On 08-Nov-2002, Ady Wicaksono wrote: > >>Seperti contoh saya di atas, misalnya anda mau mengirim pesan X > >>supaya nggak bisa dibaca orang selain si penerima, jadi jelas kita > >>tidak bisa mengirimkan X, kan? Apakah yg anda maksudkan adalah > >>mengirimkan hasil dari MD5(X), yaitu Y? Kembali ke pertanyaan > >>semula, bagaimana bisa mendapatkan X itu kembali kalo yg diketahui > >>hanya Y? > > betul sekali bung Ronny, ketika sebuah form di-submit(), hasil MD5 > dari entri textfield password yang dikirimkan ke server, sisi server > kan tinggal melakukan pencocokan password dengan cara meng-MD5-kan > password yang ada di server, gitu saja (without HTTPS -> notabene > salah satu implementasi SSL yang anda maksud)
Ah, sudah saya duga jawaban yg ini :) Cara ini-pun tidak menyelesaikan masalah data yg bisa di-intercept di tengah jalan, yg (secara teori) skrg ini cuma bisa diakali dengan encryption, misalnya lewat SSL. Dengan cara di atas, saya tetap bisa dapat username anda (atau MD5(username)?), dan juga MD5(X) yaitu Y, yg anda kirimkan. Lalu saya bisa construct HTTP POST/GET request utk mengirimkan username dan Y itu ke server utk mendapat akses si username. Yg ditanyakan sebelumnya kan gimana caranya supaya username dan password yg anda kirim itu tidak bisa diambil oleh saya di tengah jalan (atau walaupun bisa diambilpun tidak bisa saya pake). Ini sih namanya security by obscurity, yg dibuat membingungkan hanya caranya, tapi security sebetulnya tidak ada (false sense of security). Letak kekuatan dari encryption yg sebenarnya adalah di kerahasiaan private key-nya, algorithmnya tetap diketahui semua org. Cheers, Ronny -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
