On 08-Nov-2002, Ady Wicaksono wrote:
> Bung Ronny, coba anda baca pertanyaan awal di email ini
>
> "Gimana cara mengenkrip username dan password yg dikirim dari form
> login agar tidak bisa diketahui oleh orang lain."
>
> Apakah solusi-nya hanya dengan https ? nggak juga :)
Saya nggak pernah bilang solusinya HANYA dengan https, saya cuma
bilang "SSL", gitu aja kan? Kalo ada yg lebih baik dari SSL pun tentu
saya senang kalo bisa tahu.
Di posting selanjutnya saya hanya menunjukkan fakta bahwa MD5 itu
bukan encryption algorithm tapi message digest algorithm (makanya
namanya MD == Message Digest), jadi tidak utk mengencrypt melainkan
utk memendekkan suatu message ke suatu hash value (atau digest,
semacam checksum lah).
Pertanyaannya kan bagaimana mengirim data supaya tidak diketahui orang
lain, nah tentunya data ini kan harus bisa dibaca oleh si penerima.
Saya tidak melihat bagaimana bisa melakukan ini dg MD5. Contoh:
Pesan yg akan dikirim adalah X. Output fungsi MD5(X) adalah Y. Si
pengirim mengirimkan Y ke penerima. Nah supaya si penerima bisa
mendapatkan X kembali dia harus menjalankan fungsi InveseMD5(Y).
Tapi sayangnya (untungnya!) tidak ada fungsi InverseMD5(), karena
MD5 itu *one-way* hash function.
> dengan form biasa dimana ketika submit, entry di textfield di-MD5()
> dahulu itu juga bisa :), coba anda ke mail.yahoo.com untuk
> membuktikannya sendiri,
Di bagian mananya nih, bisa lebih spesifik? mail.yahoo.com itu bukan
aplikasi yg kecil, dan saya nggak ada waktu utk nyobain satu2.
> masalah penyimpanan di database, LDAP atau somewhere else itu gak
> perlu pake MD5 bisa sekedar encode() decode()-nya MySQL
Tujuannya di-encode() adalah supaya password tidak disimpan clear-text
kan? Tapi kalo orang bisa menjalankan decode() ke data itu, sama aja
dg disimpan clear-text dong.
Kalo anda simpan hash value MD5()-nya kan tidak mungkin bisa dibalikin
lagi ke clear-text.
> jadi saya rasa anda terlalu naif untuk mengatakan You're missing the
> point. :)
Nggak kok, memang yg saya maksud dan yg anda maksud beda, jadi anda
melewatkan point yg saya maksud, makanya saya bilang demikian.
> Ah sapa bilang Bung, aku pake MD5 juga buat kirim password biar
> nggak ketahuan orang without https
Bisa tolong dijelaskan caranya gimana? Saya senang sekali kalo bisa
belajar dari anda, kalau anda tidak keberatan.
Seperti contoh saya di atas, misalnya anda mau mengirim pesan X supaya
nggak bisa dibaca orang selain si penerima, jadi jelas kita tidak bisa
mengirimkan X, kan? Apakah yg anda maksudkan adalah mengirimkan hasil
dari MD5(X), yaitu Y? Kembali ke pertanyaan semula, bagaimana bisa
mendapatkan X itu kembali kalo yg diketahui hanya Y?
Thanks,
Ronny
--
Utk berhenti langganan, kirim email ke [EMAIL PROTECTED]
Informasi arsip di http://www.linux.or.id/milis.php3
