Salah satu caranya ya kirim tentara yang banyak (jangan lupa, sebelumnya bikin dulu acara-acara soal “weapon of mass destruction”, “preemptive” dan sebagainya itu), dar-der-dor sebentar, ganti pemimpinnya dengan “staf” sendiri.
Cara ini, walaupun efektif, tapi purba dan mahal. Musti dianggap sebagai last resort. Ya, sebenarnya ada cara yang lebih elegan. Teknik lama sebenarnya, tapi ampuh. Begini kira-kira:
(Read the rest…)
Seminggu yang lalu, ada whitepaper menarik tentang teknik baru di dunia pervirusan: XSS virus. Masuk akal juga sih kalau memperhatikan proof-of-conceptnya. Dan bisa gawat karena XSS kayaknya sudah jadi bolong yang paling common, jauh sebelum CERT mengeluarkan advisory di awal tahun 2000. Bahkan sampai kini, kita masih bisa temukan bolong itu di Yahoo!, Amazon, Microsoft dan banyak situs bluechip lainnya - walaupun tentu exploitasinya masih perlu jurus kungfu tersendiri (saya pernah nulis sedikit tentang ini di Bugtraq - masih ada?).
Tepat hari ini, sudah ada beritanya di Beta News, kasus MySpace (bisa lihat codenya di sini). Weleh, weleh… nggak tahu bisa secepat itu.
Anak kadang-kadang… emm, kerapkali, bikin kesal. Dilarang A, malah melakukan A. Disuruh B, mengerjakan C.
Anak-anak berkembang, kita tahu. Tadinya merangkak, sekarang sudah bisa bersepeda. Tadinya cuma bisa ngomong 2 kata, sekarang jadi tukang debat ibunya. Secara fisik, kita lihat betul perkembangan itu. Tapi apa yang tidak tampak secara fisik, itu yang kita nggak begitu paham. Misalnya (hasil baca-baca di EarlyChildhood.com):
(Read the rest…)
Ada rahasia yang banyak orang masih nggak tahu: it’s relatively easy to break password. Sebagai contoh, ada satu program yang bisa buka Word doc saya yang berpassword “andalus1a”… nggak lebih dari 10 menit!
Barangkali itu sebabnya banyak para system-administrator memaksa para usernya untuk mengikuti Mordac’s Rules:
All passwords must be at least six characters long, include numbers and letters, include mix of upper and lower case, use different password for each system, change once a month, do not write anything down…
Paranoia! Lihat, di sini klimaksnya: “do not write anything down…” Tapi di sini juga letak trade-offnya:
(1) gampang nggaknya diingat
(2) kebutuhan untuk mencatat
Antara (1) password yg gampang diingat tanpa write it down, dengan resiko gampang dibrute-force orang lain; atau (2) password yg susah diingat, write it down, tapi dengan resiko Post-It kita akan kebaca orang lain.
Tapi coba deh pikir, di antara dua resiko itu, mana sih yang lebih gampang disecure? Lebih mudah sih mengamankan “Post-It” ya? Taruh di laci meja. Kunci. Beres. Atau, kalau memang authority kita nggak tinggi-tinggi amat, simpan aja di dompet! Sementara untuk resiko dibrute-force? Mana bisa tuh kita mengontrolnya? Satu-satunya cara ya bikin password yang “at least six characters, include numbers…” dan bla-bla-bla itu.
So, buat regular users, setuju sama anjuran Pak Jesper: bikin password yang rada susah. Tulis. Simpen di dompet!
Sementara buat geek members… yah, mereka udah terlalu kreatif. Mereka bisa pake password manager semacam PasswordSafe (yup, it’s free!). Mereka kepikiran bikin password “YW@tun6^4r1foo” untuk Yahoo!, “AW@tun6^4r1fon” untuk Amazon… Mereka bisa bikin script AES atau Blowfish sendiri untuk encrypt/decrypt koleksi passwordnya di flashdisk (and randomly generated!). Cukup, cukup. Nggak usah dipikirin…
“Watung, it’s all about framework. Everything else is just syntax!” Setuju, dua-duanya mengakses class yg sama dan outputnya berupa IL-code yg juga nggak beda, bahkan dua-duanya bisa dibikin di satu IDE. Secara interaksi dengan sistem, nggak ada masalah. Tapi kalo kita bicara interaksi programmer-to-programmer (teamwork misalnya), kasusnya bisa lain.
Bayangkan, salah satu C-Sharper kita cuti atau sakit, para VBers yg lain ketika debug code di component milik C-Sharper menemukan yg seperti ini:
for(int i=11; i>0; i–){
if (x==0 || y==0)
return x==y?dbTrue:dbFalse;
};
Agak ruwet buat para VBers yg belum pernah nyentuh C. Coding-convention yg dianut biasanya juga language-specific. Belum lagi di beberapa Agile-method (seperti Extreme Programming) yg mensyaratkan peer code-review dan interaksi programmer-to-programmer yg ketat, menulis dengan satu bahasa bisa dibilang a-must!
So, kalo coding sendirian (buat belajar sendiri misalnya), terserah mau mix C# atau VB. Tapi begitu barengan di team, sebaiknya satu bahasa, terserah yg mana, team-preference. (Language-converter juga nggak akan trivial, nggak akan sa’drek sa’nyet langsung jadi). Tapi yg mana? Menurut saya sih, yg paling banyak diakrabi di team, yg paling banyak code-snippetnya di Internet… intinya: yg paling familiar dan paling besar supportnya secara team. Gitu?
Main weblog feed
Recent comments
