>>> Ronny Haryanto<[EMAIL PROTECTED]> Wrote: >>> On 08-Nov-2002, Ady Wicaksono wrote: >>> Bung Ronny, coba anda baca pertanyaan awal di email ini >>> >>> "Gimana cara mengenkrip username dan password yg dikirim dari form >>> login agar tidak bisa diketahui oleh orang lain." >>> >>> Apakah solusi-nya hanya dengan https ? nggak juga :) >> >>Saya nggak pernah bilang solusinya HANYA dengan https, saya cuma >>bilang "SSL", gitu aja kan? Kalo ada yg lebih baik dari SSL pun tentu >>saya senang kalo bisa tahu. >> >>Di posting selanjutnya saya hanya menunjukkan fakta bahwa MD5 itu >>bukan encryption algorithm tapi message digest algorithm (makanya >>namanya MD == Message Digest), jadi tidak utk mengencrypt melainkan >>utk memendekkan suatu message ke suatu hash value (atau digest, >>semacam checksum lah). >> >>Pertanyaannya kan bagaimana mengirim data supaya tidak diketahui orang >>lain, nah tentunya data ini kan harus bisa dibaca oleh si penerima. >>Saya tidak melihat bagaimana bisa melakukan ini dg MD5. Contoh: >> >> Pesan yg akan dikirim adalah X. Output fungsi MD5(X) adalah Y. Si >> pengirim mengirimkan Y ke penerima. Nah supaya si penerima bisa >> mendapatkan X kembali dia harus menjalankan fungsi InveseMD5(Y). >> Tapi sayangnya (untungnya!) tidak ada fungsi InverseMD5(), karena >> MD5 itu *one-way* hash function.
>> >>> dengan form biasa dimana ketika submit, entry di textfield di-MD5() >>> dahulu itu juga bisa :), coba anda ke mail.yahoo.com untuk >>> membuktikannya sendiri, >> >>Di bagian mananya nih, bisa lebih spesifik? mail.yahoo.com itu bukan >>aplikasi yg kecil, dan saya nggak ada waktu utk nyobain satu2. >> >>> masalah penyimpanan di database, LDAP atau somewhere else itu gak >>> perlu pake MD5 bisa sekedar encode() decode()-nya MySQL >> >>Tujuannya di-encode() adalah supaya password tidak disimpan clear-text >>kan? Tapi kalo orang bisa menjalankan decode() ke data itu, sama aja >>dg disimpan clear-text dong. >> >>Kalo anda simpan hash value MD5()-nya kan tidak mungkin bisa dibalikin >>lagi ke clear-text. >> >>> jadi saya rasa anda terlalu naif untuk mengatakan You're missing the >>> point. :) >> >>Nggak kok, memang yg saya maksud dan yg anda maksud beda, jadi anda >>melewatkan point yg saya maksud, makanya saya bilang demikian. >> >>> Ah sapa bilang Bung, aku pake MD5 juga buat kirim password biar >>> nggak ketahuan orang without https >> >>Bisa tolong dijelaskan caranya gimana? Saya senang sekali kalo bisa >>belajar dari anda, kalau anda tidak keberatan. >> >>Seperti contoh saya di atas, misalnya anda mau mengirim pesan X supaya >>nggak bisa dibaca orang selain si penerima, jadi jelas kita tidak bisa >>mengirimkan X, kan? Apakah yg anda maksudkan adalah mengirimkan hasil >>dari MD5(X), yaitu Y? Kembali ke pertanyaan semula, bagaimana bisa >>mendapatkan X itu kembali kalo yg diketahui hanya Y? betul sekali bung Ronny, ketika sebuah form di-submit(), hasil MD5 dari entri textfield password yang dikirimkan ke server, sisi server kan tinggal melakukan pencocokan password dengan cara meng-MD5-kan password yang ada di server, gitu saja (without HTTPS -> notabene salah satu implementasi SSL yang anda maksud) mengenai samples-nya coba anda buka URL http://mail.yahoo.com/, anda buka yang bagian login page-nya (ada login name, dan password textfield) kemudian view source, silakan anda pelajari source HTML dan javascript di situ. Kalau anda penasaran, coba anda save locally dan ganti method-nya menjadi GET. Semoga bisa dimengerti maksud saya :) >> >>Thanks, >> >>Ronny >> -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
