Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Tapi nantinya akan rentan terhadap sniffing attack (asumsi pakai basic auth) malah mugkin nantinya ini jadi pintu utama untuk masuk ke aplikasi lainnya. IMO pakai proxy auth dan IP atau MAC restriction sudah cukup ampuh bukan parno ya mas,tapi dari pengalaman, user2 skrg makin pinter. ilmu sniffing, spoofing, dst.Gurunya pun gak jauh di mata, tapi deket di keyboard..ada google, irc, milist dst. jadi sebenarnya restriction boleh jadi hanya utk mengulur waktu saja. CMIWW. untuk sekedar akses ke proxy, jangan lupa authnya pakai database terpisah dari backend utama dgn resiko management password yg sedikit lebih ribet. --beast -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis signature.asc Description: This is a digitally signed message part
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
DH Rist., Sunday, September 10, 2006, 3:09:44 PM, Rist. menulis: RAN Hai ... RAN Ceritanya saya bikin suatu aplikasi lengkap beserta login page dll pake php RAN ( he sengaja nyebut 'php' biar engga begitu OOT ), saat ini saya taruh di RAN localnetwork buat development, rencananya saya ingin tambahin satu lagi RAN proteksi dgn memberikan batasan hanya IP tertentu saja yang dapat mengakses. RAN Metode yg saat ini terlintas ada 2 : RAN 1. pake php script untuk deteksi dari IP mana si pengakses ( dibawah ) RAN 2. pake .htaccess ( yg ini blom nyobain ) RAN kalo ada yg laen please tambahin dong .. RAN Khusus soal proteksi hanya IP tertentu saja yg bisa akses ini apakah teman2 RAN ada yg pernah dengar bisa diterobos dari IP laen yg diluar IP yg sudah saya RAN daftarkan? dengan cara apa dan bagaimana ya? RAN ip spoofing? RAN berikut script php utk cek IP addr atau range IP addr yg ngakses : RAN ? RAN function cek_IPorRange ($ip_address) { RAN if (ereg(-,$ip_address)) { RAN // Range RAN $ar = explode(-,$ip_address); RAN $your_long_ip = ip2long($_SERVER[REMOTE_ADDR]); RAN if ( ($your_long_ip = ip2long($ar[0])) ($your_long_ip = RAN ip2long($ar[1])) ) { RAN return TRUE; RAN } RAN } else { RAN // Single IP RAN if ($_SERVER[REMOTE_ADDR] == $ip_address) { RAN return TRUE; RAN } RAN } RAN return FALSE; RAN } ? mungkin bisa seperti ini mas ? # cat test.php ? function ip_check() { // masukkan ip nya, misal $block_ip[] = '192.168.0.155';$block_ip[] = '192.168.1.155'; $block_ip[] = '192.168.0.155'; $block_ip[] = '192.168.1.155'; // Check current IP. if (in_array($_SERVER['REMOTE_ADDR'], $block_ip)) { return false; } else { return true; } } //include 'ipcheck.php'; /* bisa juga di include */ if (!ip_check()) { die('This IP has been banned.'); } // tampilan kalo berhasil echo berhasil ... berhasil !! :p; ? # php test.php berhasil ... berhasil !! :p -- Best regards, ./avdhttp://www.avudz.cc -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Khusus soal proteksi hanya IP tertentu saja yg bisa akses ini apakah teman2 ada yg pernah dengar bisa diterobos dari IP laen yg diluar IP yg sudah saya daftarkan? dengan cara apa dan bagaimana ya? kalau client bisa ganti IP sendiri, bukannya bisa masuk juga... apa kalau pakai sistem userid dan password masih kurang? salam, bambang -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
- Original Message - From: avudz [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 1:20 PM Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) DH Rist., Sunday, September 10, 2006, 3:09:44 PM, Rist. menulis: RAN Hai ... RAN Ceritanya saya bikin suatu aplikasi lengkap beserta login page dll pake php RAN ( he sengaja nyebut 'php' biar engga begitu OOT ), saat ini saya taruh di RAN localnetwork buat development, rencananya saya ingin tambahin satu lagi RAN proteksi dgn memberikan batasan hanya IP tertentu saja yang dapat mengakses. RAN Metode yg saat ini terlintas ada 2 : RAN 1. pake php script untuk deteksi dari IP mana si pengakses ( dibawah ) RAN 2. pake .htaccess ( yg ini blom nyobain ) RAN kalo ada yg laen please tambahin dong .. RAN Khusus soal proteksi hanya IP tertentu saja yg bisa akses ini apakah teman2 RAN ada yg pernah dengar bisa diterobos dari IP laen yg diluar IP yg sudah saya RAN daftarkan? dengan cara apa dan bagaimana ya? RAN ip spoofing? RAN berikut script php utk cek IP addr atau range IP addr yg ngakses : RAN ? RAN function cek_IPorRange ($ip_address) { RAN if (ereg(-,$ip_address)) { RAN // Range RAN $ar = explode(-,$ip_address); RAN $your_long_ip = ip2long($_SERVER[REMOTE_ADDR]); RAN if ( ($your_long_ip = ip2long($ar[0])) ($your_long_ip = RAN ip2long($ar[1])) ) { RAN return TRUE; RAN } RAN } else { RAN // Single IP RAN if ($_SERVER[REMOTE_ADDR] == $ip_address) { RAN return TRUE; RAN } RAN } RAN return FALSE; RAN } ? mungkin bisa seperti ini mas ? # cat test.php ? function ip_check() { // masukkan ip nya, misal $block_ip[] = '192.168.0.155';$block_ip[] = '192.168.1.155'; $block_ip[] = '192.168.0.155'; $block_ip[] = '192.168.1.155'; // Check current IP. if (in_array($_SERVER['REMOTE_ADDR'], $block_ip)) { return false; } else { return true; } } //include 'ipcheck.php'; /* bisa juga di include */ if (!ip_check()) { die('This IP has been banned.'); } // tampilan kalo berhasil echo berhasil ... berhasil !! :p; ? # php test.php berhasil ... berhasil !! :p ++ kalo pendekatan mas avudz kan yg diblock yg didaftarkan, tapi punyaku yg di daftarkan yg boleh masuk : ? ## include cek_IPorRange(); $ip_range = 192.168.1.0-192.168.1.15; if(cek_IPorRange($ip_range)) {echo IP OK; } else {echo bad IP; } ? saat dijalankan akan nampil IP OK. jika ip si user yg ngebrowse berasal dari range yg udah saya set spt diatas. thanks mas avudz ;) tapi inti yg saya tanyakan bukan caranya utk ngecek-dan-mencocokan ip-nya tapi apakah metode seperti ini bisa diakalin / bisa ditembus ... itu yg pengen saya tanyain syapa tau temen2 dimilist punya pengalaman tentang ini. kalo memang bisa syukur-syukur ngasih contohnya juga sekalian :) meskipun kalo ada temen2 yg mau ngasih usulan atau koreksi tentang script utk deteksi ip-nya saya ngucap terimakasih .. dimilist yg laen ada yg nanggapin : gimana kalo usernya ada dibelakang proxy ? he he gimana yah ? salam, -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
- Original Message - From: Bambang Sumitra [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 1:16 PM Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) Khusus soal proteksi hanya IP tertentu saja yg bisa akses ini apakah teman2 ada yg pernah dengar bisa diterobos dari IP laen yg diluar IP yg sudah saya daftarkan? dengan cara apa dan bagaimana ya? kalau client bisa ganti IP sendiri, bukannya bisa masuk juga... apa kalau pakai sistem userid dan password masih kurang? salam, bambang ++ proteksi hanya IP tertentu saja yg bisa akses pendekatan saya hanya IP atau range IP address tertentu saja yg saya daftarkan yg bisa akses, bukan sebaliknya. memang betul mas, dgn userid dan password sebenarnya sudah cukup membatasi, tapi saya merasa kurang untuk beberapa aplikasi yg memang sifatnya tertutup dan kritikal sekali. untuk hal seperti ini he he ... set paranoid mode=On salam, -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
RE: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Dear Rist, Gimana kalo ditambahin di bagian bawah file httpd.conf nya Apache, misal seperti di bawah, untuk port, IP, dll menyesuaikan dg punya mas : Listen 192.168.81.24:9000 NameVirtualHost 192.168.81.24:9000 VirtualHost 192.168.81.24:9000 ServerAdmin [EMAIL PROTECTED] DocumentRoot /var/www/adminsubs ServerName inteam:9000 Directory / Options FollowSymLinks AllowOverride None order deny,allow deny from all allow from 10.4.26.186 10.4.26.189 172.18.8.106 10.4.26.5 10.4.26.191 10.4.26.15 10.4.26.145 172.21.9.242 10.128.27.23 10.128.27.117 10.128.27.13 10.128.78.177 10.128.18.8 10.4.26.57 10.128.18.137 10.7.77.82 10.4.16.122 10.7.77.148 10.128.27.58 10.128.18.39 10.128.92.143 10.7.77.143 10.7.77.120 10.128.18.88 # Kompie : arie rumysonny martono dilfitra didin rudy eko belli supyanto arif otik dedi ronnyansyori mumuh novandi endah vivingbowie rosyiani nuryanizulfikar dennis /Directory ErrorLog logs/inteam9000-error_log #CustomLog logs/inteam9000-access_log common Customlog logs/access_log combined /VirtualHost Jadi nanti akan muncul Forbidden saat user dengan IP yg tidak terdaftar di httpd.conf mencoba mengakses webpage mas. Demikian, semoga berhasil. --Arie-- = scanned by Indosat TM-IMSS System -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
- Original Message - From: Arie Andrian [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 2:34 PM Subject: RE: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) Dear Rist, Gimana kalo ditambahin di bagian bawah file httpd.conf nya Apache, misal seperti di bawah, untuk port, IP, dll menyesuaikan dg punya mas : Listen 192.168.81.24:9000 NameVirtualHost 192.168.81.24:9000 VirtualHost 192.168.81.24:9000 ServerAdmin [EMAIL PROTECTED] DocumentRoot /var/www/adminsubs ServerName inteam:9000 Directory / Options FollowSymLinks AllowOverride None order deny,allow deny from all allow from 10.4.26.186 10.4.26.189 172.18.8.106 10.4.26.5 10.4.26.191 10.4.26.15 10.4.26.145 172.21.9.242 10.128.27.23 10.128.27.117 10.128.27.13 10.128.78.177 10.128.18.8 10.4.26.57 10.128.18.137 10.7.77.82 10.4.16.122 10.7.77.148 10.128.27.58 10.128.18.39 10.128.92.143 10.7.77.143 10.7.77.120 10.128.18.88 # Kompie : arie rumysonny martono dilfitra didin rudy eko belli supyanto arif otik dedi ronnyansyori mumuh novandi endah vivingbowie rosyiani nuryanizulfikar dennis /Directory ErrorLog logs/inteam9000-error_log #CustomLog logs/inteam9000-access_log common Customlog logs/access_log combined /VirtualHost Jadi nanti akan muncul Forbidden saat user dengan IP yg tidak terdaftar di httpd.conf mencoba mengakses webpage mas. Demikian, semoga berhasil. --Arie-- ++ siiip.. saya akan cobain mas.. thanks :) sehingga proses pendeteksian IP address itu bisa dilihat semisal dgn fungsi ( $_SERVER[REMOTE_ADDR] ), nilai tersebut sebenarnya dibawa oleh apa/siapa sih? oleh browser yg digunakan yah? atau apa? jika memang dibawa oleh browser yg digunakan, apa dengan perl/php script yg dapat pura-pura menjadi sebuah browser sehingga informasi IP address asalnya bisa dimanipulasi untuk ngelabuhi script php atau model proteksi spt yg diusulkan mas Arie diatas ? ada gak yah? Bang Ronny dan temen2 yg laen kasih comment lagi yg lebih mendalam dong ... thanks. salam, -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re[2]: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
DH Rist., Sunday, September 10, 2006, 8:16:36 PM, Rist. menulis: RAN saat dijalankan akan nampil IP OK. RAN jika ip si user yg ngebrowse berasal dari range yg udah saya set spt diatas. RAN thanks mas avudz ;) RAN tapi inti yg saya tanyakan bukan caranya utk ngecek-dan-mencocokan ip-nya RAN tapi apakah metode seperti ini bisa diakalin / bisa ditembus ... itu yg RAN pengen saya tanyain syapa tau temen2 dimilist punya pengalaman tentang ini. RAN kalo memang bisa syukur-syukur ngasih contohnya juga sekalian :) RAN meskipun kalo ada temen2 yg mau ngasih usulan atau koreksi tentang script RAN utk deteksi ip-nya saya ngucap terimakasih .. RAN dimilist yg laen ada yg nanggapin : RAN gimana kalo usernya ada dibelakang proxy ? RAN he he gimana yah ? mungkin om renata bisa coba baca dokumentasi dari PHP.NET http://id2.php.net/getenv sekedar ide untuk yg menggunakan proxy, coba akalin begini : if (getenv(HTTP_X_FORWARDED_FOR)) { $ip = getenv(HTTP_X_FORWARDED_FOR); } else { $ip = getenv(REMOTE_ADDR); } -- Best regards, ./avdhttp://www.avudz.cc -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
++ proteksi hanya IP tertentu saja yg bisa akses pendekatan saya hanya IP atau range IP address tertentu saja yg saya daftarkan yg bisa akses, bukan sebaliknya. memang betul mas, dgn userid dan password sebenarnya sudah cukup membatasi, tapi saya merasa kurang untuk beberapa aplikasi yg memang sifatnya tertutup dan kritikal sekali. untuk hal seperti ini he he ... set paranoid mode=On kalau menurut saya tetap ada kelemahannya, misalnya IP yang boleh adalah 192.168.2.1 ( punyanya hamid) dan IP 192.168.2.2 ( punyanya anton) tidak boleh akses, kalau komputer dengan IP 192.168.2.1 lagi off dan anton dengan IP 192.168.2.2 mengganti IP menjadi 192.168.2.1, bukankah si anton ini tetep bisa akses. kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi saya pun tak tahu gimana caranya :) ,cuman pernah lihat aja di milis ini. semoga membantu, Bambang -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
avudz wrote: DH Rist., Sunday, September 10, 2006, 8:16:36 PM, Rist. menulis: RAN saat dijalankan akan nampil IP OK. RAN jika ip si user yg ngebrowse berasal dari range yg udah saya set spt diatas. RAN thanks mas avudz ;) RAN tapi inti yg saya tanyakan bukan caranya utk ngecek-dan-mencocokan ip-nya RAN tapi apakah metode seperti ini bisa diakalin / bisa ditembus ... itu yg RAN pengen saya tanyain syapa tau temen2 dimilist punya pengalaman tentang ini. RAN kalo memang bisa syukur-syukur ngasih contohnya juga sekalian :) RAN meskipun kalo ada temen2 yg mau ngasih usulan atau koreksi tentang script RAN utk deteksi ip-nya saya ngucap terimakasih .. RAN dimilist yg laen ada yg nanggapin : RAN gimana kalo usernya ada dibelakang proxy ? RAN he he gimana yah ? mungkin om renata bisa coba baca dokumentasi dari PHP.NET http://id2.php.net/getenv sekedar ide untuk yg menggunakan proxy, coba akalin begini : if (getenv(HTTP_X_FORWARDED_FOR)) { $ip = getenv(HTTP_X_FORWARDED_FOR); } else { $ip = getenv(REMOTE_ADDR); } kalo di proxy nya forwarded_for nya di bikin off gimana yah? :) $ip nya unknown dong atau tetep dapet $ip = getenv(REMOTE_ADDR); / ip proxy dong. hehehe tapi setahu saya, seperti di squid forwarded_for defaultnya selalu on kecuali sengaja di set off. regards PT.CITRA SARI MAKMUR SATELLITE TERRESTRIAL NETWORK Connecting the distance - anytime, anywhere, any content -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
On Tue, Sep 19, 2006 at 04:07:23PM +0700, Bambang Sumitra wrote: kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi MAC address pun bisa diganti. Dulu di kantor saya terapkan pake login/password auth, mau dari IP addr atau MAC addr mana pun bisa yg penting loginnya bener. Dan login ini sama dengan network login utk file sharing (SMB), jadi lebih kecil kemungkinan utk mereka mau sharing accounts. Apalagi kalo dipake buat auth email juga. Ronny signature.asc Description: Digital signature
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Bambang Sumitra wrote: ++ proteksi hanya IP tertentu saja yg bisa akses pendekatan saya hanya IP atau range IP address tertentu saja yg saya daftarkan yg bisa akses, bukan sebaliknya. memang betul mas, dgn userid dan password sebenarnya sudah cukup membatasi, tapi saya merasa kurang untuk beberapa aplikasi yg memang sifatnya tertutup dan kritikal sekali. untuk hal seperti ini he he ... set paranoid mode=On kalau menurut saya tetap ada kelemahannya, misalnya IP yang boleh adalah 192.168.2.1 ( punyanya hamid) dan IP 192.168.2.2 ( punyanya anton) tidak boleh akses, kalau komputer dengan IP 192.168.2.1 lagi off dan anton dengan IP 192.168.2.2 mengganti IP menjadi 192.168.2.1, bukankah si anton ini tetep bisa akses. kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi saya pun tak tahu gimana caranya :) ,cuman pernah lihat aja di milis ini. semoga membantu, Bambang filter mac address juga gak bisa mustinya.karena mac juga bisa dengan mudahnya di ubah sama mudahnya seperti ganti ip address. http://www.tech-faq.com/change-mac-address.shtml kecuali si user/client gak punya akses root/administrator di pc nya. regards PT.CITRA SARI MAKMUR SATELLITE TERRESTRIAL NETWORK Connecting the distance - anytime, anywhere, any content -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: Re[2]: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
- Original Message - From: avudz [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 3:47 PM Subject: Re[2]: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) DH Rist., Sunday, September 10, 2006, 8:16:36 PM, Rist. menulis: RAN saat dijalankan akan nampil IP OK. RAN jika ip si user yg ngebrowse berasal dari range yg udah saya set spt diatas. RAN thanks mas avudz ;) RAN tapi inti yg saya tanyakan bukan caranya utk ngecek-dan-mencocokan ip-nya RAN tapi apakah metode seperti ini bisa diakalin / bisa ditembus ... itu yg RAN pengen saya tanyain syapa tau temen2 dimilist punya pengalaman tentang ini. RAN kalo memang bisa syukur-syukur ngasih contohnya juga sekalian :) RAN meskipun kalo ada temen2 yg mau ngasih usulan atau koreksi tentang script RAN utk deteksi ip-nya saya ngucap terimakasih .. RAN dimilist yg laen ada yg nanggapin : RAN gimana kalo usernya ada dibelakang proxy ? RAN he he gimana yah ? mungkin om renata bisa coba baca dokumentasi dari PHP.NET http://id2.php.net/getenv sekedar ide untuk yg menggunakan proxy, coba akalin begini : if (getenv(HTTP_X_FORWARDED_FOR)) { $ip = getenv(HTTP_X_FORWARDED_FOR); } else { $ip = getenv(REMOTE_ADDR); } ++ sip ... jadi berubah spt ini script nya. function checkIPorRange ($ip_address) { if (ereg(-,$ip_address)) { // Range $ar = explode(-,$ip_address); if ($_SERVER[HTTP_CLIENT_IP]) { $your_long_ip = ip2long($_SERVER[HTTP_CLIENT_IP]); } else if($_SERVER[HTTP_X_FORWARDED_FOR]) { $your_long_ip = ip2long($_SERVER[HTTP_X_FORWARDED_FOR]); } else if($_SERVER[REMOTE_ADDR]) { $your_long_ip = ip2long($_SERVER[REMOTE_ADDR]); } if ( ($your_long_ip = ip2long($ar[0])) ($your_long_ip = ip2long($ar[1])) ) { return TRUE; } } else { // Single IP if ($_SERVER[HTTP_CLIENT_IP] == $ip_address) { return TRUE; } else if($_SERVER[HTTP_X_FORWARDED_FOR] == $ip_address) { return TRUE; } else if($_SERVER[REMOTE_ADDR] == $ip_address) { return TRUE; } } return FALSE; } thanks mas :) renata 146735 IN CNAME rianu he he cname sementara :p salam -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Rist. Andy Nugroho wrote: - Original Message - From: avudz [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 3:47 PM Subject: Re[2]: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) DH Rist., Sunday, September 10, 2006, 8:16:36 PM, Rist. menulis: RAN saat dijalankan akan nampil IP OK. RAN jika ip si user yg ngebrowse berasal dari range yg udah saya set spt diatas. RAN thanks mas avudz ;) RAN tapi inti yg saya tanyakan bukan caranya utk ngecek-dan-mencocokan ip-nya RAN tapi apakah metode seperti ini bisa diakalin / bisa ditembus ... itu yg RAN pengen saya tanyain syapa tau temen2 dimilist punya pengalaman tentang ini. RAN kalo memang bisa syukur-syukur ngasih contohnya juga sekalian :) RAN meskipun kalo ada temen2 yg mau ngasih usulan atau koreksi tentang script RAN utk deteksi ip-nya saya ngucap terimakasih .. RAN dimilist yg laen ada yg nanggapin : RAN gimana kalo usernya ada dibelakang proxy ? RAN he he gimana yah ? mungkin om renata bisa coba baca dokumentasi dari PHP.NET http://id2.php.net/getenv sekedar ide untuk yg menggunakan proxy, coba akalin begini : if (getenv(HTTP_X_FORWARDED_FOR)) { $ip = getenv(HTTP_X_FORWARDED_FOR); } else { $ip = getenv(REMOTE_ADDR); } ++ sip ... jadi berubah spt ini script nya. function checkIPorRange ($ip_address) { if (ereg(-,$ip_address)) { // Range $ar = explode(-,$ip_address); if ($_SERVER[HTTP_CLIENT_IP]) { $your_long_ip = ip2long($_SERVER[HTTP_CLIENT_IP]); } else if($_SERVER[HTTP_X_FORWARDED_FOR]) { $your_long_ip = ip2long($_SERVER[HTTP_X_FORWARDED_FOR]); } else if($_SERVER[REMOTE_ADDR]) { $your_long_ip = ip2long($_SERVER[REMOTE_ADDR]); } if ( ($your_long_ip = ip2long($ar[0])) ($your_long_ip = ip2long($ar[1])) ) { return TRUE; } } else { // Single IP if ($_SERVER[HTTP_CLIENT_IP] == $ip_address) { return TRUE; } else if($_SERVER[HTTP_X_FORWARDED_FOR] == $ip_address) { return TRUE; } else if($_SERVER[REMOTE_ADDR] == $ip_address) { return TRUE; } } return FALSE; } thanks mas :) renata 146735 IN CNAME rianu he he cname sementara :p salam -rianu- IMHO, lebih secure pakai methode client-server authentication based instead of client identification based. client-server authentication base - username dan password + ssl(https). - yg ngatur user/siapa yg boleh akses, admin yg punya server. - - client identification based - berdasarkan ip client/mac client(bisa di ubah sesuka suka client) - berdasarkan hostname(bisa di ubah sesuka suka client) -. CMIIW regards PT.CITRA SARI MAKMUR SATELLITE TERRESTRIAL NETWORK Connecting the distance - anytime, anywhere, any content -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
- Original Message - From: Hari Hendaryanto [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 4:25 PM Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) Bambang Sumitra wrote: ++ proteksi hanya IP tertentu saja yg bisa akses pendekatan saya hanya IP atau range IP address tertentu saja yg saya daftarkan yg bisa akses, bukan sebaliknya. memang betul mas, dgn userid dan password sebenarnya sudah cukup membatasi, tapi saya merasa kurang untuk beberapa aplikasi yg memang sifatnya tertutup dan kritikal sekali. untuk hal seperti ini he he ... set paranoid mode=On kalau menurut saya tetap ada kelemahannya, misalnya IP yang boleh adalah 192.168.2.1 ( punyanya hamid) dan IP 192.168.2.2 ( punyanya anton) tidak boleh akses, kalau komputer dengan IP 192.168.2.1 lagi off dan anton dengan IP 192.168.2.2 mengganti IP menjadi 192.168.2.1, bukankah si anton ini tetep bisa akses. kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi saya pun tak tahu gimana caranya :) ,cuman pernah lihat aja di milis ini. semoga membantu, Bambang filter mac address juga gak bisa mustinya.karena mac juga bisa dengan mudahnya di ubah sama mudahnya seperti ganti ip address. http://www.tech-faq.com/change-mac-address.shtml kecuali si user/client gak punya akses root/administrator di pc nya. ++ ... dari masukan Om Bambang, Om Ronny dan Om Hari jadi tambah ngeh, berarti proteksi satu-satunya yg tertinggal cuma login page aja dong kalo yg laen bisa dimainin :( saat ini saya emang naruhnya baru di localnetwork, rencananya mau ditaruh di server beneran di internet rencananya yang boleh akses hanya dari kantor2 cabang tertentu yg notebene punya range ip address tertentu rencana saya hanya dari ip address kantor2 cabang tersebut sajalah web yg saya bikin ini nanti bolehbisa diakses apa solusi proteksi yg saya rencanakan ini tetep saja kurang bermanfaat ? rekan2 ada usulan buat nambah proteksi biar pelindung engga cuma login page doang ? makasih banyak :) salam, -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Ronny Haryanto wrote: On Tue, Sep 19, 2006 at 04:07:23PM +0700, Bambang Sumitra wrote: kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi MAC address pun bisa diganti. Dulu di kantor saya terapkan pake login/password auth, mau dari IP addr atau MAC addr mana pun bisa yg penting loginnya bener. Dan login ini sama dengan network login utk file sharing (SMB), jadi lebih kecil kemungkinan utk mereka mau sharing accounts. Apalagi kalo dipake buat auth email juga. Tapi nantinya akan rentan terhadap sniffing attack (asumsi pakai basic auth) malah mugkin nantinya ini jadi pintu utama untuk masuk ke aplikasi lainnya. IMO pakai proxy auth dan IP atau MAC restriction sudah cukup ampuh untuk sekedar akses ke proxy, jangan lupa authnya pakai database terpisah dari backend utama dgn resiko management password yg sedikit lebih ribet. --beast -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
- Original Message - From: Hari Hendaryanto [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 4:47 PM Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) Rist. Andy Nugroho wrote: - Original Message - From: avudz [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 3:47 PM Subject: Re[2]: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) DH Rist., Sunday, September 10, 2006, 8:16:36 PM, Rist. menulis: RAN saat dijalankan akan nampil IP OK. RAN jika ip si user yg ngebrowse berasal dari range yg udah saya set spt diatas. RAN thanks mas avudz ;) RAN tapi inti yg saya tanyakan bukan caranya utk ngecek-dan-mencocokan ip-nya RAN tapi apakah metode seperti ini bisa diakalin / bisa ditembus ... itu yg RAN pengen saya tanyain syapa tau temen2 dimilist punya pengalaman tentang ini. RAN kalo memang bisa syukur-syukur ngasih contohnya juga sekalian :) RAN meskipun kalo ada temen2 yg mau ngasih usulan atau koreksi tentang script RAN utk deteksi ip-nya saya ngucap terimakasih .. RAN dimilist yg laen ada yg nanggapin : RAN gimana kalo usernya ada dibelakang proxy ? RAN he he gimana yah ? mungkin om renata bisa coba baca dokumentasi dari PHP.NET http://id2.php.net/getenv sekedar ide untuk yg menggunakan proxy, coba akalin begini : if (getenv(HTTP_X_FORWARDED_FOR)) { $ip = getenv(HTTP_X_FORWARDED_FOR); } else { $ip = getenv(REMOTE_ADDR); } ++ sip ... jadi berubah spt ini script nya. function checkIPorRange ($ip_address) { if (ereg(-,$ip_address)) { // Range $ar = explode(-,$ip_address); if ($_SERVER[HTTP_CLIENT_IP]) { $your_long_ip = ip2long($_SERVER[HTTP_CLIENT_IP]); } else if($_SERVER[HTTP_X_FORWARDED_FOR]) { $your_long_ip = ip2long($_SERVER[HTTP_X_FORWARDED_FOR]); } else if($_SERVER[REMOTE_ADDR]) { $your_long_ip = ip2long($_SERVER[REMOTE_ADDR]); } if ( ($your_long_ip = ip2long($ar[0])) ($your_long_ip = ip2long($ar[1])) ) { return TRUE; } } else { // Single IP if ($_SERVER[HTTP_CLIENT_IP] == $ip_address) { return TRUE; } else if($_SERVER[HTTP_X_FORWARDED_FOR] == $ip_address) { return TRUE; } else if($_SERVER[REMOTE_ADDR] == $ip_address) { return TRUE; } } return FALSE; } thanks mas :) renata 146735 IN CNAME rianu he he cname sementara :p salam -rianu- IMHO, lebih secure pakai methode client-server authentication based instead of client identification based. client-server authentication base - username dan password + ssl(https). - yg ngatur user/siapa yg boleh akses, admin yg punya server. - - client identification based - berdasarkan ip client/mac client(bisa di ubah sesuka suka client) - berdasarkan hostname(bisa di ubah sesuka suka client) -. ++ untuk client - server based sudah saya tempuh mas, jadi authenticate berdasar username password emang sudah ada, pengennya ada tambahan setidaknya 1 layer sekuriti lagi, jadi filter range ip address tertentu yg boleh akses yg saat ini lagi saya oprek bukan sekedar kosmetik belaka. pengenya sih gitu ... thanks atas bantuannya :) salam, -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
beast wrote: Ronny Haryanto wrote: On Tue, Sep 19, 2006 at 04:07:23PM +0700, Bambang Sumitra wrote: kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi MAC address pun bisa diganti. Dulu di kantor saya terapkan pake login/password auth, mau dari IP addr atau MAC addr mana pun bisa yg penting loginnya bener. Dan login ini sama dengan network login utk file sharing (SMB), jadi lebih kecil kemungkinan utk mereka mau sharing accounts. Apalagi kalo dipake buat auth email juga. Tapi nantinya akan rentan terhadap sniffing attack (asumsi pakai basic auth) malah mugkin nantinya ini jadi pintu utama untuk masuk ke aplikasi lainnya. IMO pakai proxy auth dan IP atau MAC restriction sudah cukup ampuh untuk sekedar akses ke proxy, jangan lupa authnya pakai database terpisah dari backend utama dgn resiko management password yg sedikit lebih ribet. Uh, ini nggak ngomongin proxy ya, sorry hehe... Kalau untuk ini sih mending pakai password protected page dari aplikasi itu sendiri, khusus untuk halaman loginnya di redirect ke https:// atau semua pakai SSL encrypted kalau memang speed bukan masalah utama dan aplikasinya kritikal sekali.. *Sorry* about the *noise.* --beast -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Rist. Andy Nugroho wrote: - Original Message - From: Hari Hendaryanto [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 4:25 PM Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) Bambang Sumitra wrote: ++ proteksi hanya IP tertentu saja yg bisa akses pendekatan saya hanya IP atau range IP address tertentu saja yg saya daftarkan yg bisa akses, bukan sebaliknya. memang betul mas, dgn userid dan password sebenarnya sudah cukup membatasi, tapi saya merasa kurang untuk beberapa aplikasi yg memang sifatnya tertutup dan kritikal sekali. untuk hal seperti ini he he ... set paranoid mode=On kalau menurut saya tetap ada kelemahannya, misalnya IP yang boleh adalah 192.168.2.1 ( punyanya hamid) dan IP 192.168.2.2 ( punyanya anton) tidak boleh akses, kalau komputer dengan IP 192.168.2.1 lagi off dan anton dengan IP 192.168.2.2 mengganti IP menjadi 192.168.2.1, bukankah si anton ini tetep bisa akses. kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi saya pun tak tahu gimana caranya :) ,cuman pernah lihat aja di milis ini. semoga membantu, Bambang filter mac address juga gak bisa mustinya.karena mac juga bisa dengan mudahnya di ubah sama mudahnya seperti ganti ip address. http://www.tech-faq.com/change-mac-address.shtml kecuali si user/client gak punya akses root/administrator di pc nya. ++ ... dari masukan Om Bambang, Om Ronny dan Om Hari jadi tambah ngeh, berarti proteksi satu-satunya yg tertinggal cuma login page aja dong kalo yg laen bisa dimainin :( saat ini saya emang naruhnya baru di localnetwork, rencananya mau ditaruh di server beneran di internet rencananya yang boleh akses hanya dari kantor2 cabang tertentu yg notebene punya range ip address tertentu rencana saya hanya dari ip address kantor2 cabang tersebut sajalah web yg saya bikin ini nanti bolehbisa diakses apa solusi proteksi yg saya rencanakan ini tetep saja kurang bermanfaat ? rekan2 ada usulan buat nambah proteksi biar pelindung engga cuma login page doang ? makasih banyak :) salam, -rianu- selain pakai login page(+ssl) kalau cabang2nya pake ip public static sih bisa bikin acl sederhana pakai iptables. contoh aja: di server web nya iptables -N WEB_ACCESS iptables -A WEB_ACCESS -s ip_cabang_1 -j RETURN iptables -A WEB_ACCESS -s ip_cabang_2 -j RETURN iptables -A WEB_ACCESS -s ip_cabang_3 -j RETURN ..cabang2 lain. ..cabang2 lain. iptables -A WEB_ACCESS -j DROP iptables -A INPUT -p tcp -m tcp --dport 80 -j WEB_ACCESS iptables -A INPUT -p tcp -m tcp --dport 443 -j WEB_ACCESS kalo ada request ke port 80/443 selain dari ip2 cabang di DROP. kalo ip2 cabangnya dynamic/dhcp entahlah... CMIIW regards PT.CITRA SARI MAKMUR SATELLITE TERRESTRIAL NETWORK Connecting the distance - anytime, anywhere, any content -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
On Tue, Sep 19, 2006 at 04:55:06PM +0700, beast wrote: Tapi nantinya akan rentan terhadap sniffing attack (asumsi pakai basic auth) malah mugkin nantinya ini jadi pintu utama untuk masuk ke aplikasi lainnya. Orang yg pake Basic HTTP auth polos (atau ekuivalennya) tanpa dilewatin SSL perlu disniff lalu disusupin rame2 servernya biar kapok. Ronny signature.asc Description: Digital signature
Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?)
- Original Message - From: Hari Hendaryanto [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 5:06 PM Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) Rist. Andy Nugroho wrote: - Original Message - From: Hari Hendaryanto [EMAIL PROTECTED] To: tanya-jawab@linux.or.id Sent: Tuesday, September 19, 2006 4:25 PM Subject: Re: [tanya-jawab] mengakses web page yg diproteksi (menerobos?) Bambang Sumitra wrote: ++ proteksi hanya IP tertentu saja yg bisa akses pendekatan saya hanya IP atau range IP address tertentu saja yg saya daftarkan yg bisa akses, bukan sebaliknya. memang betul mas, dgn userid dan password sebenarnya sudah cukup membatasi, tapi saya merasa kurang untuk beberapa aplikasi yg memang sifatnya tertutup dan kritikal sekali. untuk hal seperti ini he he ... set paranoid mode=On kalau menurut saya tetap ada kelemahannya, misalnya IP yang boleh adalah 192.168.2.1 ( punyanya hamid) dan IP 192.168.2.2 ( punyanya anton) tidak boleh akses, kalau komputer dengan IP 192.168.2.1 lagi off dan anton dengan IP 192.168.2.2 mengganti IP menjadi 192.168.2.1, bukankah si anton ini tetep bisa akses. kecuali kalau emang user tidak bisa ganti IP sendiri atau tidak tahu cara ganti IP. atau kecuali jika anda set di iptables dengan filter mac address, tapi saya pun tak tahu gimana caranya :) ,cuman pernah lihat aja di milis ini. semoga membantu, Bambang filter mac address juga gak bisa mustinya.karena mac juga bisa dengan mudahnya di ubah sama mudahnya seperti ganti ip address. http://www.tech-faq.com/change-mac-address.shtml kecuali si user/client gak punya akses root/administrator di pc nya. ++ ... dari masukan Om Bambang, Om Ronny dan Om Hari jadi tambah ngeh, berarti proteksi satu-satunya yg tertinggal cuma login page aja dong kalo yg laen bisa dimainin :( saat ini saya emang naruhnya baru di localnetwork, rencananya mau ditaruh di server beneran di internet rencananya yang boleh akses hanya dari kantor2 cabang tertentu yg notebene punya range ip address tertentu rencana saya hanya dari ip address kantor2 cabang tersebut sajalah web yg saya bikin ini nanti bolehbisa diakses apa solusi proteksi yg saya rencanakan ini tetep saja kurang bermanfaat ? rekan2 ada usulan buat nambah proteksi biar pelindung engga cuma login page doang ? makasih banyak :) salam, -rianu- selain pakai login page(+ssl) kalau cabang2nya pake ip public static sih bisa bikin acl sederhana pakai iptables. contoh aja: di server web nya iptables -N WEB_ACCESS iptables -A WEB_ACCESS -s ip_cabang_1 -j RETURN iptables -A WEB_ACCESS -s ip_cabang_2 -j RETURN iptables -A WEB_ACCESS -s ip_cabang_3 -j RETURN ..cabang2 lain. ..cabang2 lain. iptables -A WEB_ACCESS -j DROP iptables -A INPUT -p tcp -m tcp --dport 80 -j WEB_ACCESS iptables -A INPUT -p tcp -m tcp --dport 443 -j WEB_ACCESS kalo ada request ke port 80/443 selain dari ip2 cabang di DROP. kalo ip2 cabangnya dynamic/dhcp entahlah... CMIIW ++ siiip, masukan bagus :) cuma kalo bisa saya pengennya yg bisa dilakukan seputaran script php or setting di .htaccess, karena akses yg saya punya terbatas server webnya dipakai juga utk keperluan yg laen. tapi ndak masalah ntar sedikit lobi2 lah ke adminnya buat nyobain... thanks :) salam, -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis
[tanya-jawab] mengakses web page yg diproteksi (menerobos?)
Hai ... Ceritanya saya bikin suatu aplikasi lengkap beserta login page dll pake php ( he sengaja nyebut 'php' biar engga begitu OOT ), saat ini saya taruh di localnetwork buat development, rencananya saya ingin tambahin satu lagi proteksi dgn memberikan batasan hanya IP tertentu saja yang dapat mengakses. Metode yg saat ini terlintas ada 2 : 1. pake php script untuk deteksi dari IP mana si pengakses ( dibawah ) 2. pake .htaccess ( yg ini blom nyobain ) kalo ada yg laen please tambahin dong .. Khusus soal proteksi hanya IP tertentu saja yg bisa akses ini apakah teman2 ada yg pernah dengar bisa diterobos dari IP laen yg diluar IP yg sudah saya daftarkan? dengan cara apa dan bagaimana ya? ip spoofing? berikut script php utk cek IP addr atau range IP addr yg ngakses : ? function cek_IPorRange ($ip_address) { if (ereg(-,$ip_address)) { // Range $ar = explode(-,$ip_address); $your_long_ip = ip2long($_SERVER[REMOTE_ADDR]); if ( ($your_long_ip = ip2long($ar[0])) ($your_long_ip = ip2long($ar[1])) ) { return TRUE; } } else { // Single IP if ($_SERVER[REMOTE_ADDR] == $ip_address) { return TRUE; } } return FALSE; } ? bantuin dong ... Thanks. salam, -rianu- -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [EMAIL PROTECTED] Arsip dan info milis selengkapnya di http://linux.or.id/milis