวอย่างมาตราฐานข้อมูลของไทย คู่มือการจัดทํามาตรฐานเพื่อการเชื่อมโยงข้อมูลระหว่างหน่วยงานภาครัฐData Standardization for e-Government Interoperability Manual Data Parsing เป็นกระบวนการแปลงข้อมูลจากรูปแบบหนึ่งไปเป็นอีกรูปแบบหนึ่ง เช่น ที่อยู่ จะแยกออกเป็น บ้านเลขที่ ตำบล อำเภอ จังหวัด เป็นต้น การแยกวิเคราะห์ข้อมูลสามารถใช้เพื่อดึงข้อมูลจากแหล่งต่างๆ มีหลายวิธีในการทำ Data Parsing วิธีการหนึ่งที่ใช้กันทั่วไปคือการใช้ parser generator สำหรับแปลงรูปแบบข้อมูลเฉพาะ เมื่อสร้างโปรแกรมแยกวิเคราะห์แล้ว สามารถใช้เพื่อแยกวิเคราะห์ข้อมูลจากแหล่งต่างๆ ได้ อีกวิธีหนึ่งในการทำ Data Parsing คือการใช้ library หรือ API ทั้งทำเองหรือเอาที่ท่านอื่นๆทำไว้แล้ว Data Transformation เปลี่ยนข้อมูลไปเป็นรูปแบบที่ต้องการ โดยใช้รูปแบบดังนี้ 1.ใช้ data dictionary เพื่อให้ตรงกันทั้งหมด เช่น ตัวย่อ กทม. กรุงเทพฯ เป็นต้น 2.ใช้ data validation tool เพื่อความถูกต้อง (accurate) 3.ใช้ data quality tool เพื่อระบุและแก้ไขข้อผิดพลาดในข้อมูล (correct errors) 4.ใช้ data transformation tool ทำงานเอง Data Enrichment กระบวนการเติมข้อมูลหรือการทำให้ข้อมูลที่เรามีอยู่แล้วสมบูรณ์ขึ้น โดยมาเป็นข้อมูลจากภายนอกหรือจากแหล่งอื่นๆ เช่น มีข้อมูลการลงทะเบียนของนักศึกษาอยู่ แล้วเอาข้อมูลการได้รับทุนกับข้อมูลการกู้ยืมมาประกอบ มาเติ่มทำให้มิติของการวิเคราะห์หรือมุมมองเพิ่มมากขึ้น เป็นต้น Data Deduplication การตรวจสอบการซ้ำกันของข้อมูลทำได้โดยการเขียน Query ตรวจสอบหรือใช้เครื่องมือกลุ่ม data profiling, data quality ช่วยก็จะทำงานได้อย่างมีประสิทธิภาพ Data Validation การตรวจสอบความถูกต้องและครบถ้วนของข้อมูล ส่วนใหญ่จะทำโดยการทำ Data aggregation ข้อมูลต้นทาง ปลายทาง เหมือนเป็นการตรวจสอบกระบวนการที่ทำมาว่าถูกต้องตามกฏเกณฑ์ที่ว่างไว้หรือไม่ Documentations การเขียนเอกสารการทำความสะอาดข้อมูลเป็นส่วนสำคัญของกระบวนการทำความสะอาดข้อมูล มันช่วยให้แน่ใจว่ากระบวนการทำความสะอาดข้อมูลสามารถทำซ้ำได้และมีประสิทธิภาพ การเขียนเอกสารควรรวมข้อมูลดังนี้: การเขียนเอกสารการทำความสะอาดข้อมูลควรเขียนอย่างชัดเจนและกระชับ และควรเข้าใจและสามารถติดตามได้ง่าย การเอกสารควรอัพเดทเมื่อมีการเปลี่ยนแปลงในโครงการทำความสะอาดข้อมูลด้วย เคล็ดลับสำหรับการเขียนเอกสารการทำความสะอาดข้อมูล: Monitoring เป็นส่วนสำคัญที่ช่วยติดตามการทำ data cleansing เป็นไปตามกฏหรือผลลัพธ์ที่ต้องการ ตรวจสอบ error log มีข้อมูลส่วนไหนมีปัญหาดำเนินการไม่ได้บ้าง อาจจะทำเป็น Dashboard สำหรับ Monitoring Data Cleansing Process แสดงวันเวลาดำเนินการ ผลลัพธ์สำเร็จหรือ error เท่าไร เป็นต้น Check List ทั้งหมดนี้ก็คืองานที่ต้องทำและต้องตรวจสอบสำหรับการทำ Data cleansing ซึ่งเป็นกระบวนการที่ไม่รู้จบ ทำวนไปเพื่อรักษาความถูกต้องครบถ้วนของข้อมูลไปจนกว่าไม่มีใครใช้ข้อมูลนั้นอีกแล้ว ขอบคุณสำหรับการเข้ามาอ่านบทความนี้นะครับ บันทึกไว้เพื่อช่วยจำในการทำงาน ถ้าผิดพลาดประการใด สามารถ comment แนะนำได้นะครับ