Kelakuan Internet Provider Indonesia dan HTTPS

Coba sebutkan beberapa Internet Service Provider di Indonesia yang anda kenal. Tentu kita mengenal provider besar nasional seperti Telkom beserta anaknya : Telkomsel, ada XL, Indosat, 3, dan lain sebagainya. Disamping provider nasional, ada juga provider-provider di daerah masing-masing. Dari sekian banyak, mana yang pernah anda pakai, dan bahkan masih aktif dipakai sebagai pilihan utama? Lantas pernahkah anda benar-benar cek validasi data yang masuk ke dalam browser anda saat browsing?

Dalam catatan saya, ternyata sebagian besar provider nasional berbasis seluler, plus Telkom, benar-benar memaksimalkan untuk keuntungan mereka hingga level data. Sebagai contoh adalah Speedy. Telkom Speedy sengaja melakukan inject script dalam data yang dikirim antara server web ke browser.
Apa efeknya? Efek yang muncul adalah : kadang halaman menjadi rusak, karena beberapa elemen script tertimpa oleh script tambahan Telkom.
Apa gunanya? Gunanya adalah keperluan statistiknya Telkom plus potensi memata-matai data yang diakses oleh tiap user. Gambar berikut adalah contohnya:
script_inject_telkom

Script yang diapit tag “script” tersebut adalah sebuah bukti bahwa halaman kita diinjeksi oleh pihak Telkom untuk keperluan mereka.

Sah? Karena tidak ada kesepakatan khusus, ya sah saja, sekalipun hal ini memang sangat tidak etis. Tapi sepertinya bisnis provider tidak perlu berpikir etis atau tidak :D

Hal demikian juga muncul pada halaman yang dibuka dengan operator seluler lainnya. Tercatat Telkomsel dan Indosat yang saya gunakan juga melakukan hal yang sama. Indosat lebih parah, menampilkan iklan pada halaman google yang saya buka. Terang-terangan. Sayangnya saya belum sempat capture. Akan saya update pada kesempatan lain.

Bagaimana dengan telkomsel? Berikut capturenya

http_telkomsel1

Ini adalah kasus ketika saya membuka halaman Google, berarti google sebagai webserver, dan saya sebagai client. Dari halaman ini terlihat jelas bahwa seluruh halaman google akan diperlakukan sebagai iframe dari halaman telkomsel itu sendiri. Kecurigaan ini muncul karena saya melihat dua scrollbar di sisi kanan.

Akibat lain dari injeksi script ini, tentu selain halaman bertambah besar karena diisi script, ternyata Telkomsel juga membongkar kompresi data yang dibuat oleh server (google). Dibongkar kompresinya, diberikan tambahan script sesuka Telkomsel, kemudian diberikan kepada client dalam kondisi tidak lagi terkompresi. Tak ada risiko buat Telkomsel. Yang ada ya untung besar.

Berikut capture lain terkait size dan header info yang ada pada halaman browser.
http_telkomsel

Gambar diatas jelas sekali bahwa pada header tidak memuat kondisi gzip atau deflate pada Content Encoding di Response Header yang seharusnya ada untuk memperingan / memperkecil transfer rate data di jaringan.

Lantas, perhatikan pada gambar ini :

http_telkomsel2

Hasil ini dianalisa dengan menggunakan tools Google Chrome inspect element. Dari sini terlihat jelas besaran data yang didownload oleh browser kita untuk halaman tersebut.

Beberapa forum saya dapatkan telah berusaha membuat cara menanggulangi hal ini. Namun sepertinya hal ini tidak efektif. Lantas adakah cara yang terbaik untuk menangkal hal ini? Ada. Salah satu cara adalah menggunakan HTTPS. Berikut beberapa hal tentang HTTPS.

  1. HTTPS adalah singkatan dari HTTP Secure
  2. Dikatakan secure karena data transfer antara server ke browser dilakukan secara terenkripsi, sehingga mampu mencegah para maling membajak data dan menginjeksi sesuatu dalam halaman web.
  3. HTTPS adalah layanan yang diberikan oleh server. Sehingga server harus menyediakan layanan tersebut. (Lho kok bimosaurus.com belum? Iya iya, besok saya buat)
  4. Transfer data bank, dan data-data transaksional lainnya menggunakan HTTPS sebagai langkah aman.
  5. HTTPS membutuhkan SSL Secure Socket Layer sebagai langkah enkripsinya. SSL sebagian besar berbayar, namun banyak juga yang bersifat community
  6. Dengan HTTPS, diharapkan provider tidak lagi membongkar gzip dan deflate yang membuat transaksi data menjadi boros quota.

Berikut beberapa perbandingan antara gambar-gambar di atas yang menggunakan HTTP, dengan HTTPS.
https_telkomsel1

Perhatikan gambar di atas, bahwa script ads telkomsel telah tidak lagi ada.

https_telkomsel

Perhatikan gambar di atas, bahwa gzip dan deflate sudah muncul, sehingga dapat dipastikan konten gzip aman tidak dibongkar. (Content Encoding pada response header)

https_telkomsel

Yes, selisihnya adalah 0.1 MB untuk halaman ini. Dari 3.99 menjadi 3.89.

Lantas bagaimana cara membentuk HTTPS? Pada umumnya situs-situs besar seperti google, yahoo, apalagi yang email, internet banking, pasti sudah memanfaatkan fitur ini, dan mengarahkan halaman web untuk mengakses https ketimbang http. Untuk tutorial HTTPS server, tunggu saja artikel selanjutnya.

Sekian ulasan ini.. Saya mau tidur

SSH Tanpa Password dengan Authentication Key

Kadang, karena suatu kebutuhan, dibutuhkan akses SSH tanpa password. Kebutuhan-kebutuhan itu antara lain :

  1. Auto SSH antar server
  2. Auto SCP antar server
  3. Pembentukan SSHFS untuk keperluan mounting data dari satu direktori di satu komputer, agar dapat dijadikan sebagai direktori bagi komputer lainnya.

Secara default, proses SSH sendiri tidak bisa dilakukan tanpa password. Jadi jika dibuat satu akun tanpa password (password kosong) kemudian dilakukan akses SSH ke akun tersebut, tidak akan berhasil. Satu-satunya cara adalah : membuat authentication key dari satu server, yang kemudian dikenali di komputer yang lain.
Continue reading “SSH Tanpa Password dengan Authentication Key”

Asal-usul Hari System Administrator

Ada artikel menarik dari literatur sebelah:

Apa itu SysAdminDay

Dalam dunia IT terutama di kalangan komunitas, dikenal sebuah hari yang dinamakan SysAdminDay atau hari System Administrator. System Administrator adalah sebuah profesi dalam bidang Teknologi Informasi dengan deskripsi pekerjaan menangani sistem komputer, mulai dari hardware, software, jaringan atau network, Operating System, server, web, database, virus, gangguan komputer, dan sejenisnya. Hari System Administrator ini telah dimulai sejak tahun 2000 yang dimulai dengan adanya iklan pada sebuah majalah Hewlett-Packard, yang menyarankan memberikan bingkisan pada orang yang telah memperbaiki sistem komputer kita. SysAdminDay diletakkan pada sebuah hari Jumat terakhir pada bulan Juli, yaitu sebuah hari terakhir bekerja pada bulan Juli, yang di Amerika termasuk bulan yang paling sibuk untuk seorang System Administrator. Hari itu, dianjurkan diberikan penghargaan bagi para System Administrator. Hari itu disebut SysAdminDay, atau disingkat SAD, atau SAAD (System Administrator Apreciation Day). 

System Administrator ini pada umumnya memiliki meja kerja dekat dengan gagang telepon, siap menerima telepon setiap saat, baik telepon dari teman-temannya maupun telepon dari client perusahan tempat dia bekerja. Semua memiliki nada sama : melakukan permintaan / request tentang system. Hardware rusak, IP address conflict, virus, serangan web, flooding, gangguan jaringan, DOS, data rusak, hardisk rusak, listrik mati mendadak, resiko petir adalah pekerjaan tiap hari dari seorang system administrator sebagai seorang yang menjaga seluruh sistem dari accidental risk.
saad

Menyiapkan mitigasi disaster di bidang teknologi informasi pada lingkungan pekerjaannya adalah tugas seorang System Administrator. Menyiapkan sistem backup, melakukan rsync, mengusulkan update UPS, mempersiapkan genset, melakukan setting NAS server, melakukan monitoring jaringan, lembur di kala karyawan lain tertidur untuk melakukan pemantauan traffic web adalah tanggung jawab para system administrator. Menyiapkan topologi datacenter, merancang cabling, melakukan perapian kabel, adalah tugas yang semestinya dilakukan oleh system administrator.
IMG_20150728_064223

Kadang, sysadmin sebagai seorang manusia biasa, harus bekerja trial and error, mencoba dan selalu melewati kegagalan. Dia mencoba dan gagal, hingga akhirnya menemukan metoda suksesnya sendiri. Kadang, seorang sysadmin yang menjadi tumpuan curhat komputer teman-temannya, adalah seorang yang sangat ahli mendengar curhat temannya. Saat dia tidak bisa, setidaknya dia adalah seorang pendengar yang baik.

Happy #SysAdminDay July 31, 2015

Reblog dari http://tekno.ensiklo.com/asal-usul-hari-system-administrator/

[Tips] Menambahkan Module dbase pada PHP-5.4

Module dbase, digunakan oleh PHP untuk mengerjakan file-file bertipe DBF. Biasanya merupakan obyek yang dikerjakan oleh bahasa pemrograman Foxpro. PHP sebelum 5.3 justru telah dilengkapi paket installasinya untuk keperluan dbase ini. Setelah muncul PHP-5.3 justru bawaan dbase ini dihilangkan. Pada PHP sebelumnya, cara installasi PHP dbase adalah dengan cara
Continue reading “[Tips] Menambahkan Module dbase pada PHP-5.4″

Konsep LISTEN dalam network service

Layanan jaringan ( network service ) seperti web, database RDBMS, ssh, dan lain sebagainya, menganut mazhab konsep client-server. Client artinya peminta / pengguna layanan, dan server adalah penyedia layanan. Antara client dan server memiliki kesepakatan melalui sebuah jalur virtual yang dinamakan protokol. Protokol tersebut dilambangkan dengan angka port. Angka port yang tersedia adalah 1-65535. Beberapa jalur populer / penting telah diregisterkan memiliki port default seperti :

Web / HTTP port 80
SSH port 22
telnet port 23
FTP port 21
https port 443

dan lain sebagainya.

 
Continue reading “Konsep LISTEN dalam network service”

Tentang NOHUP

Perintah nohup adalah sebuah perintah dalam Linux yang sangat berguna. Banyak para administrator dan operator Linux masa kini tidak faham mengenai nohup. Perintah nohup memiliki fungsi untuk menjalankan perintah linux, yang akan tetap berjalan sekalipun sang user pengeksekusi telah logout. Perintah nohup ini biasanya juga akan digabungkan dengan & yang artinya menjadikan eksekusi itu berjalan dibalik layar dan tidak mengganggu konsole aktif kita.

Misal kita memiliki perintah

Saat proses download tersebut, ketika user logout, maka perintah akan berhenti. Lain halnya dengan

Selain kita tetap mendapatkan command prompt aktif dalam Linux. Selamat mencoba

[Contoh] Mendesain Halaman Comment Posisi Terbalik dengan JQuery .insertBefore()

Seperti artikel sebelumnya, contoh yang digunakan adalah halaman untuk web chat. Namun disana, halaman yang dibuat adalah dalam bentuk Chronological atau berurutan sesuai waktu, dan yang akan terbaru akan ditempatkan paling bawah. Sedang jika kita melihat beberapa situs, menempatkan komentar terbaru ada di paling atas. Untuk itu, kita dapat menggunakan fungsi JQuery .insertBefore untuk melakukan generating halaman ini.
Fungsi JQuery .insertBefore berguna untuk melakukan penambahan elemen pada SEBELUM sebuah elemen lain. Dengan demikian elemen baru yang datang, akan muncul diatasnya. Misal kita memiliki script sedemikian : Continue reading “[Contoh] Mendesain Halaman Comment Posisi Terbalik dengan JQuery .insertBefore()”