Wednesday, July 29, 2009

Security Website dari Segi Login Dulu

hari ini saya dateng ke seminar dari Pak Nukman Luthfie, pas lagi akhir-akhir acaranya, ada orang dari Universitas Hasanuddin tanya, "Pak website saya kena hack, dipasang salah satu foto dari capres :("... Beberapa saat dari beliau bertanya, saya dan mas Valent, ketemu bapak itu. Beliau curiga bahwa yang menghack adalah developer yang dulu, saya dan mas Valent curiga bahwa memang mereka yang menghack, karena mereka yang mengetahui arsitektur web tersebut. Tapi nanti dl saya membatin... masih banyak hal lain yang musti diperhatikan dari web tersebut, yang paling penting adalah login.

Banyak manusia yang berkecimpung didalem web tidak mengetahui bahwa password dari sebuah situs dengan protokol http dikirim dengan tulisan biasa (inggris IN THE PLAIN GODDAMN TEXT!!), misal pass abc123, ya dikirim dengan pass abc123... orang yang menjaga router pasti bisa melihat dengan santai apa isi pass anda, maka dari itu, diusahakan agar para santo dan wali Allah yang menjaga router anda.

Kemudian, bila tidak ingin mereka yang melihat ato dengan kata lain terenkripsi, diharapkan agar situs anda menggunakan HTTPS, yang sertifikatnya seharga 10000 dollar... kalo ga pake sertifikat, entar muncul warning-warning gt deh...

Cara yang lebih murah yang lain adalah menggunakan situs yang sudah loginnya bisa dishare dan dienkripsi dengan HTTPS, contohnya facebook connect atau Open ID...

Masih ga maw jg? tenang, ada cara yang lebih advanced!!

pertama gunakan javascipt hash dengan kode hex_md5("pesan anda") untuk mengubah pesan dalam login situs anda, karena javascript di render (bahasa kampung dibangkitkan) di komputer anda (alias client), jadi mata-mata jahil pasti BT liat hurupnya ga jelas macem f96b697d7cb7938d525a2f31aaf161d0 :D, udah gitu di sisi loginnya, dikasih filter biar hanya request dari server tersebut yang di tangani dengan kalo di PHP $_SERVER['REMOTE_ADDR'] = [address server anda]; atau pake cara macem drupal di kasih token tiap form, jadi ga ada form forgery gt...

Friday, July 24, 2009

Integrasi NSIApay, overview Report

NSIApay adalah payment gateway untuk melakukan pembayaran online, yang digunakan bila sebuah merchant web tidak memiliki sebuah https atau perjanjian dengan kartu-kredit, mereka dapat melakukan pembayaran melalui situs ini. Karena selain mudah, dia juga dilengkapi dengan metode pembayaran cicilan... Luar biasa bukan!

situs ini juga menangani permasalahan-permasalahan web standar seperti x-site-forgery, sql injection dan x-site-scripting... dengan cara sederhana, yaitu melakukan request bolak balik kepada situs kita :)... walopun time consuming, paling tidak situs mercant tidak perlu menggunakan metode enkripsi form seperti pada paypal <_<, memudahkan untuk situs yang tidak memiliki SSL untuk memvalidasi form :D...

kemudian, dari segi keamanan... mereka sudah menggunakan metode POST untuk setiap pengiriman data... sehingga lebih aman, karena tidak terlihat disisi user, data apa saja yang perlu dikirim.

namun, metode x-site-request dengan cara ini tidak disupport drupal :(... sehingga diperlukan sedikit perubahan... dan pengamanan dengan melakukan filterisasi dari request ke server kita, untuk menghindari x-site-forgery :D... dengan cara
$_SERVER['REMOTE_ADDR'] = [address server nsiapay]... kalo di PHP :)...

secara overall, Nsiapay nyaris sempurna, cuma ga bisa pake drupal aja :(

Tuesday, July 14, 2009

Naam yi dong ji Keung (A man of determination)

Puisi bagus dari mas salman hudaya yang diposting di milis ITB

O hei o siu man chung long
Defiantly facing insurmountable odds

Yit huet yit sing hung yat gwong
Burning with righteous spirit like this red sunlight

Daam si tit da
With resolute courage

Gwat ji jing gong
With an uncompromising character

Hung kam baak chin jeung
With the broadest mind

Ngaan gwong maan lei cheung
With a far-sighted vision

Sai fen yiu faat ji keung
I go all out to make the country strong

Jo ho hon
To be a great hero

Jo goh ho hon ji
In order to be a great hero

Mui tin yiu ji keung
Every day you must push yourself

Yit huet naam ji
The righteous spirit of a hero

bit sing hung yat gwong
burns brighter than the sun

Yeung hoi tin wai ngoh jeui neng leung
Sea and sky yield their power for me to gather

Heui hoi tin pik dei
Let me fight for my own destiny

Wai ngoh lei seung heui cheung
Towards my ideals I will charge

Hon bik boh go jong
Witness the azure waves, tall and vigorous

yau hon bik hung gwong fut ho hei yeung
and the azure skies, as broad and vast as my indomitable spirit

Gei si naam yi dong ji keung
I am a man of strength and determination

On bo ding hung dai ga jok dung leung
Chin up, chest out, we uphold the nation

Jo ho hon
Be great heroes

Yung ngoh baak dim yit
My ambition ignites a hundred spirits

Yiu chut chin fen gwong
Shines outwards like a thousand spectra

Jo goh ho hon ji
To be a great warrior

Yit huet yit cheung yit
I raise my righteous and courageous spirit

Bit sing hung yat gwong
Burning brighter than the sun

Thursday, July 09, 2009

After Action Report (pemilu bung)

Saya kemarin bela-belain dateng ke Jakarta agar SBY ga kepilih, karena ada kekhawatiran bahwa KPK bakal dibredel karena ada jaksa penuntut yang berkata kurang sopan. Alasan saya yang kedua adalah adanya penyanyian lagu Indonesia Raya dengan nada lagu AS dan pak SBY tidak protes. Jadilah saya dengan semangat untuk memilih selain SBY, walaupun akhirnya saya pilih JK karena kemungkinan kalahnya besar, pokoknya yang penting dua putaran.

Kemudian, saya melihat quick count di TV, dan melihat kalo SBY menang. Jadilah saya kawatir kalo-kalo KPK bakal dibredel seperti ketakutan saya yang sebelumnya. Well, tapi sekarang rakyat sudah menentukan untuk memilih beliau, dan semoga KPK ga dibubarin >_<, cukup dipecat aja tuh yang ngomong kasar itu. Mungkin emang rejekinya JK disuruh bangun masjid di kampung sama gusti Allah...

Yah begitulah, kembali ke mode autopilot... kompetisi yang menarik, dan yang kalah ga boleh ngambek kek kemaren ya? kalo pun ada kecurangan toh SBY tetep menang keknya :D