PHP Indonesia - Facebook: Bacaan wajib buat yang situs atau web app-nya diam...

PHP Indonesia - Facebook PHP Indonesia is a community for everyone that loves PHP. Our focus is in the PHP world but our topics encompass the entire LAMP stack. Topics include PHP coding, to memcached handling, db optimizations, server stack, web server tuning, code deploying, hosting options and much much more. Youtube Channel : http://www.youtube.com/user/OurPHPIndonesia Twitter : @php_indonesia NOTE: Rules for Wall posting: https://www.facebook.com/groups/35688476100/doc/10151597056316101/ Daftar Keanggotaan : http://www.facebook.com/groups/35688476100/doc/10150671770741101/

Bacaan wajib buat yang situs atau web app-nya diam... Aug 11th 2013, 16:54, by Eko Prasetyo Eko Prasetyo 4:54pm Aug 11 Bacaan wajib buat yang situs atau web app-nya diamankan dengan SSL/HTTPS (compressed). Dengan gampang, dengan metode tersebut dalam waktu 30 detik, data-data sensitif yang dikirim lewat internet dapat terbobol dengan mudah. Eko Prasetyo 4:55pm Aug 11 beritanya: http://arstechnica.com/security/2013/08/gone-in-30-seconds-new-attack-plucks-secrets-from-https-protected-pages/ pencegahan: https://community.qualys.com/blogs/securitylabs/2013/08/07/defending-against-the-breach-attack Inti pencegahan di aplikasi web adalah dengan mengimplementasikan CSRF token. Kalo framework PHP yang saya tahu ada buildin CSRF token itu Yii. Mungkin ada yang tahu untuk framework lain? (silahkan ditambahkan) Abdul Gani 5:15pm Aug 11 BUkannya sisi client? Kalo server, bearti sudah pada dikantongi tuh semua data yang seliweran ke situs2. Termasuk fb. Eko Prasetyo 5:18pm Aug 11 CSRF-token dipasangnya di server mas. Token digenerate setiap request dengan nilai random dan dipasang di form / halaman web. Jadinya penyerang gak bisa sembarangan nyamarin halaman web kita. Di server itu biasanya password di hash + di salt (developer yang baik O:) ), kalo dari dalam server gak bisa diambil juga passwordnya. Abdul Gani 5:20pm Aug 11 ??? proses dia mendapatkan data maksudnya Eko Prasetyo 5:23pm Aug 11 ya gitu, karena di server kita saat generate halaman web mengoutput token random, saat si penyerang gak bisa mereka2 data yang terkompresi soalnya di bakal di cek oleh server datanya valid atau enggak. Lewat validasi token csrf. Itu kan serangannya menebak2 data yang terkompressi dan dikirim lewat SSL. Intinya, menyadap data yang terkirim lewat SSL. Abdul Gani 5:26pm Aug 11 Trus udah dicobain mas? Gimana hasilnya? Eko Prasetyo 5:28pm Aug 11 haha baru juga sejam yang lalu baca artikelnya, belum dicoba mas. Mungkin ada member lain yang bisa nyoba? :p Eko Prasetyo 5:50pm Aug 11 sementara liat demo serangannya aja dlu yah http://www.youtube.com/watch?v=pIKIXQNFplY&hd=1 NB: framework penetrasi-nya juga belum dirilis, belum bisa ngetes buat nyerang. Setidaknya tahu lebih dan siap lebih awal (paranoid :p ).

You are receiving this email because you subscribed to this feed at blogtrottr.com. If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions