ธนาคารไทยควรทำ

เมื่อวานมีข่าว KTB Netbank เริ่มประกาศว่าจะไม่ยอมให้เครื่องที่ root ใช้งานได้อีกต่อไป โอเค มันก็เป็น mindset ของคนทำงานธนาคารโดยทั่วไปว่าเครื่องที่ root แล้วความปลอดภัยมันลดลง

แต่บางทีมันคงดี ถ้าธนาคารจะทำ practice ในฝั่งตัวเองให้ครบถ้วน เป็นแบบอย่างบ้าง เช่น

  • HTTPS นี่มันปี 2018 แล้ว เรามีใบรับรองดิจิตอลฟรีมาเป็นปีแล้ว ถ้ามีโดเมนธนาคารยังไม่เป็น HTTPS อยู่มันน่าจะมีอะไรผิด (อาจจะผิดที่ mindset ตรงนี้ไม่สำคัญ ฉันไม่ทำ) ข่าว KTB เองก็ต้องเข้า source ด้วย HTTP ถ้าใส่ HTTPS Everywhere นี่จะเข้าได้ แล้วเจอหน้า 404 สวัสดีปี 2018 เดี๋ยว Chrome ก็จะประจานหนักขึ้นเรื่อยๆ แล้ว จริงๆ แล้วตั้งแต่ปีที่แล้ว ธนาคารและบริษัทลูกที่ใช้แบรนด์เดียวกันทั้งหมดควรมีนโยบาย HTTPS Only กันได้แล้วนะ เคยเจอเว็บธนาคารทำดี สมัคร broker แล้วได้ HTTP server มาเป็นไอพีเลย ใช้ส่งข้อมูล PII เต็มรูปแบบ
  • เซิร์ฟเวอร์อีเมลรับ TLS อันนี้ทำแล้วหลายธนาคาร (ขอชื่นชม) ช่วงหลังกูเกิลประจานหนักขึ้นเรื่อยๆ ใน Gmail ก็ถึงเวลาต้องกลับไปคอนฟิกแล้ว พอมารู้ตอนหลังว่าหลายธนาคารทำทั้งที่ไม่มีใครประจานมาก่อนหน้านี้ก็ต้องชมว่างานละเอียดจริง
  • PDF กำหนดรหัสเองได้ อันนี้ยังไม่เจอธนาคารที่ใช้อยู่ทำ ไม่รู้จะอุตส่าห์ตั้งรหัสเป็นวัน-เดือนเกิดทำไม ประโยชน์เดียวคือ Gmail ค้นข้อความข้างในไม่ได้ ความปลอดภัยไม่ได้เพิ่มขึ้น (รหัสมีความเป็นไปได้ตั้ง 365 กรณี) บางธนาคารเติมปีมาให้ ความปลอดภัยน่าจะเพิ่มขึ้น “ติ๊ดนึง” อาจจะเดาช่วง 10-20 ปีได้ แนวทางหลังจากนี้การรายงานข้อมูลลูกค้าน่าจะเพิ่มขึ้นเรื่อยๆ (สิงคโปร์เริ่มกำหนดให้ส่งอีเมลแจ้ง statement รายวัน) ข้อมูลถ้ารั่วไปหาคนอื่นมันจะร้ายแรงขึ้นเรื่อยๆ เปิดทางให้ user รักษาความปลอดภัยตัวเองสักหน่อย
  • ตรวจข้อมูลก่อนใช้ อันนี้เข้าใจว่าเมื่อก่อนสมัยไม่มีมือถือ หรืออีเมลไม่ได้ใช้งานหนักๆ ก็ไม่ได้ตรวจความถูกต้องกันนัก แต่ข้อมูลการสื่อสารอิเล็กทรอนิกส์พวกนี้มันควรถูกตรวจก่อนใช้งานจริงจังบ้างได้แล้ว ข่าว KTB นี่ user เข้ามาแสดงความเห็นกันเพียบว่าสารพัดธนาคารไม่เคยตรวจว่าอีเมลถูกจริงไหม หนักสุดที่เคยเจอคือใส่ข้อมูลผิดกลายเป็นลงทะเบียน PromptPay สวมเบอร์คนอื่นได้เลย (ผิดประกาศแบงค์ชาติแน่ๆ แต่ไม่เคยได้ยินว่ามีการ mass revoke การลงทะเบียนที่ไม่ได้ตรวจก่อนทั้งหมดนะ)
  • รองรับ password manager เสียที คำแนะนำด้านความปลอดภัยใหม่ๆ เขาแนะนำให้ใช้ password manager มาพักใหญ่แล้ว เลิกห้าม paste รหัสผ่าน, เลิกสร้างคีย์บอร์ดเองในแอปและในเว็บ, เลิกกำหนดความยาวรหัสกันได้แล้ว
 

Mother to Daughter

เพิ่งเคยเจอเพลงนี้ใน YouTube เมื่อวันก่อนตอนฟังเพลง AKMU ไปเรื่อยๆ หยุดอ่านเนื้อเพลงดู (ในคลิปนี้มี sub แต่ MV ตัวจริงไม่มี) พบว่าน่าสนใจดี

เพลงพูดถึงคำสอนของแม่ถึงลูก เพลงแม่ลูกทั้งหลายเป็นกัน แต่เนื้อเพลงกลับพูดถึงความ “ไม่สมบูรณ์” ของแม่ไว้มาก ระหว่างแม่สอนก็ยอมรับว่าบางอย่างก็ทำเองไม่ได้

พอเป็นฝั่งลูกแทนที่จะซาบซึ้งขอบคุณ เนื้อเพลงกลับพูดถึงความลำบากของการเป็นลูกเหมือนกันว่ามันก็ไม่ได้ง่าย และสิ่งที่สอนมาก็พยายามทำแล้ว แต่ยิ่งพูดซ้ำ กลายเป็นลูกปิดใจ

ลงท้ายแม่ฝากลูกให้เป็นแม่ที่ดีกว่าตัวเอง

มันสมจริงว่าครอบครัวจริงๆ ก็ประมาณนี้ โดนสอนบ่อยๆ มันก็เซ็งๆ และคำสอนก็ไม่ได้สมบูรณ์ขนาดนั้นหรอก เราตั้งคำถามถึงความไม่สมบูรณ์ได้ แต่เราก็ทำให้มันพร้อมขึ้นเรื่อยๆ สำหรับรุ่นต่อๆ ไป แบบนี้แล้วก็ยังซึ้งได้ด้วยว่ารุ่นที่ผ่านมาก็พยายามแล้ว

 

Let Me Eat Your Pancreas (spoil)

น่าจะเป็นเรื่องแรกๆ ที่อ่านนิยายติดๆ กับดูหนัง (ดูหนังก่อนวันนึง แล้วออกมาซื้อนิยายอ่านต่อ)

  • เรื่องตอนโตนี่มีแต่ในหนังเลย ในนิยายไม่มี ซึ่งทำให้เส้นเรื่องในนิยายดู “จริง” กว่า
  • ตอนดูหนังออกมาคิดว่ามันเดินเรื่องเร็วดี ไม่ขยี้เอาน้ำตาเกินไป แต่เอาจริงๆ มันก็หนักกว่าในนิยายมากแล้ว
  • สิ่งหนึ่งรู้สึกตอนอ่านนิยายคือสงสัยว่านางเอกสวยแค่ไหน ในนิยายพูดเรื่องว่าสวยเป็นที่สาม แล้วเน้นว่าเท่าที่พระเอกจำหน้าได้ (เพราะพระเอกไม่มีเพื่อน) มันเลยบ่งบอกว่าคงหน้าตาดีประมาณนึง แต่ไม่เวอร์มาก ในหนังเรื่องพวกนี้ถูกตัดออกไปด้วยหน้าตาของนางเอกหนังแล้ว แถมในหนังไม่มีที่หนึ่งที่สองมาแทรกกลบนางเอกแต่อย่างใด
  • อีกเรื่องคือเส้นเวลา ในนิยายไม่ได้บีบอัดว่าทั้งสองคนสนิทกันขนาดนั้น เส้นเวลาความสัมพันธ์ของทั้งสองคนถูกเว้นเป็นระยะๆ หายไปหลายวันหรือหลายสัปดาห์อยู่เรื่อยๆ ในหนังสร้างภาพว่าเป็นการสนิทกันอย่างรวดเร็วและแทบไม่ได้เว้นช่องว่างระหว่างการสร้างความสัมพันธ์เลย
  • จุดที่ถูกเปลี่ยนอีกเรื่องคือนางเอก “เรียก” ให้ไปเยี่ยมที่โรงพยาบาล ความสัมพันธ์ตลอดเวลาไม่ได้เปลี่ยนเร็วขนาดนั้น มันก็มีพัฒนาการของมันที่เร็วพอสมควรแต่หนังบีบเข้ามามาก
  • พอเรื่องความสวยกับเรื่องความสัมพันธ์ในนิยายไม่หนักเท่าในหนัง เรื่อง “การหลุดออกจากความเป็น introvert” เลยมีพื้นที่มาก ตอนจบของนิยายก็แบบนี้ คือเป็นการเดินทางออกมาพบผู้คนเพราะนางเอก
  • ในนิยายมีบทสนทนาสวยๆ เยอะ ชีวิตคืออะไร, ความสัมพันธ์ ฯลฯ โดนหยิบมาใช้ในหนังเยอะ แต่อ่านนิยายก็ดีกว่า
  • ตอนดูหนังคิดว่าการซ่อนจดหมายนี่ไร้เหตุผลมาก โอกาสที่จะไม่เจอเลยสูงมาก ในนิยายก็เป็นตามนั้น มันแฟนตาซีเกิน ยิ่งบอกว่าระหว่างทางไปหาพระเอกแล้วแวะซ่อนจดหมายนี่ยิ่งประหลาด เลยคิดว่าบทตอนโตที่ใส่มานี่ไม่สวยเท่าไหร่
  • แต่ฉากห้องสมุดสวยดีในแง่ภาพ บทไม่ลงแต่ให้อภัยเรื่องภาพสวย
  • นิยายบรรยายฉากโดนฆ่าโหดเกิน (อีโต้ปักกลางอก) ไม่มีเหตุผลในแง่เนื้อเรื่อง โดนฆ่ายังไงก็สะเทือนใจอยู่แล้ว บรรยายความโหดแล้วทำเรื่องแย่ลง
  • ทรงผมนางเอกในหนังหัวกลมมาก ดูแล้วมันหลุดออกจากเรื่องเรื่อยๆ ดูๆ ไปคิดในใจว่าคิดยังไงถึงเลือกทรงผมหัวกลมขนาดนี้
  • นิยายแปลวิธีการเรียกชื่อได้ลำบาก “นายที่กุมความลับ” “นายเพื่อนสนิทที่ใจร้าย” ถ้าอ่านนิยายวัยรุ่นญี่ปุ่นบ่อยๆ คงชินว่าภาษามันเป็นแบบนี้? แต่พออ่านแล้วมันแปลกๆ ตลอดเวลา แถมมี footnote อธิบายการเล่นเสียงด้วย
 

ว่าด้วย Cryptocurrency

เขียนเรื่องเงินจากวิทยาการเข้ารหัสลับ (เรื่องจะแปล cryptocurrency ว่าอะไรนี่เป็นประเด็นอีกอันอยู่) หลายครั้ง คำถามมักเป็นว่าควรซื้อไหม มันจะขึ้นไหม และอนาคตเราจะได้ใช้มันไหม อะไรแนวๆ นี้

สองคำถามแรก ตอบไปเหมือนเดิมเสมอ คือ “กูไม่รู้” (สุภาพกว่านี้ตามโอกาส แต่พูดกับตัวเองว่า “ถ้ากูรู้ กูซื้อนานแล้ว”)

แต่คำถามที่สามนี่น่าสนใจ เพราะทุกวันนี้หลายคนมักบอกว่าช่องทางการใช้เงินประเภทนี้แบบบนดินคือการโอนเงินข้ามประเทศ ขณะที่ญี่ปุ่นเองก็รองรับเงินประเภทนี้เป็นช่องทางการจ่ายเงิน

การโอนเงินข้ามประเทศเป็นสิ่งที่ธนาคารในระบบปัจจุบันทำได้ค่อนข้างแย่ ค่าธรรมเนียมแพง อัตราแลกเปลี่ยนแพง และกระบวนการโอนช้า

ค่าธรรมเนียมการโอนทุกวันนี้อย่างระบบบัตรเครดิต ร้านค้าออนไลน์อาจจะต้องรับผิดชอบค่าธรรมเนียมอยู่ถึง 3.5% เมื่อรับบัตรผ่าน payment gateway ต่างๆ และฝั่งผู้จ่ายเองก็ต้องรับค่าธรรมเนียมอัตราแลกเปลี่ยนอีก 2% รวมแล้วสูงถึง 5.5% ค่าธรรมเนียมของ Western Union ก็ใกล้เคียงกัน

เมื่อเป็นเช่นนี้ก็เป็นไปได้ว่าจะมีส่วนต่างให้เงินจากวิทยาการเข้ารหัสลับพวกนี้เข้ามาแทนที่ ระบบเงินเหล่านี้เพียงสร้างระบบที่ค่าธรรมเนียมรวมถูกกว่า ให้เหลือ 1-2% ก็คงจะมีการใช้งานจริงแล้ว เช่น บริษัทรับแลกประเทศต้นทางคิด 0.3% ตัวบล็อคเชนคิดค่าธรรมเนียม 0.1% และบริษัทรับแลกปลายทางคิด 0.6% (เพราะทำหน้าที่เป็น payment gateway ในตัว และอาจจะต้องเป็นฝั่งรับความเสี่ยงค่าเงิน)

เงินบนบล็อคเชนเหล่านี้มีความได้เปรียบสำคัญคือกระบวนการ settlement รวดเร็ว (ถ้า block ไม่เต็มเสียก่อน) ทำให้อัตราแลกเปลี่ยนโดยทั่วไปในระยะเวลาสั้นๆ ไม่ควรจะผันผวนมากมาย แต่ปัญหาตอนนี้คือปริมาณ transaction ที่รองรับได้ช่างจำกัดจำเขี่ย และหากใช้ท่าขยายขนาดบล็อคไปเรื่อยๆ ปริมาณข้อมูลบนบล็อคเชนก็จะมีขนาดมหาศาล ดังนั้นเราจึงต้องหาทางสร้างเทคโนโลยีที่ Vitalik พูดเรื่องนี้ไว้เมื่อเดือนกันยายนที่ผ่านมา

การจ่ายเงินในอนาคตจึงเป็นไปได้ว่าร้านค้าบอกราคาสกุลเงินของตัวเอง และเมื่อเราเลือกจ่ายด้วย cryptocurrency หน้าเว็บก็แปลงเป็นเงินสกุลนั้นให้พร้อมกับบอกว่าจะคงราคาให้ 30 นาที เราเข้าเว็บบริษัทรับแลกจากเงินบาท และสั่งซื้อเงินจำนวนเท่าที่ระบุพร้อมกับสั่งโอนออก อีกสามนาทีเมื่อบล็อคเริ่มบันทึก transaction เว็บร้านค้าก็ยืนยันการรับเงิน และรอส่งสินค้า

การจะได้ใช้เงินประเภทนี้ในชีวิตประจำวันไหม จึงกลับไปที่เทคโนโลยีว่าเราจะสามารถสร้างเทคโนโลยีที่แทบไม่มีข้อจำกัดปริมาณรายการโอนไหม นับเป็นข้อแรกก่อน ถ้ารายการโอนวิ่งไม่ไป บล็อคเต็ม รอโอนเป็นวันก็จอดทันที

แต่ถ้าเทคโนโลยีเกิดแล้ว มันก็จะคาดโทษธนาคารและบริษัทรับจ่ายเงินทั้งหลายแล้วว่าจะวิ่งตามทันหรือไม่ สามารถหาทางมาต่อสู้กับเทคโนโลยีเหล่านี้ได้หรือไม่ ถึงจุดนั้นไม่ว่าธนาคารและเครือข่ายการจ่ายเงินทั้งหลายจะใช้อะไร (หรือใช้บล็อคเชนด้านหลังหรือไม่) ถ้าเราสามารถโอนด้วยระบบเดิมๆ แต่ค่าธรรมเนียมถูกลงจนใกล้เคียงกัน ธนาคารเลิกเก็บค่าธรรมเนียมความเสี่ยงอัตราแลกเปลี่ยน

ถ้าเป็นแบบนั้นต่อให้ cryptocurrency พร้อมแต่คนก็คงอยู่กับระบบเดิมต่อไป