Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya.....
2010/7/17 Andrian Kurniady > > Disadap? Kalau punya "auth code"nya tapi gak menyadap koneksi SSL (agak > impossible, apalagi udah 128bit encryption) waktu si user pake internet > banking, ya "auth code" nya gak ada artinya, sadap aja :-P > Yang masalah sih network mobilenya unreliable. Di Aussie sini kayaknya belum > pernah denger SMS terkirim lalu "hilang" hehe... walaupun bisa aja send ulang > (generate nomor baru), kan gak lucu kalo user disuruh nunggu di layar nomor 2 > sementara SMSnya masuk 1 jam kemudian (keburu expired sessionnya hehe). Tidak perlu menyadap trafik SSL. Cukup punya username dan password inet bankingnya. Kalo punya itu, bisa transaksi deh. Entri transaksinya, kemudian tungguin SMSnya lewat. Pas lewat, langsung dipake otorisasi. Si empunya rekening paling bingung aja, kok tiba2 dia dapat SMS token, padahal dia lagi di busway. Pas dicek rekeningnya, sudah ludes. Butuh effort tinggi untuk mendapatkan user/pass dan menyadap SMS. Tapi effortnya tetap lebih kecil daripada ngakalin token. -- Endy Muhardin http://endy.artivisi.com Y! : endymuhardin -- life learn contribute --
Re: [JUG-Indonesia] [ask] manajemen session di spring
2010/7/17 hendry_agi
>
>
>
> sebelumnya saya mau mengembangkan web dengan teknologi spring mvc + satu
> program di sisi server yang senantiasa membaca database.
>
> 2. aplikasi web, yang telah mengirim data senantiasa menunggu response dari
> server. dimana respone dari server ada 3 secara berturut2, yaitu
> submit_success, process, result. jika telah mendapatkan response result maka
> aplikasi web telah selesai menuggunya.
>
Ini mungkin maksudnya gini.
Proses di server makan waktu lama (misalnya > 1 menit).
Jadi waktu usernya submit, dia langsung diredirect ke halaman
...sedang proses...
Halaman sedang proses ini mau direfresh dari client side, mungkin
pakai meta-refresh atau javascript.
Tiap kali refresh (berarti request ke server), di server akan dicek
prosesnya sudah selesai atau belum.
Kalau masih proses ditampilkan sedang proses, kalau sudah dapat result
ditampilkan resultnya.
Gitu maksudnya?
Kalo memang gitu, bikin dua method di spring controller.
Satu untuk handle submit request, yang akan mentrigger proses ke database.
Setelah prosesnya diaktifkan, redirect ke halaman progress
Di halaman progress, cek status, kalau belum return .. masih proses ...
Kalau sudah, return result.
Kodenya kira2 seperti ini
@Controller
public class ControllerSaya {
@RequestMapping(value="/proses/submit", method=POST
public String prosesSubmit(HttpSession session){
Proses p = startBackgroundProcess();
session.setAttribute("proses", p);
return "redirect:progress";
}
@RequestMapping(value="/proses/status", method=GET)
public ModelMap progress(HttpSession session){
Proses p = session.getAttribute("proses");
ModelMap hasil = new ModelMap();
if(p.sudahSelesai()){
hasil.put("status", "selesai");
hasil.put("data", p.ambilHasil());
} else {
hasil.put("status", "masih proses");
}
return hasil;
}
}
--
Endy Muhardin
http://endy.artivisi.com
Y! : endymuhardin
-- life learn contribute --
Re: Bls: [JUG-Indonesia] Release From Code to Exe
2010/7/16 ananta.kirani > > > setelah saya baca2, ternyata memang untuk menjadikan code java ke exe, harus > dijadiin jar dulu, permasalahan selanjutnya bagaimana cara export jar dengan > manifest file (agar libarary external yang digunakan tidak ikut di paketkan, > sehingga ukuran jar ga terlalu gede) ada masukan ga? soalnya masih belum > begitu ngerti nih > Cara paling gampang, buka projectnya di Netbeans, kemudian klik kanan Clean and Build. Nanti Netbeans akan menghasilkan aplikasi siap pakai di folder dist. Di output proses clean and build juga nanti ada keterangan seperti ini ... to run this application without Netbeans, type java -jar dst Nah, perintah yang ditampilkan netbeans itu tinggal copy-paste ke bat script. Hasil build Netbeans sudah dipisah antara aplikasi.jar dan dependensi external yang akan disimpan di folder lib dalam folder dist. Setelah itu, kalo masih penasaran mau bikin sendiri, nyontek aja hasil generate Netbeans, terutama manifest.mf nya. -- Endy Muhardin http://endy.artivisi.com Y! : endymuhardin -- life learn contribute --
RE: [JUG-Indonesia] Transaction Locking
Oh.. ic...
Logical... hahahahaha
Adelwin Handoyo | Senior Consultant - Wholesale Bank
Standard Chartered Bank
7, Changi Business Park Cresent, Level 3. Singapore (486028)
T : (65) 659 61395 | E adelwin.adel...@sc.com
From: jug-indonesia@yahoogroups.com
[mailto:jug-indone...@yahoogroups.com] On Behalf Of Niksen Harjanto
Sent: Saturday, July 17, 2010 2:15 PM
To: jug-indonesia@yahoogroups.com
Subject: Re: [JUG-Indonesia] Transaction Locking
On 7/16/10, Adelwin, Adelwin mailto:Adelwin.Adelwin%40sc.com> > wrote:
> Well.. sorry...
>
> Kalo server.. bentuk nya Cuma laptop... that's just silly...
>
Ada customer gw yang request servernya bentuknya laptop, tentuin aja
speknya, ntar dia yang cari. Tujuannya supaya gampang dibawa kabur
waktu ada pemeriksaan pajak.
doeng
This email and any attachments are confidential and may also be privileged. If
you are not the addressee, do not disclose, copy, circulate or in any other way
use or rely on the information contained in this email or any attachments. If
received in error, notify the sender immediately and delete this email and any
attachments from your system. Emails cannot be guaranteed to be secure or
error free as the message and any attachments could be intercepted, corrupted,
lost, delayed, incomplete or amended. Standard Chartered PLC and its
subsidiaries do not accept liability for damage caused by this email or any
attachments and may monitor email traffic.
Standard Chartered PLC is incorporated in England with limited liability under
company number 966425 and has its registered office at 1 Aldermanbury Square,
London, EC2V 7SB.
Standard Chartered Bank ("SCB") is incorporated in England with limited
liability by Royal Charter 1853, under reference ZC18. The Principal Office of
SCB is situated in England at 1 Aldermanbury Square, London EC2V 7SB. In the
United Kingdom, SCB is authorised and regulated by the Financial Services
Authority under FSA register number 114276.
If you are receiving this email from SCB outside the UK, please click
http://www.standardchartered.com/global/email_disclaimer.html to refer to the
information on other jurisdictions.
Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya.....
Hehehe.. Di Jerman masih pake list isinya pin (ada ratusan angka), nanti waktu kita transaksi disuruh cari pin no ke 87 (misalnya), terus masukin angkanya. Ntar kalo udah abis, musti order lagi ke bank, dan bayar sekian EUR untuk minta daftar pin baru. Ini baru namanya teknologi, hehehehehehehehehe... Di Belanda, token itu juga tersedia di Bank, jadi kalo mau minjem pun bisa. Maksudnya tokennya itu ga individu per individu (walaupun masing-masing nasabah punya di rumah), karena kartu ATM kita harus dimasuki ke dalam tokennya, masukin pin dsb untuk keluar angka rahasianya. Jadi seumpama kita lagi main ke rumah teman, dan teman itu kebetulan banknya sama, bisa pinjem juga. Tapi ya memang ga wajar untuk akses bank di tempat umum. Meskipun pake SMS kayaknya masih ragu ya kalo buka internet banking di terminal busway, hehehe.. 2010/7/17 Hendry Luk > > > Justru gw pikir token ngetrennya cuma di jkt, karna influence BCA. > > Di UK, AU, dan NZ (dan im sure most other countries), rata2 pake SMS > (Bahkan *none* by default: Daily transfer lu cuma mentok $500, sampe lu > register sms auth). > Lagian buka reknya kan kebanyakan online, jadi ya naturally diverified nya > instant (lewat email/sms), gak jauh beda dengan buka acc ebay ato gmail. > Jarang yg pake2 token device di kalangan umum... walopun gw baru cek > ternyata gw bisa upgrade ke token device kalo butuh extra peace of mind. > > Gw kirain bca ajah yg bikin2 trend-setter di jkt. Mungkin related dengan > online-transaction yg statistically agak rawan di asia, jadi standardnya > emang lebih ketat. > > 2010/7/16 Adelwin Handoyo > > >> >> Actually... >> Banking disini sih semua pake token... >> Cuma di jkt ajah yang aneh kenapa BCA doang yang implement... >> * >> Adelwin Handoyo >> *- adel...@gmail.com - >> Sent from my Mac >> >> >> -- >> *From: *Hendry Luk >> *Reply-To: *JUG-Indonesia >> *Date: *Fri, 16 Jul 2010 14:05:27 +1000 >> *To: *JUG-Indonesia >> >> *Subject: *Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya. >> >> >> >> Mungkin gw phrased it dengan jelek... Gw gak maksud nge-ditch otp. >> Maksud gw, sms authentication sebenernya gak as vulnerable as it sounds... >> Cuma gara2 bca pake otp device jadi ada tendency semua nasabah langsung >> nganggap semua banking mesti pake otp, alternative laen gak secure. >> Padahal it probably doesnt matter that much.. sms dah diconsider >> acceptably secure, dan most banks emang cuma pake itu, gak pake >> sophisticated device macem2. Otp biasanya cuma nongol di business banking. >> >> On Fri, Jul 16, 2010 at 12:13 PM, Adelwin, Adelwin < >> adelwin.adel...@sc.com> wrote: >> >> >> >> >> >> >> Jadi gw sih gak terlalu liat manfaatnya otp device yg dipersenjatai dengan >> brightest algorithms... Coding cupu dengan random-number + sms ajah dah >> reasonably unbreakable buat kebanyakan personal banking, yang buat gw seems >> to be solusi yg lebih logical dari sisi development cost maupun customer's >> convenience. >> >> >> Well… luckily they don’t think so… >> Otherwise.. I’d soon be out of job… >> Hahahhaha >> Namanya juga di bank… >> Innovation is waaa down the list… >> Security is of the utmost importance… >> Mau dobel2… mau redundant… mau most of the times useless… tetep pasti ada… >> Buat mereka rule 80-20 ituh gak ngaruh… >> Die apply 20% of the security that they “could have” placed to serve 80% >> of their customer… >> They just don’t work like that… >> Mereka akan coba push sebisa mungkin… at all cost(I’d know)… supaya bisa >> sedekat mungkin sama 100%... >> Bagi lu mungkin aahh gak penting lah ginian… >> 90% of the time juga pasti secure lah… >> Lagian sapa mau ambil duit gue… >> Duit gue mah itungan nya receh buat konglomerat gitu… >> Tapi konglomerat juga nabung disono… >> Mereka harus protect duit die… and yours along with it… >> 10% off chance bahwa itu akan “gak” secure… well they just cant live with >> that… >> Don’t be so quick to dismiss things… >> Ini kerjaan gue inih… >> Gue cari makan dari sini… >> Banking… >> I would know… >> >> >> >> >> >> *Adelwin Handoyo | Senior Consultant - Wholesale Bank >> **Standard Chartered Bank >> *7, Changi Business Park Cresent, Level 3. Singapore (486028) >> *T* : (65) 659 61395 |* **E* adelwin.adel...@sc.com >> >> >> >> -- >> >> *From:* jug-indonesia@yahoogroups.com [ >> mailto:jug-indonesia@yahoogroups.com ] *On >> Behalf Of *Hendry Luk >> *Sent:* Thursday, July 15, 2010 9:11 PM >> >> *To:* jug-indonesia@yahoogroups.com >> *Subject:* Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya. >> >> >> >> - secure-random sih dah bagian standard library di most programming >> languages.. >> >> - dengan predictably random pun, berapa likely sih buat nebak 5 digit >> correctly dalam 2 kesempatan? Chancenya dwarfs the risk.. mengingat >> kebanyakan personal saving accounts by-default cuma dikasih transfer limit >> $3k per hari. >> >> - Kalopun lu bisa nebak tuh 5 digit dengan 100% accuracy (e
Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya.....
Yang dibicarakan di sini bukan sms banking. Yang dimaksud adalah: 1. User login ke internet banking, kayak BCA 2. Waktu mau transfer, muncul layar konfirmasi disuruh masukin "auth code" (kalau di BCA kan tinggal pencet keybca nanti keluar nomor) 3. Kalau auth codenya benar, maka transaksi diproses. auth code di sini ya cuma berupa angka saja yang digenerate otomatis / random, lalu dikirim ke nomor hp pemilik rekening waktu layar nomor 2 di atas muncul. Disadap? Kalau punya "auth code"nya tapi gak menyadap koneksi SSL (agak impossible, apalagi udah 128bit encryption) waktu si user pake internet banking, ya "auth code" nya gak ada artinya, sadap aja :-P Yang masalah sih network mobilenya unreliable. Di Aussie sini kayaknya belum pernah denger SMS terkirim lalu "hilang" hehe... walaupun bisa aja send ulang (generate nomor baru), kan gak lucu kalo user disuruh nunggu di layar nomor 2 sementara SMSnya masuk 1 jam kemudian (keburu expired sessionnya hehe). -Kurniady 2010/7/17 Reza Lesmana > > > Gw sih kurang ngerti ya sistem sms untuk banking ini bagaimana prosesnya > pada saat pengiriman oleh pihak bank sampai ke tangan customer, dan gw jg > belom ada (sama sekali) pengalaman menggunakan sms banking. > > Tapi, yang gw liat, byk customer gak( atau kurang ) percaya dengan sistem > sms karena beberapa alasan : > > 1. Masalah provider di Indo, dimana sistem SMS-nya kadang suka ngaco > (terutama klo jaringan lg gak beres). Jadi, takutnya malah SMS gak nyampe2 > lah atau gimana. Adanya unsur "ketidakpastian" user-interactivity yang > "SEGERA" saat itu juga. Tidak seperti di web atau atm, yang bisa saat itu > juga. > > 2. Karena problem di "KETIDAKSEGERAAN" ini, customer berpikir, klo misalnya > tiba2 dia ada masalah sms-nya gak sampe2, terus tau2nya sampe pada saat dia > tidak ada di depan HP-nya (misalnya, dipinjem temen), banyak yang takut > kejadian temen makan temen, hahahaha. Terutama bagi orang Indo, yang > security awareness-nya kurang tinggi sehingga menyebabkan PIN-nya > menggunakan nomor yang mudah diingat (dan mudah diterka), dan kadang2 bahkan > "BERBAGI PAKAI" PIN dengan pihak lain. > > 3. User yang "hanya sedikit" mengerti tentang security, khawatir karena > menganggap bahwa sms banking itu plain text (benarkah?), tanpa ada enkripsi > atau segala macem. Sehingga khawatir, disadap di tengah2 (MITM). Menurut > user tersebut, enkripsi dari internet banking membuatnya merasa lebih aman, > bahkan terhadap MITM. Ditambah dengan adanya token key, merasa jauh lebih > aman lg, meskipun tidak 100%. > > > > (one of these users is me, lol). > > Akhirnya, sampe sekarang, walau pun sudah daftar internet banking, sampe > sekarang saya sendiri masih "parno" dengan sms banking. And yet, I know that > it may be because I don't really know the system well enough to trust it. > > >
Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya.....
Gw sih kurang ngerti ya sistem sms untuk banking ini bagaimana prosesnya pada saat pengiriman oleh pihak bank sampai ke tangan customer, dan gw jg belom ada (sama sekali) pengalaman menggunakan sms banking. Tapi, yang gw liat, byk customer gak( atau kurang ) percaya dengan sistem sms karena beberapa alasan : 1. Masalah provider di Indo, dimana sistem SMS-nya kadang suka ngaco (terutama klo jaringan lg gak beres). Jadi, takutnya malah SMS gak nyampe2 lah atau gimana. Adanya unsur "ketidakpastian" user-interactivity yang "SEGERA" saat itu juga. Tidak seperti di web atau atm, yang bisa saat itu juga. 2. Karena problem di "KETIDAKSEGERAAN" ini, customer berpikir, klo misalnya tiba2 dia ada masalah sms-nya gak sampe2, terus tau2nya sampe pada saat dia tidak ada di depan HP-nya (misalnya, dipinjem temen), banyak yang takut kejadian temen makan temen, hahahaha. Terutama bagi orang Indo, yang security awareness-nya kurang tinggi sehingga menyebabkan PIN-nya menggunakan nomor yang mudah diingat (dan mudah diterka), dan kadang2 bahkan "BERBAGI PAKAI" PIN dengan pihak lain. 3. User yang "hanya sedikit" mengerti tentang security, khawatir karena menganggap bahwa sms banking itu plain text (benarkah?), tanpa ada enkripsi atau segala macem. Sehingga khawatir, disadap di tengah2 (MITM). Menurut user tersebut, enkripsi dari internet banking membuatnya merasa lebih aman, bahkan terhadap MITM. Ditambah dengan adanya token key, merasa jauh lebih aman lg, meskipun tidak 100%. > (one of these users is me, lol). Akhirnya, sampe sekarang, walau pun sudah daftar internet banking, sampe sekarang saya sendiri masih "parno" dengan sms banking. And yet, I know that it may be because I don't really know the system well enough to trust it.
Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya.....
Justru gw pikir token ngetrennya cuma di jkt, karna influence BCA. Di UK, AU, dan NZ (dan im sure most other countries), rata2 pake SMS (Bahkan *none* by default: Daily transfer lu cuma mentok $500, sampe lu register sms auth). Lagian buka reknya kan kebanyakan online, jadi ya naturally diverified nya instant (lewat email/sms), gak jauh beda dengan buka acc ebay ato gmail. Jarang yg pake2 token device di kalangan umum... walopun gw baru cek ternyata gw bisa upgrade ke token device kalo butuh extra peace of mind. Gw kirain bca ajah yg bikin2 trend-setter di jkt. Mungkin related dengan online-transaction yg statistically agak rawan di asia, jadi standardnya emang lebih ketat. 2010/7/16 Adelwin Handoyo > > > Actually... > Banking disini sih semua pake token... > Cuma di jkt ajah yang aneh kenapa BCA doang yang implement... > * > Adelwin Handoyo > *- adel...@gmail.com - > Sent from my Mac > > > -- > *From: *Hendry Luk > *Reply-To: *JUG-Indonesia > *Date: *Fri, 16 Jul 2010 14:05:27 +1000 > *To: *JUG-Indonesia > > *Subject: *Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya. > > > > Mungkin gw phrased it dengan jelek... Gw gak maksud nge-ditch otp. > Maksud gw, sms authentication sebenernya gak as vulnerable as it sounds... > Cuma gara2 bca pake otp device jadi ada tendency semua nasabah langsung > nganggap semua banking mesti pake otp, alternative laen gak secure. > Padahal it probably doesnt matter that much.. sms dah diconsider acceptably > secure, dan most banks emang cuma pake itu, gak pake sophisticated device > macem2. Otp biasanya cuma nongol di business banking. > > On Fri, Jul 16, 2010 at 12:13 PM, Adelwin, Adelwin > wrote: > > > > > > > Jadi gw sih gak terlalu liat manfaatnya otp device yg dipersenjatai dengan > brightest algorithms... Coding cupu dengan random-number + sms ajah dah > reasonably unbreakable buat kebanyakan personal banking, yang buat gw seems > to be solusi yg lebih logical dari sisi development cost maupun customer's > convenience. > > > Well… luckily they don’t think so… > Otherwise.. I’d soon be out of job… > Hahahhaha > Namanya juga di bank… > Innovation is waaa down the list… > Security is of the utmost importance… > Mau dobel2… mau redundant… mau most of the times useless… tetep pasti ada… > Buat mereka rule 80-20 ituh gak ngaruh… > Die apply 20% of the security that they “could have” placed to serve 80% of > their customer… > They just don’t work like that… > Mereka akan coba push sebisa mungkin… at all cost(I’d know)… supaya bisa > sedekat mungkin sama 100%... > Bagi lu mungkin aahh gak penting lah ginian… > 90% of the time juga pasti secure lah… > Lagian sapa mau ambil duit gue… > Duit gue mah itungan nya receh buat konglomerat gitu… > Tapi konglomerat juga nabung disono… > Mereka harus protect duit die… and yours along with it… > 10% off chance bahwa itu akan “gak” secure… well they just cant live with > that… > Don’t be so quick to dismiss things… > Ini kerjaan gue inih… > Gue cari makan dari sini… > Banking… > I would know… > > > > > > *Adelwin Handoyo | Senior Consultant - Wholesale Bank > **Standard Chartered Bank > *7, Changi Business Park Cresent, Level 3. Singapore (486028) > *T* : (65) 659 61395 |* **E* adelwin.adel...@sc.com > > > > -- > > *From:* jug-indonesia@yahoogroups.com [ > mailto:jug-indonesia@yahoogroups.com ] *On > Behalf Of *Hendry Luk > *Sent:* Thursday, July 15, 2010 9:11 PM > > *To:* jug-indonesia@yahoogroups.com > *Subject:* Re: [JUG-Indonesia] Teknologi yg mirip ama klikbca kyknya. > > > > - secure-random sih dah bagian standard library di most programming > languages.. > > - dengan predictably random pun, berapa likely sih buat nebak 5 digit > correctly dalam 2 kesempatan? Chancenya dwarfs the risk.. mengingat > kebanyakan personal saving accounts by-default cuma dikasih transfer limit > $3k per hari. > > - Kalopun lu bisa nebak tuh 5 digit dengan 100% accuracy (e.g. sniff sms > packet), u'll find it hampir mustahil buat exploit tuh account tanpa expose > identity lu. IP lu kan ditrack, dan lagian lu bakal transfer tuh duit ke > rekening siapa? > > Makanya biasanya kita kan gak butuh masukin sms code lagi kalo ngirim ke > rekening yang dah pernah kita kirim sebelomnya kalo cuma $1k or less. Jadi > gak ngerepotin tiap mo transaksi mesti masukin token-code lagi kalo toh > rekening tujuannya dah kita kenal (Kalo tuh orang malingin lu, gampang > ketangkep). > > Kalo lu jadi maling sih daripada ngebobol bank account, lebih banyak bigger > fish yg bisa lu tangkep dengan significantly less effort. Credit-card hampir > gak ada security apapun. Semua call-center agents yang lu bacain nomer > credit-card lewat telpon, mereka langsung posses all the required info buat > ambil duit lu (gak ada one-time password). Hampir semua IT staff yg kerja > most online retail shop bisa dengan gampang baca semua credit-card > information di sistem mereka. > Tapi tetep ajah gak gampang bu
