i (am) Blogger and U?

from X-periment to X-perience

Belajar Online: E-learning - Kuis & Soal

"Belajar Online: E-learning - Kuis & Soal", Software/aplikasi e-learning berbasis web yang dapat digunakan oleh pengajar/guru/pembimbing atau perorangan untuk membuat soal/kuis atau per [...]

Online Shop Basic 1

Online Shop Basic 1 adalah paket minimalis aplikasi toko online instan yang dapat digunakan untuk menjalankan bisnis secara online. Aplikasi ini adalah aplikasi toko online yang "sudah [...]

Template Toko Online: Shopper Variant

SHOPPER-Variant adalah HTML template (menggunakan Bootstrap 3.3.6) yang ditujukan untuk toko online. Template ini terdiri dari 6 halaman siap pakai yaitu home, product lists, shopping c [...]

WP Plugins: RSS to Post

RtoP adalah WordPress Plugins yang memudahkan untuk membuat post yang content-nya berasal dari blog/web lain dalam hal ini dengan memanfaatkan RSS. RtoP dapat menyimpan banyak RSS da [...]

One-Page Portofolio / Gallery 3

One-Page Portofolio / Gallery 3 memiliki fitur-fitur yang sama persis dengan One-Page Portofolio / Gallery 1 tapi dengan theme/template yang berbeda.

Aplikasi Web: URL Shortener Complete 1

URL Shortener Complete 1 adalah aplikasi yang membantu Anda untuk menjalankan situs/web yang memiliki fasilitas URL shortener. Pemendek URL sesuai namanya berfungsi untuk memangkas alam [...]

2011
16Juli

Otentikasi berdasarkan Asumsi (bagian 1)

Beberapa kali saya menemui sebuah aplikasi "web-based multi-user" yang mendasarkan pengaksesan suatu menu (dan "halaman sensitif" lainnya) yang cukup fatal. Saya kira hal ini disebabkan oleh asumsi Sang Pembuat aplikasi yang beranggapan bahwa membedakan menu yang tampil untuk tiap "group user" tertentu saja sudah mencukupi. Padahal akibat "kecerobohan" ini bisa menyebabkan user yang sebenanya tidak "berhak" mengakses menu (dan halaman tertentu) menjadi dapat mengakses menu yang bersangkutan.

Mengapa demikian? Ya, karena jangan mengira bahwa "semua user itu tidak tahu" (dan tidak usil). Mungkin saja ada satu atau dua user yang "iseng" dan kemudian mencoba beberapa kemungkinan menu. Dan tentu "semakin mahir Sang "User", maka kemungkinan tebakannya tepat semakin besar". Dan kalau tebakannya tepat maka tentu saja Sang "User" dapat (minimal) mengakses menu (dan halaman) yang sebenanya tidak boleh diakses. Beruntung kalau yang diakses "hanyalah" pada bagian yang menampilkan data, bayangkan kalau yang "tak sengaja terakses" adalah halaman yang memungkinkan user untuk memodifikasi data ("delete" atau "edit", bahkan "add").