On 07/02/2010 11:49 AM, Saiful wrote:
> urung pendapat...
>
> Fakta dari Ybs,
>
> 1. pelaku bisa tahu ym member lalu menyaru dengan ym yang mirip
> 2. pelaku bisa tahu saldo terakhir member untuk melakukan penipuan sms
> 3. kemungkinan juga pelaku bisa tahu saldo member mana yang besar lalu
> dijadikan target
>
> artinya kemungkinan sangat besar pelaku bisa melihat data yang ada. Beberapa
> kemungkinan yang bisa terjadi
>
> 1. hack server database, tapi jika hal ini terjadi seharusnya pelaku bisa
> langsung melakukan modifikasi data tanpa perlu konfirmasi ke cs untuk
> melakukan perubahan data
>
> 2. jika memiliki real time data di website pelaku bisa melihat data di web
> dengan berbagai cara, apa mungkin orang isp ya?
>
> 3. kerjasama dengan orang dalam
>
> nah selanjutnya tinggal dirunut saja beberapa kemungkinan itu atau
> kemungkinan lainnya agar bisa diantisipasi di lain waktu
>
>
setahu saya data yim, ajax dan html/xml adalah plain text. CMIIW. Jadi
sangat mudah terlihat oleh tetangga dalam satu jaringan (client, ISP
maupun server sendiri) yang mengerti sedikit man middle attack. Solusi
untuk memperlambatnya adalah encrypt. Utk ajax/html/xml bisa menggunakan
protokol https atau yang ekstrim dengan VirtualPrivateNetwork. (Ngga
tahu utk YIM)
Tapi ... Walau diencrypt , masih kalah dengan keylogger (di sisi client
saat mengetikkan username dan password)
@Saiful:
1. Pelaku bisa tahu ym member ada 2 (dua) alternatif:
a. member sendiri
a.1. pelaku adalah member
a.2. pelaku melakukan pengetikan transaksi ke window chat orang
lain padahal maksudnya ke window transaksi.
b. teman member (walau hanya sebatas account yim saja)
2. Pelaku bisa tahu saldo member ada 3 (tiga) alternatif:
a. server tidak secure
a.1. memberikan reply tanpa pemeriksaan yang minta
member atau publik
a.2. sql injection
b. account member disalah gunakan. username dan password
sudah diketahui oleh pelaku.
c. social engineering
biasanya via voice dengan CS/TS
3. Pelaku mengetahui saldo member yang besar hanya dengan satu cara,
yaitu pelaku (remote) mampu berkomunikasi dengan server secara baik.
Artinya server perlu dibenahi.
Saran:
1. Kalau bisa transmisi data ke server dalam kondisi terencrypt.
2. Bila ada layanan paralel, sebaiknya ada konfirmasi via sms/voice ke
nomer utama untuk penambahan atau perubahan.
3. Pisahkan jaringan wireless/hotspot dengan jaringan transaksi.
4. Pisahkan account transaksi dan account untuk bersosialisasi (YIM)
5. Gunakan komputer dengan perilaku internet sehat (LOL ...)
Mohon maaf bila ada salah kata. Dan bila informasi diatas melenceng
mohon perbaikan.
Terima kasih.
--
Fadjar Nurswanto
http://blog.rindudendam.net
http://rindudendam.deviantart.com
Sent from GLS Powered by RinduDendam PearlBerry®
------------------------------------
MILIS INI BERSIH DARI MLM, MONEY GAME & SKEMA PIRAMIDA
http://infopulsa.com/tata-tertib/
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/pulsa/
<*> Your email settings:
Individual Email | Traditional
<*> To change settings online go to:
http://groups.yahoo.com/group/pulsa/join
(Yahoo! ID required)
<*> To change settings via email:
[email protected]
[email protected]
<*> To unsubscribe from this group, send an email to:
[email protected]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
