MyClicks..

Hari ini, aku ingin kongsi sedikit tentang pembangunan sistem. Ehehe, orang IT la katakan. Kat opis Unit aku menggunakan JSP so hari ini aku ingin kongsi tips mengenai JSP kat korang. Tapi skill programming aku x hebat dan ini bukan tips programming lagipun.

Ok…Biasanya dalam membuat sistem berasaskan web seperti JSP dan juga beberapa bahasa yang lain seperti ASP, PHP, CFM dan bnyk lagi. Sistem perlu menghantar URL dalam bentuk query untuk menghantar parameter ke page seterusnya. Sebagai contoh : www.systemaku.com/loadUser.jsp?ID=123&transactID=123&view=p

Menghantar query parameters seperti itu membahayakan sistem yang anda bangunkan. Dan user yang bijak boleh mengeksploitasi sistem daripada lubang-lubang yang ada. Oleh itu untuk meningkatkan keselamatan dan integriti sistem, query perlulah dalam bentuk yang telah dienkripsikan.

Sebagai contoh url yang sama tadi boleh diencrypt sebagai : www.systemaku.com/loadUser.jsp?_tq=e673157e07a56ab863f5fe7177e0ee7b

Persoalan sekarang macam mana nak buatnyerr? hehe. X yah susah2 nk wat logik enkripsi. Walaupun korang seorang programmer yang terer yang amat. Dengan zaman yang bergerak dengan pantas ni, kita perlu mengambil jalan pintas sekiranya ada bukan? hehe. Untungnya menggunakan JSP ni, kita boleh import JAR yang dibuat oleh individu lain sebagai library ke dalam sistem yang kita bangunkan.

Aveda Technology dengan bermurah hati membenarkan sebarang pihak menggunakan Encryption MD5 mereka yang dikenali sebagai QueryCrypt. Dengan sedikit pengalaman pengaturcaraan seseorang itu insyaAllah dapat membuat enkripsi ke atas sistem mereka.

Langkah-langkah serta fail jar yang berkaitan boleh la korang tengok pada laman web mereka.

Alhamdulillah, selama lebih kurang 6 tahun menggunakan servis perbankan internet atau pembelian secara online, aku belum pernah lagi tertipu atau ditipu. Tetapi kini pelbagai cara digunakan oleh perompak cyber ini untuk cuba untuk menipu pengguna perbankan internet. Antaranya adalah Phishing. Walaupun bunyinya hampir-hampir seperti fishing, tapi tiada kaitan pon dengan memancing. Phishing adalah satu laman web yang menyerupai seakan-akan laman web perbankan bank tertentu, untuk tujuan mengambil id dan password pengguna yang tertipu. Daripada wikipedia, phishing bermaksud :

In the field of computer security, phishing is the criminally fraudulent process of attempting to acquire sensitive information such as usernames, passwords and credit card details by masquerading as a trustworthy entity in an electronic communication.

Terdapat juga percubaan untuk menipu dengan menghantar emel kononnya daripada bank yang berkenaan mengenai masalah bank dan lain-lain.  Sebagai contoh, emel berikut diterima oleh rakan yang kononnya datang daripada Maybank:

Dear Maybank customer,

We are hereby notifying you that we’ve recently suffered a DDos-Attack on one of our’s Online Banking server. For security reasons you must complete the next steps to verify the integrity of your Maybank account. If you fail to complete the verification in the next 24 hours your account will be suspended.

Here’s how to get started:

1. Log in to Maybank online account (click here).

2. You must request for TAC via Maybank online banking – your TAC will be sent via SMS to the mobile phone number you registered.
( you can find the “Request a TAC” button in the Utilities menu of your account )

3. Logout from your account and close the browser.

4. When you have received the TAC (Transaction Authorization Code) on your mobile phone, go to our secured verification server and submit the requested information (Username, password and TAC). (click here) to go on our secured server.

5. Please allow 48 hours for processing.

Please comply and thanks for understanding.

© 2001-09 Maybank. All rights reserved.

***This is an automated message, please do not reply***

Jadi disini, aku ingin kongsi langkah-langkah berjaga-jaga yang perlu diambil untuk memastikan anda pengguna perbankan tidak terpedaya dan tertipu dengan penjenayah cyber yang cuba mengambil kesempatan atas kelalaian pengguna itu sendiri.

Ingat!! :

1) Jika anda menerima emel daripada Bank anda, tidak perlu membacanya terus delete sahaja kerana bank tidak akan menghantar emel mengenai hal-hal yang penting, bank akan terus menelefon anda atau akan menghantar surat, atau kepada anda. Bank juga tidak melakukan sebarang promosi melalui emel. Jadi ingat terus delete sahaja jika menerima emel daripada pihak bank (kononnya)

Read more…