i (am) Blogger and U?

from X-periment to X-perience

Online Shop Basic 2

Online Shop Basic 2 adalah paket minimalis aplikasi toko online instan yang dapat digunakan untuk menjalankan bisnis secara online. Aplikasi ini adalah aplikasi toko online yang "sudah [...]

Aplikasi Web: Online Shop PRO 1

Toko Online Pro 1 adalah paket full-features aplikasi toko online yang dapat digunakan untuk menjalankan bisnis Anda secara online. Aplikasi ini memiliki fitur-fitur unggulan dan lengk [...]

Badge/Watermark Image Generator

Badge/Watermark Image Generator adalah aplikasi web yang digunakan untuk membuat badge/watermark atau penanda pada foto/gambar yang biasanya digunakan misalnya pada penanda foto produk [...]

Template: ANIME-MAX

ANIME-MAX adalah HTML template (menggunakan Bootstrap 3.3.6) yang ditujukan untuk situs yang menyediakan link download atau nonton online video dalam kasus ini contohnya adalah anime ta [...]

Toko Online Barang Digital 1

Toko Online Barang Digital 1 adalah paket full-features aplikasi toko online khusus untuk benda/barang digital seperti aplikasi/software atau ebook pdf, doc dkk yang dapat digunakan unt [...]

Profile / Portofolio Pro 2

Aplikasi Profil / Portofolio Pro 2, software berbasis web untuk pengelolaan portofolio atau untuk menampilkan profil baik perusahaan maupun perseorangan. Selain itu software ini dapat p [...]

2011
16Juli

Otentikasi berdasarkan Asumsi (bagian 1)

Beberapa kali saya menemui sebuah aplikasi "web-based multi-user" yang mendasarkan pengaksesan suatu menu (dan "halaman sensitif" lainnya) yang cukup fatal. Saya kira hal ini disebabkan oleh asumsi Sang Pembuat aplikasi yang beranggapan bahwa membedakan menu yang tampil untuk tiap "group user" tertentu saja sudah mencukupi. Padahal akibat "kecerobohan" ini bisa menyebabkan user yang sebenanya tidak "berhak" mengakses menu (dan halaman tertentu) menjadi dapat mengakses menu yang bersangkutan.

Mengapa demikian? Ya, karena jangan mengira bahwa "semua user itu tidak tahu" (dan tidak usil). Mungkin saja ada satu atau dua user yang "iseng" dan kemudian mencoba beberapa kemungkinan menu. Dan tentu "semakin mahir Sang "User", maka kemungkinan tebakannya tepat semakin besar". Dan kalau tebakannya tepat maka tentu saja Sang "User" dapat (minimal) mengakses menu (dan halaman) yang sebenanya tidak boleh diakses. Beruntung kalau yang diakses "hanyalah" pada bagian yang menampilkan data, bayangkan kalau yang "tak sengaja terakses" adalah halaman yang memungkinkan user untuk memodifikasi data ("delete" atau "edit", bahkan "add").