- Beranda
- Komunitas
- Entertainment
- The Lounge
[Tentang https] Siapa Bilang Account Kaskus Kita Aman ?
TS
rahmada
[Tentang https] Siapa Bilang Account Kaskus Kita Aman ?
Sebelum membahas maslaah ini, mohon dibaca dulu gan :
Apa itu Https ?
Https adalah versi secure dari http.
Secure? Maksudnya apa?
Pada kondisi normal, komunikasi kita di internet dapat dianalogikan sebagai amplop terbuka, yang isinya bisa dibaca siapa saja sepanjang perjalanan menuju tujuannya.
Hah? Masa sih? Terus akibatnya apa?
Sederhananya, kalau agan pakai http, terus agan beraktifitas di internet, aktifitas dan isi dari browsingan agan akan telanjang di internet. Artinya apa? Kalau agan buka email, email agan bisa dibaca sama siapa aja yang dilewatin seperti gambar di atas. Kalau agan mengirimkan comment, posting, dll., semua juga bisa dibaca sama siapa aja di jalur data agan. dan….. KALAU AGAN MASUKIN USERNAME dan PASSWORD…. itu juga bisa dibaca dengan mudah.
Waduh, terus gimana dong?
Jangan khawatir gan, untuk itulah diciptakan HTTPS. dengan menggunakan HTTPS, koneksi antara komputer agan dan server tujuan agan akan diacak/dienkripsi, sehingga yang bisa membuka data hanya komputer agan dan server tujuan.
Advanced Note: kalau ada yg bertanya, gimana caranya ngirim kunci enkripsi supaya ngga dicolong di tengah jalan? Sabar gan, insyaAllah saya akan bikin trit baru untuk menjelaskan https panjang lebar.
Bagaimana saya tahu kalau saya di https apa enggak?
Gampang gan, liat aja di pojok kiri URL agan. HTTPS atau http. Lebi gampang lagi, https biasanya ditandai dengan tanda gembok.
Nah, gan sekarang ke pertanyaan saya :
APAKAH KASKUS TELAH MEMAKAI HTTPS?
Ya, kaskus telah pakai https………… HANYA DI HALAMAN LOGIN…. berikut screen shotnya
Artinya Apa?
Kalau agan memasukkan USERNAME dan PASSWORD kaskus agan, itu sudah aman gan.. yang bisa membaca password agan ya hanya server kaskus.
Tapi bagaimana waktu agan browsing?
sebelum membahas ini, mari kita lihat bagaimana proses login berlangsung :
Setelah agan login, agan akan diberikan sessionID oleh server untuk disimpan di komputer agan sebagai cookies, dan setiap kali agan meminta halaman baru di kaskus, sessionID ini akan dikirimkan ke server beserta halaman yang diminta. Dengan demikian, server tau user mana yang minta halaman yang mana.
Khusus untuk kaskus, Session ID ini terpisah 3 : userid, key, dan hash.
Sekali lagi, tiga variabel ini dikirimkan telanjang di internet, yang artinya variable ini bisa dibaca dan dicuri orang di tengah jalan.
Memangnya kenapa kalau tiga variable itu dicuri?
Yang hacker lakukan setelah mendapatkan variable tersebut adalah mengganti isi variabel yang sama di komputernya dengan isi variabel curian…
Hasilnya? DIA AKAN LOGIN SEBAGAI AGAN…… hacker memang tidak tahu password agan, tapi dia bisa mencuri akses agan secara sementara waktu… teknik ini disebut SESSION HIJACKING.
JADI SIAPA BILANG KASKUS AMAN?
Saya mencoba search kebelakang dan melihat apakah sudah pernah ada yang mengeluh soal ini… sebenernya ada trit singkat dari agan gasakit yang menanyakan koq https nya kaskus yang dulu full sekarang jadi ilang lagi… tapi trit itu tenggelam dengan mudahnya.. mudah mudahan trit ini tidak begitu..
dan yang lebih parah, saat saya mencoba memaksa brosing menggunakan https://kaskus.co.id dengan mengetikkan manual di URL, saya dipaksa kembali ke halaman http biasa.
Saya sayang kaskus, karena itu saya membuat trit ini.. semoga dalam dua atau tiga bulan setelah adanya trit ini kaskus dapat menghidupkan kembali fasilitas full https nya. Bila tidak.. hm.. mungkin biar lebih menarik saya akan buat trit tutorial penuh untuk cara untuk melakukan session hijacking di kaskus…
Apa itu Https ?
Https adalah versi secure dari http.
Secure? Maksudnya apa?
Pada kondisi normal, komunikasi kita di internet dapat dianalogikan sebagai amplop terbuka, yang isinya bisa dibaca siapa saja sepanjang perjalanan menuju tujuannya.
Hah? Masa sih? Terus akibatnya apa?
Sederhananya, kalau agan pakai http, terus agan beraktifitas di internet, aktifitas dan isi dari browsingan agan akan telanjang di internet. Artinya apa? Kalau agan buka email, email agan bisa dibaca sama siapa aja yang dilewatin seperti gambar di atas. Kalau agan mengirimkan comment, posting, dll., semua juga bisa dibaca sama siapa aja di jalur data agan. dan….. KALAU AGAN MASUKIN USERNAME dan PASSWORD…. itu juga bisa dibaca dengan mudah.
Waduh, terus gimana dong?
Jangan khawatir gan, untuk itulah diciptakan HTTPS. dengan menggunakan HTTPS, koneksi antara komputer agan dan server tujuan agan akan diacak/dienkripsi, sehingga yang bisa membuka data hanya komputer agan dan server tujuan.
Advanced Note: kalau ada yg bertanya, gimana caranya ngirim kunci enkripsi supaya ngga dicolong di tengah jalan? Sabar gan, insyaAllah saya akan bikin trit baru untuk menjelaskan https panjang lebar.
Bagaimana saya tahu kalau saya di https apa enggak?
Gampang gan, liat aja di pojok kiri URL agan. HTTPS atau http. Lebi gampang lagi, https biasanya ditandai dengan tanda gembok.
Nah, gan sekarang ke pertanyaan saya :
APAKAH KASKUS TELAH MEMAKAI HTTPS?
Ya, kaskus telah pakai https………… HANYA DI HALAMAN LOGIN…. berikut screen shotnya
Artinya Apa?
Kalau agan memasukkan USERNAME dan PASSWORD kaskus agan, itu sudah aman gan.. yang bisa membaca password agan ya hanya server kaskus.
Tapi bagaimana waktu agan browsing?
sebelum membahas ini, mari kita lihat bagaimana proses login berlangsung :
Setelah agan login, agan akan diberikan sessionID oleh server untuk disimpan di komputer agan sebagai cookies, dan setiap kali agan meminta halaman baru di kaskus, sessionID ini akan dikirimkan ke server beserta halaman yang diminta. Dengan demikian, server tau user mana yang minta halaman yang mana.
Khusus untuk kaskus, Session ID ini terpisah 3 : userid, key, dan hash.
Sekali lagi, tiga variabel ini dikirimkan telanjang di internet, yang artinya variable ini bisa dibaca dan dicuri orang di tengah jalan.
Memangnya kenapa kalau tiga variable itu dicuri?
Yang hacker lakukan setelah mendapatkan variable tersebut adalah mengganti isi variabel yang sama di komputernya dengan isi variabel curian…
Hasilnya? DIA AKAN LOGIN SEBAGAI AGAN…… hacker memang tidak tahu password agan, tapi dia bisa mencuri akses agan secara sementara waktu… teknik ini disebut SESSION HIJACKING.
JADI SIAPA BILANG KASKUS AMAN?
Saya mencoba search kebelakang dan melihat apakah sudah pernah ada yang mengeluh soal ini… sebenernya ada trit singkat dari agan gasakit yang menanyakan koq https nya kaskus yang dulu full sekarang jadi ilang lagi… tapi trit itu tenggelam dengan mudahnya.. mudah mudahan trit ini tidak begitu..
dan yang lebih parah, saat saya mencoba memaksa brosing menggunakan https://kaskus.co.id dengan mengetikkan manual di URL, saya dipaksa kembali ke halaman http biasa.
Saya sayang kaskus, karena itu saya membuat trit ini.. semoga dalam dua atau tiga bulan setelah adanya trit ini kaskus dapat menghidupkan kembali fasilitas full https nya. Bila tidak.. hm.. mungkin biar lebih menarik saya akan buat trit tutorial penuh untuk cara untuk melakukan session hijacking di kaskus…
Spoiler for RAGE NOTE:
Diubah oleh rahmada 19-05-2014 05:28
0
4K
76
Guest
Tulis komentar menarik atau mention replykgpt untuk ngobrol seru
Urutan
Terbaru
Terlama
Guest
Tulis komentar menarik atau mention replykgpt untuk ngobrol seru
Komunitas Pilihan