i (am) Blogger and U?

from X-periment to X-perience

Anime/Movie Community Sharing (FullCustom)

Produk ini adalah aplikasi web full-custom yang diperuntukkan bagi Anda yang ingin membuat situs/web yang dapat menampilkan anime/movie dan dapat ditonton oleh para pengunjung. Video an [...]

Aplikasi Web: WebReview-Series 2

Web Review-Series 2 memiliki fitur-fitur yang sama persis dengan Web Review-Series 1 tapi dengan theme/template yang berbeda (theme yang dipakai pada versi ini adalah theme yang respons [...]

WP Plugins: RSS to Post

RtoP adalah WordPress Plugins yang memudahkan untuk membuat post yang content-nya berasal dari blog/web lain dalam hal ini dengan memanfaatkan RSS. RtoP dapat menyimpan banyak RSS da [...]

Badge/Watermark Image Generator

Badge/Watermark Image Generator adalah aplikasi web yang digunakan untuk membuat badge/watermark atau penanda pada foto/gambar yang biasanya digunakan misalnya pada penanda foto produk [...]

Online Shop Basic 2

Online Shop Basic 2 adalah paket minimalis aplikasi toko online instan yang dapat digunakan untuk menjalankan bisnis secara online. Aplikasi ini adalah aplikasi toko online yang "sudah [...]

Starter: Anime/Movie Sharing

Produk yang satu ini adalah aplikasi web yang dikhususkan bagi Anda yang ingin memiliki situs/web yang dengan fasilitas untuk menampilkan anime/movie dan dapat ditonton oleh para pengun [...]

2011
16Juli

Otentikasi berdasarkan Asumsi (bagian 1)

Beberapa kali saya menemui sebuah aplikasi "web-based multi-user" yang mendasarkan pengaksesan suatu menu (dan "halaman sensitif" lainnya) yang cukup fatal. Saya kira hal ini disebabkan oleh asumsi Sang Pembuat aplikasi yang beranggapan bahwa membedakan menu yang tampil untuk tiap "group user" tertentu saja sudah mencukupi. Padahal akibat "kecerobohan" ini bisa menyebabkan user yang sebenanya tidak "berhak" mengakses menu (dan halaman tertentu) menjadi dapat mengakses menu yang bersangkutan.

Mengapa demikian? Ya, karena jangan mengira bahwa "semua user itu tidak tahu" (dan tidak usil). Mungkin saja ada satu atau dua user yang "iseng" dan kemudian mencoba beberapa kemungkinan menu. Dan tentu "semakin mahir Sang "User", maka kemungkinan tebakannya tepat semakin besar". Dan kalau tebakannya tepat maka tentu saja Sang "User" dapat (minimal) mengakses menu (dan halaman) yang sebenanya tidak boleh diakses. Beruntung kalau yang diakses "hanyalah" pada bagian yang menampilkan data, bayangkan kalau yang "tak sengaja terakses" adalah halaman yang memungkinkan user untuk memodifikasi data ("delete" atau "edit", bahkan "add").