Archive

Archive for March, 2010

Cara menutup halaman form login dabr

March 12th, 2010 35 comments

Tulisan ini terkait dengan artikel sebelumnya serta jawaban untuk pertanyaan ini. Setelah melakukan instalasi dabr dan melakukan konfigurasi, saya melakukan sedikit perubahan pada kode dabr sehingga halaman form login tidak lagi tampil. Pengguna yang belum login akan langsung diarahkan ke halaman twitter dan dipaksa untuk melakukan authentikasi menggunakan oAuth.

Berikut ini adalah cuplikan kode asli dabr yang terdapat pada file common/user.php

function user_ensure_authenticated() {
  if (!user_is_authenticated()) {
    $content = theme('login');
    $content .= file_get_contents('about.html');
    theme('page', 'Login', $content);
  }
}

Berikut ini adalah perubahan yang saya lakukan pada fungsi diatas, sehingga pengunjung situs akan diarahkan otomatis ke halaman authentikasi twitter menggunakan oAuth.

function user_ensure_authenticated() {
  if (!user_is_authenticated()) {
    header('Location: '. BASE_URL.'oauth');
    exit();
  }
}

Silahkan dicoba, semoga bermanfaat 🙂

Tambahan:

Authentikasi melalui oAuth penting untuk menjaga keamanan username dan password twitter Anda, karena Anda memberikannya hanya kepada twitter.com, bukan kepada situs aplikasi client twitter. Hal ini sangat penting untuk menjaga jangan sampai username dan password Anda jatuh ke tangan pihak yang tidak berhak lalu melakukan hal-hal yang tidak diinginkan. Terbukti beberapa account twitter teman saya telah diakses pihak lain dan digunakan untuk menyebarkan pesan dan link spam kepada followernya lewat DM. Jangan sampai terulang lagi.

Saya pribadi tidak jadi menggunakan beberapa layanan seperti twitpic hanya karena mereka belum menyediakan autentikasi twitter melalui oAuth. Saya lebih memilih menggunakan img.ly yang sudah mendukung oAuth.

Categories: web Tags: , , ,

Jumlah pengguna Bukan BlackBerry® dan NgüberTwіtter™

March 6th, 2010 21 comments

Berikut adalah hasil screenshot dari halaman twitter application, jumlah pengguna Bukan BlackBerry® dan NgüberTwіtter™

Jumlah pengguna Bukan BlackBerry®

Jumlah pengguna NgüberTwіtter™

Tampaknya NgüberTwіtter™ lebih diminati ketimbang Bukan BlackBerry®.

Selain untuk diakses lewat handphone, kedua aplikasi diatas juga bisa diakses lewat browser biasa. Keduanya memang tidak akan memberitahukan jika ada update tweet terbaru, seperti halnya mengakses web twitter secara langsung. Tapi bagi saya pribadi, akses twitter menggunakan dabr lebih enak. Dengan plugins AutoPager di Firefox, halaman selanjutnya bisa diload secara otomatis, sehingga dalam 1 layar bisa langsung baca semua tweet yang ada di timeline.

Terima kasih telah menggunakan aplikasi twitter ini.

Categories: web Tags: , , ,

Menyimpan password dalam bentuk plaintext? Jangan salahkan pihak lain kalo kebobolan

March 4th, 2010 16 comments

Perhatian:
Masalah aslinya telah lama selesai. Tulisan ini saya biarkan tetap ada sebagai arsip.

Hari ini pak Nukman me-retweet tentang www.belajarmenulis.com yang kata pemiliknya (Jonru) kena “hack”. Semula saya hanya menanggapi penggunaan kata hack yang tidak tepat, ternyata setelah saya baca keterangan Jonru di www.belajarmenulis.com, saya menemukan blunder lainnya.

Pak Jonru ternyata menyimpan daftar username dan password anggota www.belajarmenulis.com dalam bentuk plain text di sebuah file text yang bisa diakses langsung dari url www.belajarmenulis.com/wp-includes/wp-info.txt. Membaca ini saya hanya bisa berujar “wow” dalam hati.

Ibaratnya, pemilik rumah menaruh kunci rumahnya di bawah pot bunga di depan rumah tersebut. Ada maling yang kebetulan senang memeriksa pot bunga lalu menemukan kunci tersebut. Dalam hal ini keduanya salah, maling tetaplah maling, tindakannya salah. Pemilik rumah juga melakukan kesalahan, meletakkan kunci rumahnya dalam tempat yang tidak diamankan secara cukup.

Menyimpan username dan password dalam format plain text adalah blunder yang bisa dilakukan siapa saja. Bahkan hosting sekelas mediatemple.net pernah melakukannya. Bagi yang merasa prihatin dengan masalah ini, salah satu tindakan yang bisa dilakukan adalah mendaftarkan situs yang masih melakukan hal ini (menyimpan username dan password dalam bentuk plaintext) ke passwordFail.com. Ini adalah salah satu cara paksa, jika memang pemilik situs bersikeras untuk tetap melakukan blunder ini.

Kembali ke penggunaan kata hack yang saya soroti di awal, kata hacker tidaklah tepat digunakan dalam kegiatan ini. Walaupun orang yang membobol situs www.belajarmenulis.com menggunakannya, Jonru sebagai seorang penulis mestinya bisa melakukan koreksi terhadap hal ini. Tindakan perusakan bukan lagi tergolong hack, tetapi sudah crack, pelakunya disebut cracker. Jika seorang penulis saja gagal mengetahui beda hack dengan crack, pantas saja orang awam dan media terus melakukan kesalahan ini.

UPDATE:

Pak Jonru melakukan klarifikasi lewat twitter, bahwa file text tersebut adalah hasil buatan cracker yang membobol www.belajarmenulis.com. Pertanyaan selanjutnya yang muncul adalah, dari mana seorang yang mengaku pemula bisa mendapatkan list username dan password lalu menyimpannya di file text? WordPress terbaru saja telah melakukan pengamanan yang cukup bagus, dan sudah sejak lama menyimpan password dalam bentuk hash, bukan plain text. Mustahil mendapatkan password asli dari hash yang tersimpan di database. Satu-satunya yang bisa dilakukan cracker adalah mencari collision, kata berbeda yang jika di hash hasilnya sama dengan hash yang tersimpan di database. Cracker tidak mendapatkan password asli, tapi sebuah password baru yang oleh aplikasi dianggap sama dengan password asli, karena kelemahan hash yang digunakan.

Kesimpulan sementara saya, username dan password www.belajarmenulis.com memang tersimpan dalam bentuk plaintext di suatu tempat di www.belajarmenulis.com. Seorang cracker yang mengaku pemula saja bisa mendapatkannya dan menyalin semuanya ke sebuah file text.

Jika memang ternyata pak Jonru merasa tidak pernah melakukan hal ini (meyimpan username dan password dalam bentuk plain text), silahkan dikonfirmasi. Karena konfirmasi terakhir pak Jonru lewat twitter menyatakan diri bukan programmer, ada banyak rekan programmer maupun analis keamanan yang bisa dimintai bantuan mencari celah keamanan yang ada untuk kemudian diperbaiki.

Tulisan ini bukan saya buat untuk menyerang pak Jonru, tapi mengingatkan diri sendiri dan pembaca sekalian, bahwa keamanan di Internet adalah hal yang penting yang harus dijaga. Ketika pengguna situs kita mempercayakan data penting, walau hanya berupa username dan password, pemilik situs memiliki tanggung jawab besar menjaga data itu tidak jatuh ke tangan orang yang tidak berhak.

Akhir kata, jika ada kesalahan penulisan maupun pemilihan kata/kalimat yang kurang tepat, saya mohon maaf. Semoga maksud yang hendak saya sampaikan bisa ditangkap dengan baik oleh pembaca blog ini.

Categories: web Tags: , , , ,