Yah, seperti yang kita ketahui bersama bahwa Bee Watch sangat menjadi incaran untuk di-embed ke web-web marketing kelas teri. Dimana siaran Bee Watch ( TV Online) digunakan sebagai penarik traffic ke website mereka dan di website mereka diletakkan bermacam-macam iklan entah darimana datangnya. Ada yang isinya iklan Joko Susilo lah, ada iklan google adsense la, dan iklan2 norak lainnya. Dan yang paling membuat gw prihatin adalah design website yang sangat kampungan dan acak-acakan ( sory kalo ini gwa ngomong jujur ).

Selama ini gwa telah melakukan berbagai macam proteksi terhadap Bee Watch. Mulai dari proteksi dari FMS nya, random folder tempat simpan playernya , dan yang terakhir memasang firewall. Tapi ternyata memang dasar maling, tetep saja mereka selalu menemukan cara untuk menembus pertahanan yang gwa buat.

Akhirnya gwa memutuskan membuat hotlink protection di web server Apache gwa dengan menggunakan .htaccess. Mungkin ada yang bertanya-tanya sebenarnya apa itu hotlink. Hotlink itu adalah sebuah istilah yang digunakan ketika sebuah website A yang menghosting katakanlah sebuah gambar yang berukuran 100 MB, kemudian secara tiba-tiba ada website B yang meng-link gambar tersebut ke website milik pribadinya untuk kepentingan dia sendiri.

Ketika ada user yang mengakses website B dan menampilkan gambar yang dihosting oleh website A. Tentu saja hal itu merugikan website A dimana bandwidth yang digunakan adalah bandwidth website A, sementara website B cuma menikmati hasilnya tanpa harus kehilangan bandwidth yang berharga.

Hal inilah yang terjadi dengan Bee Watch dimana ada beberapa website yang tidak bertanggung jawab dengan sengaja melakukan embed siaran Bee Watch untuk menarik traffic ke website mereka. Dan setelah googling-googling dan stress selama 1 jam memikirkan bagaimana cara mem-ban website tersebut akhirnya gwa menemukan sebuah fitur dari web apache yaitu disable hotlinking dengan .htaccess.

Jadi konsepnya sangatlah simple dimana dengan menggunakan script .htaccess kita untuk mendisable semua akses ke file-file kita ( contoh : gambar .gif, .jpg, .png atau .swf ) sehingga hanya beberapa url saja yang telah kita allow dapat mengakses file tersebut ( dalam kasus ini gwa hanya mengallow domain binus-access.com dan 202.58.181.204 ).

Jadi step-stepnya kira begini :

• Generate file .htaccess di web ini
• Upload file .htaccess ke root webserver kita ( misalnya /var/www ).
• Testing hotlinking dari lokal

Jika benar maka seharusnya kita tidak dapat mengakses content website kita dari localhost. Kira-kira begitulah salah satu web security yang sangat penting jika kita ingin memproteksi website kita dari tangan-tangan jahil. Selamat mencoba

Hotlinking protection di web server Apache is a post from: blog.rudylee.com

Lagi pengen update blog, tapi bingung musti ngisi apa… pengen curhat tapi nanti pada tanya2 lagi… ya sudah lah daripada cerita-cerita ga jelas bagusan bahas tentang single sign on atau SSO…

Single sign on ini merupakan topik skripsi gwa tahun lalu… yah bisa dibilang semester kemarin secara gwa sedang menunggu wisuda hari sabtu ini… ( sambil menunggu bak cang juga dari pekanbaru… ea ).

Sebelum bahas kedalam-dalam bahas dolo deh pengertian dari Single Sign On. Sebenarnya gwa juga bingung musti mengartikan dalam kata-kata, intinya sih dengan single sign on kita dapat membuat user hanya perlu melakukan login sekali untuk dapat mengakses aplikasi-aplikasi ( dalam hal ini bisa saja web atau aplikasi desktop) yang berbeda dan yang tentu saja pada server yang berbeda… Kalau pengen tahu lebih jelas cek di wikipedia saja http://en.wikipedia.org/wiki/Single_sign-on. Untuk contoh realnya bisa liat yahoo messenger, ketika kita login di yahoo messenger ketik kita masuk ke web mailnya untuk mengecek email, kita tidak perlu melakukan login lagi karena kita sudah login melalui yahoo messengernya. Jadi itu adalah salah satu contoh Single Sign On.

Nah, untuk membuat teknologi Single Sign On ini tidaklah sulit, karena sekarang telah tersedia banyak teknologi, framework yang open source dan commercial. Beberapa framework dan teknologi itu antara lain :

• Central Authentication Services
• Josso
• Crowd ( Comercial )
• OpenID
• OAuth

Dari beberapa pilihan tersebut yang sudah pernah gwa coba cuma CAS dan Josso. Pada akhirnya pilihan gwa jatuh kepada CAS. Alasan utama kenapa gwa memilih CAS sangatlah simple yaitu karena paling gampang dipakai…

Tapi walaupun gampang dipakai ternyata CAS cukup handal juga untuk dipakai sebagai framework Single Sign On. Buktinya adalah banyaknya plugin yang dapat membantu kita jika ingin mengintegrasikan CAS ke aplikasi web lain ( misalnya ingin mengintegrasikan aplikasi web ASP dengan aplikasi web PHP )…

Jadi pada skripsi gwa, gwa diharuskan mengintegrasikan beberapa aplikasi web dan desktop antara lain portal ( menggunakan Joomla ), blog ( menggunakan wordpress MU ), messenger ( menggunakan spark ), dan forum ( menggunakan fireboard dan terintegrasi dengan joomla ). Sementara untuk databasenya sendiri menggunakan Open Lightweight Directory Access Protocol ( OpenLDAP )…

Sebelum membahas lebih lanjut gwa akan menjelaskan sedikit tentang framework CAS ini dahulu. CAS adalah sebuah framework untuk Single Sign On yang dibuat dengan bahasa Java atau lebih tepatnya JSP. Jadi CAS ini dapat dikatakan sebuah aplikasi web yang digunakan untuk meng-handle autentikasi nantinya ( sebagai pintu gerbang autentikasi nantinya ). Oleh karena itu setiap kita ingin melakukan autentikasi maka kita akan diredirect ke server CAS ini dan baru nantinya akan diredirect kembali ke aplikasi.

Kemudian yang menjadi pertanyaannya adalah bagaimana caranya aplikasi dapat mengetahui bahwa user tersebut telah melakukan login atau tidak. Konsep kerja CAS sebenarnya menggunakan Ticket Granting dimana ketika user melakukan login, user akan diberikan ticket ( dalam hal ini tersimpan dalam cookies ) yang nantinya digunakan untuk mengautentikasikan user pada setiap aplikasinya. Jadi nantinya di setiap aplikasi akan dilakukan pengecekan dari ticket yang telah diberikan oleh CAS tersebut.

Mungkin nanti gwa bakal bikin tutorial untuk CAS ini karena ada rencana pengen nyoba-nyoba CAS versi terbaru. Tapi selain itu gwa juga pengen nyoba teknologi baru yang hampir mirip dengan SSO yaitu OpenID dan OAuth. Dari hasil membaca-baca sedikit gwa menarik kesimpulan bahwa OpenID dan OAuth adalah sebuah konsep dimana kita dapat menggunakan username kita di aplikasi lain tanpa aplikasi tersebut mengakses database username kita. Yah mungkin hampir mirip dengan konsep SOAP, tapi gwa sendiri belum mendalami SOAP, OpenID dan OAuth. Mungkin nanti gwa bakal posting hasil researchnya.

Single Sign On, CAS, Josso, Crowd, OpenID, dan OAuth is a post from: blog.rudylee.com