i (am) Blogger and U?

from X-periment to X-perience

Aplikasi Web: Custom X

Aplikasi Web Custom X, software berbasis web dinamis dengan fitur utama adalah pembuatan SURVEY dan/atau POLLING dengan jumlah yang tidak dibatasi. Selain itu aplikasi ini juga memiliki [...]

Aplikasi Web: WebReview-Series 1

Web Review-Series 1 adalah paket aplikasi web yang memfasilitasi Anda yang ingin membuat situs yang berisi review dari berbagai hal. Review tentang suatu produk, Review tentang suatu te [...]

Anime/Movie Community Sharing (FullCustom)

Produk ini adalah aplikasi web full-custom yang diperuntukkan bagi Anda yang ingin membuat situs/web yang dapat menampilkan anime/movie dan dapat ditonton oleh para pengunjung. Video an [...]

Template: ANIME-MAX

ANIME-MAX adalah HTML template (menggunakan Bootstrap 3.3.6) yang ditujukan untuk situs yang menyediakan link download atau nonton online video dalam kasus ini contohnya adalah anime ta [...]

Web Profil / Portofolio Basic 2

Web Profil/Portofolio Basic 2 memiliki fitur-fitur yang sama persis dengan Web Profil/Portofolio Basic 1 tapi dengan theme/template yang berbeda.

Profile / Portofolio Pro 1

Aplikasi Profil / Portofolio Pro 1, software berbasis web untuk pengelolaan portofolio atau untuk menampilkan profil baik perusahaan maupun perseorangan. Selain itu software ini dapat p [...]

2011
16Juli

Otentikasi berdasarkan Asumsi (bagian 1)

Beberapa kali saya menemui sebuah aplikasi "web-based multi-user" yang mendasarkan pengaksesan suatu menu (dan "halaman sensitif" lainnya) yang cukup fatal. Saya kira hal ini disebabkan oleh asumsi Sang Pembuat aplikasi yang beranggapan bahwa membedakan menu yang tampil untuk tiap "group user" tertentu saja sudah mencukupi. Padahal akibat "kecerobohan" ini bisa menyebabkan user yang sebenanya tidak "berhak" mengakses menu (dan halaman tertentu) menjadi dapat mengakses menu yang bersangkutan.

Mengapa demikian? Ya, karena jangan mengira bahwa "semua user itu tidak tahu" (dan tidak usil). Mungkin saja ada satu atau dua user yang "iseng" dan kemudian mencoba beberapa kemungkinan menu. Dan tentu "semakin mahir Sang "User", maka kemungkinan tebakannya tepat semakin besar". Dan kalau tebakannya tepat maka tentu saja Sang "User" dapat (minimal) mengakses menu (dan halaman) yang sebenanya tidak boleh diakses. Beruntung kalau yang diakses "hanyalah" pada bagian yang menampilkan data, bayangkan kalau yang "tak sengaja terakses" adalah halaman yang memungkinkan user untuk memodifikasi data ("delete" atau "edit", bahkan "add").