Waipot’s Blog

เมื่อเร็วๆ นี้ Drupal 6 ระบบ CMS ยอดนิยม ได้ถูกปล่อยออกมาให้โยลโฉมกันแล้ว สิ่งที่ทำให้ผมรู้สึกตื่นเต้นก็คือว่า ในเวอร์ชันใหม่นี้ Drupal 6 ได้รวมเอาระบบ OpenID Sign-in เข้าเป็น Core Module ซึ่งพร้อมใช้งานได้ในทันทีที่ติดตั้งเสร็จ โดยไม่จำเป็นต้องดาวน์โหลด module เพิ่มเติมแต่อย่างใด โดย module นี้จะสนับสนุน OpenID 2.x ผมก็ไม่รอช้าที่จะทดสอบการใช้งาน โดยในที่นี้ผมจะไม่กล่าวถึงวิธีการติดตั้ง Drupal 6 ขอให้ท่านที่สนใจ ติดตามอ่านได้ใน http://linux.sothorn.org/ ซึ่งผู้เขียนนั้นบรรยายไว้อย่างระเอียดแล้ว

การตั้งค่า

การจะทำให้เวบไซต์ที่อยู่บนระบบ Drupal 6 นี้ เปิดรับการลอกอินด้วย OpenID จากผู้ใช้ต่างๆ นั้นมีขั้นตอนง่ายๆ ดังนี้

1. หลังจากติดตั้ง Drupal 6 เสร็จแล้ว ลอกอินด้วยบัญชีผู้ดูแลระบบ

2. อนุญาติให้ผู้ใช้สามารถสมัครสมาชิกได้เสียก่อน โดยปกติ Drupal จะติดตั้งตัวเลือกนี้มาให้อยู่แล้ว คุณสามารถข้ามขั้นตอนนี้ไปได้เลย แต่คุณสามารถตรวจสอบได้ โดยไปที่ Administer -› User management -> User settings แล้วเลือกตัวเลือกที่ 2 หรือ 3 ตามรูปด้านล่างนี้ แล้วคลิ๊กปุ่ม Save configuration

3. เปิด OpenID module โดยไปที่ Administer -› Site building -> Modules มองหา Core - optional แล้วเลือกตรง OpenID ตามรูปด้านล่างนี้ แล้วคลิ๊กปุ่ม Save configuration

4. ออกจากระบบของบัญชีผู้ดูแลระบบ แล้วไปยังหน้าแรกของเวบไซต์ สังเกตตรงแบบฟอร์มลอกอินจะมีตัวเลือก Log in using OpenID เพิ่มเติมขึ้นมา คลิ๊กแล้วจะเจอแบบฟอร์มตามรูปด้านล่างนี้ ซึ่งตรงนี้ผู้ใช้สามารถลอกอินได้ด้วย OpenID

การใช้งาน

ผมได้ทดสอบการใช้งาน OpenID module ของ Drupal 6 นี้ โดยการลอกอินด้วย OpenID จาก myopenid.com, openid.yahoo.com และ thaiid.net พบว่ามันทำงานได้ดี แต่มันไม่รับรอง OpenID จาก Blogger.com ซึ่งเป็น OpenID 1.1 ในที่นี้ผมจะขอยกตัวอย่างการลอกอินด้วย OpenID จาก thaiid.net เนื่องจากต้องการสนับสนุน OpenID ของคนไทย

ผมลอกอินด้วย http://www.thaiid.net/waipot ซึ่งเป็น OpenID ของผมที่ได้สมัครไว้กับ thaiid.net หลังจากลอกอินผ่าน OpenID module ตัวนี้จะไปดึงข้อมูลจาก OpenID provider ซึ่งก็คือ thaiid.net และจะทำการสมัครบัญชีผู้ใช้ของเราให้โดยอัตโนมัติ โดยจะใช้ nick name ใน OpenID เป็น user name ของ Drupal แต่หากเกิดข้อผิดพลาดอย่าง เช่น user name ซ้ำ ระบบก็จะขอให้เราเปลี่ยนข้อมูลใหม่ เราจะเจอหน้าตามรูปด้านล่างนี้

เมื่อเสร็จขั้นตอนการสมัครนี้แล้ว เราจะพบหน้าจัดการบัญชีผู้ใช้ของตัวเอง ตามรูปด้านล่างนี้ โดยผู้ใช้แต่ละคนก็จะมี user name กับ password ซึ่งสามารถใช้ลอกอินได้ด้วยวิธีปกติ ที่เพิ่มเติมมาก็คือที่ OpenID identities ซึ่งก็คือ OpenID ประจำตัวของผู้ใช้แต่ละคน ตรงนี้เราสามารถลบ หรือ เพิ่ม OpenID เข้าไปทีหลังได้มากกว่าหนึ่ง OpenID ดังนั้น เราจึงมีทางเลือกในการลอกอิน คือ แบบปกติ และ ใช้ OpenID

การที่ Drupal ได้นำ OpenID เข้าเป็น Core module ทำให้เวบไซต์ที่ใช้ระบบ CMS ตัวนี้ เปิดรับการลอกอินได้ด้วย OpenID จึงถือว่าเป็นการทำให้ การใช้งาน OpenID ฝั่ง consumer มีมากขึ้น

เวบไซต์ที่เปิดให้ผู้ใช้สามารถลอกอินได้ด้วย OpenID จะเรียกว่า OpenID Consumer หรือบางทีก็เรียกว่า Relying Party (RP) ในกรณีที่เราต้องการทำให้เวบไซต์ของเรา (ซึ่งอาจจะเป็นระบบ CMS/Blog) ลอกอินได้ด้วย OpenID นั้นก็สามารถทำได้ ผมพยายามค้นหาซอฟต์แวร์หรับ CMS/Blog ต่างๆ เหล่านี้ ซึ่งพอจะรวบรวมได้ดังนี้

• WordPress OpenID Plugin -  เป็น plug-in สำหรับระบบบลอกยอดนิยมอย่าง WordPress 
• Drupla OpenID Modules -  เป็น module สำหรับระบบ CMS ยอดนิยมอย่าง Drupal 
• OpenID Auth for phpBB - เป็น module สำหรับเวบฟอรัมยอดนิยมอย่าง phpBB แต่สนับสนุนเพียง phpBB 2.0 ในขณะนี้
• Openid plugin - B2evolution -  เป็น plug-in สำหรับ b2evolution บลอกแวร์ยอดนิยมอีกตัวหนึ่ง

ที่มา: http://openiddirectory.com/

วีดิโอสาธิตการใช้ OpenID ลอกอินเข้าเวบไซต์ต่างๆ นี้น่าจะเป็นประโยชน์ต่อผู้เริ่มใช้ OpenID

ถึงแม้ว่าเราจะมี phpBB3 แล้ว แต่ phpBB2 ก็ยังคงพัฒนาอยู่ ล่าสุดได้ออกเวอร์ชั่น 2.0.23 พร้อมให้ดาวน์โหลดแล้ววันนี้

ช่วงหลังๆ นี่ผมพบว่า SMF จะดูดีกว่า แต่ผมก็ยังไม่ทอดทิ้ง phpBB อาจเป็นเพราะ phpBB พัฒนาภายใต้ GPL จึงมั่นใจในความเป็นระบบเปิดได้มากกว่า SMF

เมื่อสี่ห้าเดือนที่แล้วผมได้ซื้อโน๊ตบุคมาใหม่ และผมก็ได้ Window Vista Home Premium ของแท้ติดเครื่องมา พร้อมกับ Norton Anti-virus  2007 แต่เป็นลิขสิทธิ์ 90 วัน หลังจาก Norton หมดอายุผมก็ไม่คิดที่จะ Renew เพราะทำใจจ่าย $39.99 ไม่ไหว อยู่อเมริกาต้องระวังเรื่องลิขสิทธิ์ของซอฟต์แวร์ นี่ถ้าอยู่เมืองไทยผมคงจ่ายแค่ 150 บาท หรือบางทีไม่ต้องเสียสักบาท (หุ หุ)

เรามักไม่เห็นความสำคัญของโปรแกรม anti-virus จนกระทั่งคอมพิวเตอร์ของเราได้ติด virus

พอไม่มี anti-virus เครื่องของผมก็โดนโจมตี ด้วย virus และ spyware สารพัดชนิด อมโรคงอมแงมกันเลยทีเดียว ทำให้คอมพิวเตอร์มีปัญหา ไฟล์ถูกทำลาย และใช้งานอินเทอร์เน็ตได้ช้าลง ผมเสาะแสวงหาของฟรีทั่วสารทิศ แต่ไม่เห็นผล จนกระทั่งผมพบ Windows Live OneCare ซึ่งเป็นโปรแกรมป้องกัน virus และ spyware ที่มาในชุด Windows Live ของ Microsoft  ปกติผมไม่ชื่นชมค่ายนี้เท่าไหร่ แต่ถ้าเขาให้เราใช้ฟรีถึง 90 วัน ก็น่าปรบมือให้เขาสักนิด

การติดตั้งก็แสนจะง่ายตามสไตล์ของเขาหละ ดาวน์โหลด Windows Live OneCare installation ซึ่งเป็นตัวติดตั้งแบบออนไลน์ ถ้ามี anti-virus ตัวก่อนหน้า โปรแกรมก็จะขอให้เราเอาออก (anti-virus สองตัวอยู่ถ้ำเดียวกันไม่ได้) พอติดตั้งเสร็จก็ reboot เครื่องเสียหน่อย  โปรแกรมก็เริ่มทำงานปกป้องเครื่องคุณแทบจะทันที (ดูรูป)  จากประสบการณ์ที่ลองใช้ ผมพบว่ามันกำหราบ(นะ ไม่ใช่กำจัด) virus ที่ผมกำลังติดอยู่ได้อย่างหมดเกลี้ยง เครื่องของผมกลับมาอยู่สภาพที่ปกติ

virus ตัวใหม่ๆ มีเป้าหมายเพื่อโจมตีช่องโหว่ของ Windows ดังนั้นเมื่อ Microsoft ผลิตซอฟต์แวร์ anti-virus ออกมาเอง ก็น่าจะเป็นผลดีต่อผู้ใช้ เพราะ Microsoft เองย่อมรู้ช่องโหว่ของตัวเองดีที่สุด ลองทดลองใช้ Windows Live OneCare นี้กันได้ครับ

Sign-in seal เป็นลูกเล่นที่ผมได้มาพร้อมๆ กับ Yahoo! OpenID ดูจากรูปที่ผมจับหน้าจอมา จะเห็นว่าเมื่อไรก็ตามที่เราต้องการลอกอินด้วย Yahoo! ID มันจะปรากฏรูปภาพ หรือ ข้อความที่เราได้กำหนดไว้ เพื่อยืนยันว่าเวบไซต์นั้นเป็นของ Yahoo! ตัวจริง ไม่ใช่ phishing เวบไซต์

หลักการทำงานของ Sign-in seal ก็มีอยู่ว่า เราจะทำสร้างข้อมูลที่เป็นความลับ ระหว่างเครื่องคอมพิวเตอร์ที่เราใช้กับ Yahoo! โดยการเขียนข้อความ text หรือ อัพโหลดรูปภาพขึ้นไป ดังนั้นจะมีเพียงคอมพิวเตอร์ที่เราใช้ติดตั้ง Sign-in seal และ Yahoo! เท่านั้นที่รู้ข้อมูลความลับนี้ ดังนั้นเมื่อเราพบข้อความหรือรูปภาพที่เราได้ติดตั้งไว้ นั่นหมายความว่าเรากำลังจะลอกอินเข้าเวบไซต์ของ Yahoo! ของแท้ ไม่หลอกลวง

ประโยชน์ของ Sign-in seal นี้ ก็คือ ป้องกันการ phishing (มาจากคำว่า fishing) ซึ่งเป็นการหลอกลวงทางอินเทอร์เน็ต เพื่อขโมยข้อมูลที่สำคัญเช่น รหัสผ่าน อาจทำได้โดยการสร้างเวบไซต์ของปลอมขึ้นมา โดยอาจจะแกล้งตบตาทำเป็นเวบไซต์ของบริษัทที่ดูน่าเชื่อถือ เช่น Yahoo! แล้วใช้กลวิธีต่างๆ ล่อลวงให้คุณต้องลอกอินเข้าสู่ระบบและใส่ข้อมูลที่สำคัญ จากนั้นเราก็ติดเบ็ดของนักต้มตุ๋นเหล่านี้ ข้อมูลของคุณจะถูกขโมยโดยสิ้นเชิง

สำหรับผม Sign-in seal นอกจากมันจะดูเก๋ไก๋แล้ว มันยังสร้างความปลอดภัยได้ระดับหนึ่ง แบบว่าเราจะลอกอินด้วย Yahoo! ID เราก็จะพบรูป(หรือ text)ตัวเอง จึงเชื่อมั่นได้ว่าเรากำลังจะลอกอินเข้าเวบไซต์ของจริง ไม่โดนต้มตุ๋น แต่จะเห็นว่า Sign-in seal ไม่เหมาะกับคอมพิวเตอร์สาธารณะที่มีผู้ใช้ร่วมกันหลายคน เพราะข้อมูล seal นี้อาจจะถูกเปลี่ยนโดยผู้ใช้คนใดคนหนึ่งได้เสมอ

Blogger in draft ได้เพิ่ม feature ใหม่ คือ ตั้งเวลาโพสต์ล่วงหน้าได้ (Scheduled Posts) การใช้งานก็อย่างเช่น ถ้าผมต้องการอวยพรวันวาเลนไทน์แก่แฟนๆ บลอกของผมตอน 0.00 น. พอดีเป๊ะ ของวันที่ 14 กุมภาพันธ์ ผมก็เขียนบทความไว้ แล้วกำหนดเวลาโพสต์ล่วงหน้าไว้ ตอน 0.00 น. หรือ คุณอาจจะต้องการเขียนบทความไว้หลายๆ บทความภายในครั้งเดียว แต่ต้องการให้แสดงวันละหนึ่งบทความ คุณก็ตั้งเวลาล่วงหน้าไว้ให้บทความแสดงทีละบทความได้เหมือนกัน

ทดสอบ ผมตั้งเวลาของโพสต์นี้ไว้ 13.13 น. ลองดูสิว่า มันจะปรากฏเวลานั้นไหม