req_id

ความคิดเห็นจากกลุ่มทำงาน

8.1.6

โปรดพิจารณาข้อกำหนดนี้ใหม่ให้เป็นสิ่งที่ดำเนินการได้มากขึ้น (เช่น ควรเก็บข้อมูลสำรองไว้เป็นระยะเวลา X เท่านั้น ควรตรวจสอบข้อมูลสำรองเพื่อป้องกันการโจรกรรม/การเสียหาย ควรตรวจสอบข้อมูลสำรองเป็นประจำเพื่อยืนยันความสามารถในการย้ายกลับไปสู่การผลิต) สมมติฐานปัจจุบันกว้างเกินไปและ ต้องมีการกำหนดเพิ่มเติม

5.1.4

ซ้ำกับกรณีทดสอบอื่นๆ นี่คือกรณีทดสอบที่ต้องใช้ความพยายามสูงแต่มีคุณค่าต่ำ แนะนำให้นำออก

7.3.3

ซ้ำกับกรณีทดสอบอื่นๆ นี่คือกรณีทดสอบที่ต้องใช้ความพยายามสูงแต่มีคุณค่าต่ำ แนะนำให้นำออก

1.2.2

remove due to coverage in other req such as 4.1.1

2.2.4

นำข้อกำหนดออกเนื่องจากครอบคลุมอยู่ใน 4.3.1

(4.3.1 ตรวจสอบว่าอินเทอร์เฟซการดูแลระบบใช้ การตรวจสอบสิทธิ์แบบหลายปัจจัยที่เหมาะสมเพื่อ

ป้องกันการใช้งานที่ไม่ได้รับอนุญาต) ซึ่งครอบคลุมการป้องกันการแอบอ้างเป็นบุคคลอื่น เพื่อป้องกันฟิชชิงในอินเทอร์เฟซผู้ดูแลระบบและเส้นทางการเข้าถึงภายในอื่นๆ

2.2.5

นำออกเนื่องจาก CSP ส่วนใหญ่ไม่รองรับ mTLS และนักพัฒนาซอฟต์แวร์ส่วนใหญ่ที่ทดสอบ CASA จะใช้การตรวจสอบสิทธิ์ที่อิงตามรหัสผ่าน

2.4.3

มาตรฐานตามที่เขียนไว้ไม่เจาะจงมากพอที่จะบังคับใช้ได้

2.4.5

ข้อกำหนดถูกนำออกใน ASVS เวอร์ชัน 5 และอัลกอริทึมการแฮชที่แนะนำ ใน 2.4.1 ไม่เป็นไปตามข้อกำหนดนี้

2.7.5

การทดสอบทำได้ยากเนื่องจากอาจต้องวิเคราะห์ผู้ให้บริการ OOB ของบุคคลที่สาม ความเสี่ยงในที่นี้จึงต่ำเนื่องจากรหัสการตรวจสอบสิทธิ์มีอายุสั้น

2.8.2

ข้อกำหนดเกี่ยวข้องกับโซลูชัน MFA ที่กำหนดเองเท่านั้น และครอบคลุมโดย 6.4.2 และ 6.4.1

2.8.5

นำข้อกำหนดออกเนื่องจากข้อ 2.7.6 ครอบคลุมอยู่แล้ว การบันทึกความพยายามที่ไม่สำเร็จจะครอบคลุมโดยข้อกำหนดการบันทึกของ ASVS

2.8.6

OTP ที่เป็นอุปกรณ์จริงในระดับแอปพลิเคชันไม่ใช่กรณีการใช้งานทั่วไป คำขอนี้จำเป็นสำหรับอินเทอร์เฟซผู้ดูแลระบบ อย่างไรก็ตาม ข้อกำหนด 4.3.1 (ตรวจสอบว่าอินเทอร์เฟซการดูแลระบบใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยที่เหมาะสมเพื่อป้องกันการใช้งานที่ไม่ได้รับอนุญาต) ครอบคลุม MFA สำหรับอินเทอร์เฟซผู้ดูแลระบบและจะครอบคลุมความเสี่ยงนี้

2.9.1

ข้อกำหนดนี้ครอบคลุมอุปกรณ์จริงตาม ASVS (คีย์ความปลอดภัยแบบเข้ารหัสคือสมาร์ทการ์ดหรือคีย์ FIDO ซึ่ง ผู้ใช้ต้องเสียบหรือจับคู่

อุปกรณ์เข้ารหัสกับคอมพิวเตอร์เพื่อทำการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์ ผู้ยืนยันจะส่ง Nonce ที่ใช้ในการท้าทายไปยัง

อุปกรณ์หรือซอฟต์แวร์เข้ารหัส และอุปกรณ์หรือซอฟต์แวร์ คำนวณการตอบกลับโดยอิงตาม

(คีย์การเข้ารหัสที่จัดเก็บไว้) ทำให้ข้อกำหนดนี้อยู่นอกขอบเขตของ CASA เนื่องจากความเสี่ยงในการตรวจสอบสิทธิ์อุปกรณ์จริงครอบคลุมโดย 4.3.1 เพื่อวัตถุประสงค์ของ MFA (ฮาร์ดแวร์หรือซอฟต์แวร์)

2.9.3

ข้อกำหนดนี้ครอบคลุมอุปกรณ์จริงตาม ASVS (คีย์ความปลอดภัยแบบเข้ารหัสคือสมาร์ทการ์ดหรือคีย์ FIDO ซึ่ง ผู้ใช้ต้องเสียบหรือจับคู่

อุปกรณ์เข้ารหัสกับคอมพิวเตอร์เพื่อทำการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์ ผู้ยืนยันจะส่ง Nonce ที่ใช้ในการท้าทายไปยัง

อุปกรณ์หรือซอฟต์แวร์เข้ารหัส และอุปกรณ์หรือซอฟต์แวร์ คำนวณการตอบกลับโดยอิงตาม

(คีย์การเข้ารหัสที่จัดเก็บไว้) ทำให้ข้อกำหนดนี้อยู่นอกขอบเขตของ CASA เนื่องจากความเสี่ยงในการตรวจสอบสิทธิ์อุปกรณ์จริงครอบคลุมโดย 4.3.1 เพื่อวัตถุประสงค์ของ MFA (ฮาร์ดแวร์หรือซอฟต์แวร์)

2.10.1

ข้อกำหนดขัดแย้งกับ 2.10.2

2.10.3

ครอบคลุมโดย 2.4.1 (ยืนยันว่ามีการใช้ฟังก์ชันการแฮชรหัสผ่านอย่างใดอย่างหนึ่งต่อไปนี้เมื่อจัดเก็บรหัสผ่านของผู้ใช้สำหรับแอปพลิเคชัน: argon2id, scrypt, bcrypt หรือ PBKDF2) ซึ่งครอบคลุมความเสี่ยงของการโจมตีแบบออฟไลน์และการจัดเก็บรหัสผ่าน

2.10.4

ครอบคลุมโดย 6.4.2 ตรวจสอบว่าไม่ได้เปิดเผยเนื้อหาคีย์ต่อแอปพลิเคชัน แต่ใช้โมดูลความปลอดภัยที่แยกต่างหาก เช่น Vault สำหรับการดำเนินการเข้ารหัส

3.2.3

ครอบคลุมโดยข้อ 3.4.1, 3.4.2 และ 3.4.3

3.5.1

ผู้ใช้เพิกถอนโทเค็นผ่านผู้ให้บริการ OAuth ได้

4.3.3

Req ครอบคลุม MFA สำหรับอินเทอร์เฟซผู้ดูแลระบบและการเข้าถึงที่ได้รับสิทธิ์

5.1.3

ข้อกำหนดนี้ครอบคลุมข้อกำหนดอื่นๆ ในการตรวจสอบอินพุต และหากการขาดการตรวจสอบไม่ได้ทำให้เกิดช่องโหว่ในตรรกะทางธุรกิจจริง ก็อาจถือว่ามีความรุนแรงต่ำกว่า ตัวอย่างเช่น การไม่ตรวจสอบหมายเลขโทรศัพท์อย่างถูกต้องจะส่งผลให้ หมายเลขโทรศัพท์แสดงอย่างไม่เหมาะสมในหน้าข้อมูล ซึ่ง ไม่มีผลกระทบด้านความปลอดภัยโดยตรง

5.1.4

ข้อกำหนดนี้ครอบคลุมข้อกำหนดอื่นๆ ในการตรวจสอบอินพุต และหากการขาดการตรวจสอบไม่ได้ทำให้เกิดช่องโหว่ในตรรกะทางธุรกิจจริง ก็อาจถือว่ามีความรุนแรงต่ำกว่า ตัวอย่างเช่น การไม่ตรวจสอบหมายเลขโทรศัพท์อย่างถูกต้องจะส่งผลให้ หมายเลขโทรศัพท์แสดงอย่างไม่เหมาะสมในหน้าข้อมูล ซึ่ง ไม่มีผลกระทบด้านความปลอดภัยโดยตรง

5.3.2

ข้อกำหนดส่วนที่ระบุว่าอักขระ Unicode ทุกตัวใช้ได้อาจทำให้การทดสอบเป็นเรื่องยาก แอปพลิเคชันบางรายการอาจไม่มีแบบฟอร์มข้อความที่มีขนาดใหญ่พอที่จะรองรับอักขระ Unicode ทุกตัว นอกจากนี้ ระบบปฏิบัติการและเครื่องมือแฮ็กบางอย่างยังไม่รองรับ พื้นที่ Unicode ทั้งหมด ทำให้คุณทดสอบไม่ได้แม้ว่าเซิร์ฟเวอร์จะรองรับก็ตาม โดยรวมแล้วมีคุณค่าด้านความปลอดภัยที่น่าสงสัย เดิมรวมอยู่ ในเวอร์ชันเบต้า แต่ถูกนำออกเนื่องจากปัญหาในการทดสอบ

6.2.5

ครอบคลุมโดย 6.2.4 และ 6.2.3

6.2.6

ครอบคลุมโดย 6.2.4 และ 6.2.3

6.3.1

ครอบคลุมโดย 6.2.4 และ 6.2.3

6.3.3

ครอบคลุมโดยข้อกำหนดอื่นๆ ในการสร้างหมายเลขสุ่ม

7.1.2

ครอบคลุมโดย 7.1.1

7.1.3

ครอบคลุมโดย 7.1.1

7.3.1

ครอบคลุมโดย 7.1.1

7.3.3

ครอบคลุมโดย 7.1.1

8.1.3

การอธิบายว่าพารามิเตอร์ใดเป็นพารามิเตอร์ที่ยอมรับได้หรือจำเป็นเป็นเรื่องยาก ไม่ใช่กรณีที่ทดสอบได้ อะไรที่ถือว่า จำเป็น เราจะพิจารณาว่าข้อยกเว้นนั้นถูกต้องหรือไม่ได้อย่างไร ถือว่าอยู่นอกขอบเขตของ CASA

8.3.3

ไม่ใช่ข้อกำหนดที่ทดสอบได้ เกี่ยวข้องกับนโยบายความเป็นส่วนตัวและข้อกำหนด ในการให้บริการ และไม่ใช่ความปลอดภัยของแอปพลิเคชัน นี่เป็นการตรวจสอบทางกฎหมาย และการปฏิบัติตามข้อกำหนด ซึ่งอยู่นอกขอบเขตของ CASA

8.3.6

การควบคุมเป็นแบบเฉพาะระบบ (Windows/Linux) และเฉพาะอุปกรณ์ และในกรณีส่วนใหญ่ไม่ใช่การควบคุมแอปพลิเคชัน

8.3.8

ครอบคลุมโดย 1.8.1, 1.8.2 และ 1.1.4

9.2.5

ที่ครอบคลุมโดย 8.3.5 และการตรวจสอบนโยบายการบันทึกของ แอปพลิเคชัน

10.1.1

ครอบคลุมโดยการตรวจสอบสถาปัตยกรรมและเป็นแนวทางปฏิบัติแนะนำ ข้อกำหนดทดสอบไม่ได้

10.2.3

ไม่สามารถดำเนินการให้เสร็จได้ภายในระยะเวลาอันควร ควรบันทึกและตรวจสอบโค้ดที่ผิดปกติ อย่างไรก็ตาม การตั้งค่างานที่เฉพาะเจาะจงเพื่อให้แน่ใจว่าไม่มีแบ็กดอร์ จะต้องมีการตรวจสอบโค้ดแบบทีละบรรทัดอย่างละเอียด และไม่ รับประกันว่าไม่มีแบ็กดอร์

ทดสอบฟังก์ชันที่เป็นอันตรายซึ่งออกแบบมาอย่างดีได้ยาก

10.2.4

ไม่มีวิธีทดสอบ ไม่สามารถดำเนินการให้เสร็จภายในระยะเวลาที่เหมาะสม ควรบันทึกและตรวจสอบโค้ดที่ผิดปกติ อย่างไรก็ตาม การตั้งค่างานที่เฉพาะเจาะจงเพื่อให้แน่ใจว่าไม่มีแบ็กดอร์จะต้องมีการตรวจสอบโค้ดแบบทีละบรรทัดอย่างละเอียด และไม่รับประกันว่าจะไม่มีแบ็กดอร์

ทดสอบฟังก์ชันที่เป็นอันตรายซึ่งออกแบบมาอย่างดีได้ยาก

10.2.5

ไม่มีวิธีทดสอบ ไม่สามารถดำเนินการให้เสร็จภายในระยะเวลาที่เหมาะสม ควรบันทึกและตรวจสอบโค้ดที่ผิดปกติ อย่างไรก็ตาม การตั้งค่างานที่เฉพาะเจาะจงเพื่อให้แน่ใจว่าไม่มีแบ็กดอร์จะต้องมีการตรวจสอบโค้ดแบบทีละบรรทัดอย่างละเอียด และไม่รับประกันว่าจะไม่มีแบ็กดอร์

ทดสอบฟังก์ชันที่เป็นอันตรายซึ่งออกแบบมาอย่างดีได้ยาก

13.1.1

ครอบคลุมโดย 5.2.6 และ 5.3.9

12.3.1

ความเสี่ยงในการเข้าถึงเส้นทางที่ไม่อนุญาตซึ่งครอบคลุมโดยข้อกำหนดอื่นๆ ที่มีอยู่จาก บทที่ 5 (การตรวจสอบ การล้างข้อมูล และการเข้ารหัส) ของ ASVS และ CASA

12.3.3

ครอบคลุมโดย 5.2.6 และ 5.3.9

12.3.6

ครอบคลุมโดย 10.3.2 12.4.1 และ 12.4.2

12.5.1

ครอบคลุมโดย 10.3.2 และ 12.4.2

12.5.2

ครอบคลุมโดย 10.3.2 12.4.1 และ 12.4.2

13.1.5

ข้อกำหนดนี้ครอบคลุมข้อกำหนดอื่นๆ ในการตรวจสอบอินพุต และหากการขาดการตรวจสอบไม่ได้ทำให้เกิดช่องโหว่ในตรรกะทางธุรกิจจริง ก็อาจถือว่ามีความรุนแรงต่ำกว่า ตัวอย่างเช่น การไม่ตรวจสอบหมายเลขโทรศัพท์อย่างถูกต้องจะส่งผลให้ หมายเลขโทรศัพท์แสดงอย่างไม่เหมาะสมในหน้าข้อมูล ซึ่ง ไม่มีผลกระทบด้านความปลอดภัยโดยตรง

13.2.2

ข้อกำหนดนี้ครอบคลุมข้อกำหนดอื่นๆ ในการตรวจสอบอินพุต และหากการขาดการตรวจสอบไม่ได้ทำให้เกิดช่องโหว่ในตรรกะทางธุรกิจจริง ก็อาจถือว่ามีความรุนแรงต่ำกว่า ตัวอย่างเช่น การไม่ตรวจสอบหมายเลขโทรศัพท์อย่างถูกต้องจะส่งผลให้ หมายเลขโทรศัพท์แสดงอย่างไม่เหมาะสมในหน้าข้อมูล ซึ่ง ไม่มีผลกระทบด้านความปลอดภัยโดยตรง

13.2.3

ครอบคลุมโดย 4.2.2

13.2.5

ข้อกำหนดนี้ครอบคลุมข้อกำหนดอื่นๆ ในการตรวจสอบอินพุต และหากการขาดการตรวจสอบไม่ได้ทำให้เกิดช่องโหว่ในตรรกะทางธุรกิจจริง ก็อาจถือว่ามีความรุนแรงต่ำกว่า ตัวอย่างเช่น การไม่ตรวจสอบหมายเลขโทรศัพท์อย่างถูกต้องจะส่งผลให้ หมายเลขโทรศัพท์แสดงอย่างไม่เหมาะสมในหน้าข้อมูล ซึ่ง ไม่มีผลกระทบด้านความปลอดภัยโดยตรง

13.3.1

ข้อกำหนดนี้ครอบคลุมข้อกำหนดอื่นๆ ในการตรวจสอบอินพุต และหากการขาดการตรวจสอบไม่ได้ทำให้เกิดช่องโหว่ในตรรกะทางธุรกิจจริง ก็อาจถือว่ามีความรุนแรงต่ำกว่า ตัวอย่างเช่น การไม่ตรวจสอบหมายเลขโทรศัพท์อย่างถูกต้องจะส่งผลให้ หมายเลขโทรศัพท์แสดงอย่างไม่เหมาะสมในหน้าข้อมูล ซึ่ง ไม่มีผลกระทบด้านความปลอดภัยโดยตรง

14.4.1

ครอบคลุมโดย 5.3.1

14.4.2

ข้อกำหนดนี้ครอบคลุมข้อกำหนดอื่นๆ ในการตรวจสอบอินพุต และหากการขาดการตรวจสอบไม่ได้ทำให้เกิดช่องโหว่ในตรรกะทางธุรกิจจริง ก็อาจถือว่ามีความรุนแรงต่ำกว่า ตัวอย่างเช่น การไม่ตรวจสอบหมายเลขโทรศัพท์อย่างถูกต้องจะส่งผลให้ หมายเลขโทรศัพท์แสดงอย่างไม่เหมาะสมในหน้าข้อมูล ซึ่ง ไม่มีผลกระทบด้านความปลอดภัยโดยตรง

14.4.3

ครอบคลุมโดย 5.2.7 และ 5.3.3

14.4.5

ครอบคลุมโดย 6.2.1 และ 9.2.1

14.4.7

ครอบคลุมโดย 12.4.1

14.5.3

ครอบคลุมโดย 14.5.2

2.1.5

ครอบคลุมโดย 2.1.1

2.1.6

ครอบคลุมโดย 2.1.1

2.2.3

ไม่เกี่ยวข้องกับ Casa เนื่องจากความเสี่ยงได้รับการครอบคลุมโดยการควบคุมการต่อต้าน การทำงานอัตโนมัติอื่นๆ

2.5.6

ได้รับการคุ้มครองโดยการป้องกันด้วยรหัสผ่านอื่นๆ

3.1.1

มีความเสี่ยงต่ำที่จะถูกเปิดเผยและได้รับการคุ้มครองโดยการควบคุมอื่นๆ ของ ASVS

3.2.1

มีความเสี่ยงต่ำที่จะถูกเปิดเผยและได้รับการคุ้มครองโดยการควบคุมอื่นๆ ของ ASVS

3.4.4

มีความเสี่ยงต่ำที่จะถูกเปิดเผยและได้รับการคุ้มครองโดยการควบคุมอื่นๆ ของ ASVS

3.4.5

มีความเสี่ยงต่ำที่จะถูกเปิดเผยและได้รับการคุ้มครองโดยการควบคุมอื่นๆ ของ ASVS

4.2.1

ครอบคลุมโดย 13.1.4

5.2.8

ครอบคลุมโดยการตรวจสอบการตรวจสอบความถูกต้องและการปรับปรุงอินพุตอื่นๆ

5.3.5

ครอบคลุมโดยการตรวจสอบการตรวจสอบความถูกต้องและการปรับปรุงอินพุตอื่นๆ

7.4.1

ครอบคลุมโดยการตรวจสอบการบันทึก

8.2.3

ครอบคลุมโดย 8.1.1

9.1.1

ครอบคลุมโดย 6.2.1 และ 9.2.1

1.2.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.4.4

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.5.2

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.5.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.5.4

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.9.1

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.11.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.1

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.2

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.4

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.5

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.6

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

6.1.2

ครอบคลุมโดย 6.1.1

6.1.3

ครอบคลุมโดย 6.1.1

2.10.2

ครอบคลุมโดย 2.5.4

2.2.1

ครอบคลุมโดย 11.1.4

2.7.3

ครอบคลุมโดย 2.7.2

2.7.4

ครอบคลุมโดย 2.7.2

5.1.2

อยู่ภายใต้การควบคุมการป้องกันการทำงานอัตโนมัติ

6.2.2

ไม่ได้กำหนดอัลกอริทึมการเข้ารหัสที่ได้รับอนุมัติ

8.2.1

ครอบคลุมโดย 8.1.1

9.1.2

ครอบคลุมโดย 9.2.1

9.1.3

ครอบคลุมโดย 9.2.1

5.5.1

ครอบคลุมโดย 1.8.2

14.2.1

ได้รับการแก้ไขในเวอร์ชัน 1.14.6

3.3.4

แต่จะไม่เป็นเช่นนั้นสำหรับแอปพลิเคชันที่ใช้ AuthN/Z แบบไม่เก็บสถานะ เห็นด้วย กับคำแนะนำของ NCC Group ให้นำออก ซึ่งควร ครอบคลุมโดย 3.3.3

req_id

คำอธิบาย

1.1.4

ตรวจสอบเอกสารและการให้เหตุผลของ ขอบเขตความน่าเชื่อถือ คอมโพเนนต์ และโฟลว์ข้อมูลที่สำคัญทั้งหมดของแอปพลิเคชัน

1.8.1

ยืนยันว่าได้ระบุและจัดประเภทข้อมูลที่ละเอียดอ่อนทั้งหมดเป็น ระดับการปกป้อง

1.8.2

ตรวจสอบว่าระดับการป้องกันทั้งหมดมีชุดข้อกำหนดด้านการป้องกันที่เกี่ยวข้อง เช่น ข้อกำหนดด้านการเข้ารหัส ข้อกำหนดด้านความสมบูรณ์ การเก็บรักษา ความเป็นส่วนตัว และข้อกำหนดด้านการรักษาความลับอื่นๆ และตรวจสอบว่าข้อกำหนดเหล่านี้

ใช้ในสถาปัตยกรรม

2.1.1

ตรวจสอบว่ารหัสผ่านที่ผู้ใช้ตั้งมีความยาวอย่างน้อย 12 อักขระ

2.5.4

ตรวจสอบว่าไม่มีบัญชีที่แชร์หรือบัญชีเริ่มต้น (เช่น "root",

"admin" หรือ "sa")

4.2.1

ตรวจสอบว่าข้อมูลและ API ที่ละเอียดอ่อนได้รับการปกป้องจากการโจมตี Insecure Direct Object Reference (IDOR) ที่มุ่งเป้าไปที่ การสร้าง การอ่าน การอัปเดต และการลบระเบียน เช่น การสร้างหรืออัปเดตระเบียนของผู้อื่น การดู ระเบียนของทุกคน หรือการลบระเบียนทั้งหมด

1.14.6

ตรวจสอบว่าแอปพลิเคชันไม่ได้ใช้ ที่ไม่รองรับ ไม่ปลอดภัย หรือเลิกใช้งานแล้ว

เทคโนโลยีฝั่งไคลเอ็นต์ เช่น ปลั๊กอิน NSAPI, Flash, Shockwave, ActiveX

Silverlight, NACL หรือแอปเพล็ต Java ฝั่งไคลเอ็นต์