Previously you can customize some parts of your Gmail with Greasemonkey and thousands of its user-generated scripts made available at Greasemonkey Repository. With Greasemonkey you can have Gmail on top of your Google Reader at the same page (which i really adore). Note that all these third party scripts and hacks are not officially supported.

Now, want to know how it feels writing an e-mail in the late 1970s while the green nasty monochrome monitor and cabinet-high system unit were still widely used?

The downside is, we can’t insert quote to make an exact search term. Njouba is escaping it away by backslash. It’s also not accurate in refining keyword. You can see the result below.

After all, it’s fun to know searching is not only Google, Yahoo or 100 Useful Niche Search Engines that you might never heard of. Find and Download Evrything? Go to Njouba!

Step 1:
Hit LeechVideo website

Step 2:
Enter the Video URL you wish to download

Step 3:
Grab the Video URL and paste it to your download manager of choice or better yet, DownThemAll!

Easy and clean way of downloading video, doesn’t it? You may also want to check out KeepVid.

1. Firefox 3 is out!
Yes, the awaited and widely acclaimed web browser is back! After more than 8 million downloads in 24 hours finally the fox reached more than its targeted 5 milion downloads, putting Mozilla’s server to the test by going through 14,000 downloads/minute. The achievement is to be recorded in Guiness Book of World Records. Not sure when it’s going official, but I’m really happy for it. Here’s Mozilla’s download counter. Anyway, Indonesia initiated ~47,000 downloads.

However, not all is good news. It’s reported that 5 hours after the launch a security vulnerability was found by Zero Day Initiative. Some people are speculating that the vulnerability was intentionally made public on that particular day for the benefit of ZDI. Robert Accettura’s post has something for us to ponder.

2. YMail
If you don’t own a proper address with @yahoo.com, now it’s time for you to grab a new @ymail.com or @rocketmail.com from Yahoo!

Come on, grab it while it last!

3. IPhone 3G
IPhone 3G is now packed with HSDPA, Exchange support, maps and GPS! For those who own IPhone prior to this could upgrade via IPhone 2.0 software update.

The $199 price seems to good to be true. Yes, I know the phone is to be purchased with a minimum 2 years contract with provider. Is it really that cheap? Bah, an initial unlocked IPhone in Indonesia (Medan) is still draining your wallet for ~$600. Gizmodo helps us calculating the real price.

Jangan remehkan serangan CSRF! Serangan ini lebih berbahaya dari XSS dan sulit untuk membuktikan siapa yang bermasalah, pengguna atau situs web.

CSRF (baca: sea surf) adalah serangan/exploitasi terhadap situs web dengan memanfaatkan pengguna yang sudah terautentikasi. CSRF mengexploitasi tingkat kepercayaan situs web terhadap pengguna dan menganggap setiap perintah adalah sah untuk dijalankan. Karena sifat inilah sangat sulit untuk menentukan sebuah aksi adalah murni dari pengguna atau karena kelemahan CSRF di situs.

Perbedaan XSS dan CSRF
Banyak yang salah dengan menyamakan XSS (Cross Site Scripting) dengan CSRF. XSS memerlukan penyerang untuk menginjeksi perintah ke dalam situs web agar dijalankan langsung ketika pengguna mengakses melalui web browsernya. Inti perbedaannya, XSS mengexploitasi sisi client (melalui web browser) sedangkan CSRF mengexploitasi sisi server (situs).

Sebagai contoh anda memasuki sebuah forum diskusi dan login untuk mendapatkan hak pengguna. Ketika anda sedang membaca thread tertentu terdapat kode perintah berikut di dalam post (hanya contoh)

<IMG SRC=http://forum.tld/index.php?action=newthread?subject=Kata2kasar&body=Kalimatjorok&submit=1>

Browser menerjemahkan tag <IMG> dan menjalankan perintah tersebut tetapi akibatnya setiap user (termasuk anda) yang aktif akan memposting thread baru dengan kata kasar dan kalimat jorok. Situs menganggap andalah yang memberikan perintah tersebut untuk dijalankan (karena sudah terautentikasi sebagai pengguna). Biasanya kode perintah tersebut akan disamarkan di dalam tag <IMG>, <IFRAME> atau <SCRIPT> agar otomatis dijalankan tanpa perlu interaksi pengguna untuk mengklik link. Selain memanfaatkan session aktif, pengguna yang terbiasa dengan fitur “Remember Me” secara tidak sadar menyimpan autentikasinya (dalam bentuk cookie) juga sangat rentan terhadap bahaya ini.

Pemanfaatan dan Kemungkinan Serangan
Pemanfaatan CSRF bervariasi tergantung tingkat pengetahuan si penyerang akan situs rentan dan kehendaknya. Beberapa kemungkinannya sebagai berikut:

1. Mengganti password e-mail korban, informasi akun atau melakukan logout
2. Korban “membeli” barang dari situs belanja kesayangannya
3. Korban melakukan transaksi keuangan tanpa disadari
4. Korban melakukan voting terhadap polling situs web tertentu dengan pilihan yang sudah diatur si penyerang
5. korban melakukan posting terus menerus di forum atau situs web interaktif (DoS)

Kemungkinan serangan juga tidak hanya memanfaatkan web browser tetapi bisa juga melalui dokumen Word, animasi Flash, RSS/Atom, aplikasi yang berkemampuan XML atau media lain yang berkemampuan scripting dan “internet-ready”. Sebagai contoh ketika korban memeriksa e-mail dengan browser dan secara bersamaan browsing situs lain dengan animasi Flash (yang disisipi perintah menghapus daftar kontak) di dalamnya. Korban secara tidak sadar saat itu juga telah menghapus semua daftar kontak e-mailnya.

Pencegahan di pihak server
Tidak ada solusi efektif yang sepenuhnya mencegah CSRF. Untuk meminimalkan bisa dengan cara memberlakukan pemeriksaan HTTP referer, menetapkan waktu session yang singkat (misalnya 8 menit), atau memaksa regenerate session (login kembali/input CAPTCHA) untuk aksi penting di situs seperti beli barang atau ganti password.

Memeriksa HTTP referer bisa mencegah CSRF melalui e-mail namun tidak bila pengguna aktif dengan web browsernya. HTTP referer juga bisa dipalsukan sehingga cara ini hanya memperlambat.

Cara lain yang sederhana tapi cukup efektif adalah memberlakukan token unique per session yang disimpan di database. Misalnya:

http://belanja.tld/formbelanja.php?token=aX1ir32mnP

Permasalahannya, penyimpanan secret token ini akan memberatkan server terutama saat banyak orang mengakses secara bersamaan. Namun apabila disimpan dalam bentuk cookie di web browser maka penyerang akan mencoba memanfaatkan kelemahan XSS untuk mencurinya. Situs web yang rentan XSS akan melahirkan ancaman CSRF. Oleh karena itu amankan situs dari kelemahan XSS terlebih dahulu. Serangan CSRF terhadap situs jaringan sosial MySpace juga memanfaatkan kelemahan XSS yang ada, di mana setiap pengguna otomatis “add friend” menjadi teman dari si penyerang yang untungnya tidak bermaksud jahat. Bayangkan bila hal ini dimanfaatkan untuk kampanye politik untuk menarik sentimen masyarakat umum?

Pencegahan di pihak pengguna
Jangan mengandalkan fitur “Remember Me” dalam memakai layanan di internet. Jangan menampilkan e-mail dalam format HTML bila anda menggunakan e-mail client. Jangan menyimpan password dalam web browser, apapun alasannya! Selalu Logout dari situs web setelah selesai menggunakan layanannya dan hapus semua jejak (History, saved password, cookies dan authenticated sessions) di browser. Bukalah 1 tab browser dalam satu waktu bila melakukan transaksi keuangan atau layanan penting lainnya dan jangan tergoda untuk multi-tab browsing situs lain bersamaan. Ingatlah bahwa “Keamanan selalu berbanding terbalik dengan kenyamanan”.

—
Referensi:
1. http://en.wikipedia.org/wiki/Cross-site_request_forgery
2. www.cgisecurity.com
3. http://www.0×000000.com/

And then, The Spanner showed us an XML Injection POC. Vulnerable browsers are Firefox and Opera. Hope they’re fixing it on the next release. Surprisingly, IE7 is NOT vulnerable.

The concept proves that XML is exploitable. Possibilities of cookie stealing and/or redirecting to evil site.

Here’s the code:

Screenshot of XML Injection in FF2, Opera and IE7

You can start typing “http://www.yourblogguy.com/wp-content/plugins” and voila! You can see all plugins he might be using.

The reason you can see his plugins is because the .htaccess is not set to disallow directory browsing (without index file). It’s always best practice to keep all backend files hidden from the world.

To remedy this situtation is simple. Either you place your blank “index.html” or go edit your .htaccess file by placing “Options -Indexes”

PS: Seems like someone has posted this matter long before I do

Update 20/09/07:
Wordpress.org – Hardening Wordpress

Wiki adalah sebuah fenomena, sebuah aplikasi web yang memberikan kebebasan kepada setiap orang untuk berkontribusi bersama-sama menambah, mengedit atau menghapus isi di dalamnya. Sebuah situs web wiki adalah sebuah situs web biasa. Yang membedakannya adalah kemudahan membuat halaman dan mengeditnya, kemampuan melihat perubahan halaman (recent changes) dan mengembalikannya ke versi sebelumnya (revert) dan juga keamanan berupa ACL (Access Control List). Seperti papan tulis, seseorang bisa menulis informasi ke dalamnya dan selanjutnya informasi tersebut bisa disempurnakan oleh orang berikutnya sampai papan tulis tersebut dianggap telah memiliki informasi yang cukup sempurna untuk bisa dimanfaatkan semua orang. Anda juga bisa membatasi hanya orang-orang tertentu saja bisa mengedit dan menghapus informasi di papan tulis.

Perusahaan besar seperti Adobe, Nokia, Yahoo, Apache dll. menggunakan wiki untuk mendukung kinerja perusahaan. Terutama untuk pertukaran informasi dan knowledge base.

Teamwork lebih baik dengan Wiki
Kebanyakan perusahaan masih menggunakan e-mail untuk kordinasi kerja. Sesama karyawan saling mengirimkan e-mail untuk hal seperti jadwal meeting, slide presentasi, strategi marketing, daftar harga dll. Tidak ada dokumen yang tersentralisasi. Bila manager merevisi suatu dokumen maka dia harus mengirimkannya kepada semua kantor cabang dan bawahan. Masalahnya bagaimana karyawan tertentu bisa mengetahui bahwa dia mendapatkan versi terbaru dari semua itu? Bila 100 orang karyawan saling mengirimkan e-mail satu sama lain untuk “kordinasi” yang terjadi adalah sebuah bencana. E-mail sangat buruk untuk kordinasi kerja, terutama masa sekarang di mana trend kerja mobile, bekerja di mana saja.

Bagaimana wiki bisa membantu? Masih ingat analogi wiki sebagai papan tulis? Perusahaan “X” bisa menggunakan wiki sebagai situs intranet yang live 24 jam 7 hari seminggu di internet. Menyajikan resource/sumber daya yang dibutuhkan oleh setiap karyawan perusahaan untuk produktivitas dan efisiensi yang diinginkan. Daftar harga, daftar langganan, jadwal meeting, budgeting, SOP semuanya terkumpul dalam satu titik dan selalu dalam update terbaru!

Manager Marketing di kantor pusat menetapkan dan menuliskan strategi marketing terbaru di wiki untuk dijalankan di tahun ini. Sayangnya Manager Marketing di daerah Makassar menemukan strategi tersebut tidak bisa ditetapkan di daerahnya karena sudah dilaksanakan sebelumnya dan kurang berhasil. Dia menambahkan informasi di wiki bagaimana sebaiknya melakukannya kampanye marketing di daerahnya (yang sudah berhasil) dan mungkin bisa dijalankan di daerah lain untuk brand awareness yang lebih baik.

Project Manager yang selalu dipusingkan dengan pertanyaan yang sama dan permintaan dokumen yang berulang-ulang. Akhirnya dia memutuskan untuk menjawab pertanyaan dengan menuliskannya di wiki. Dokumen Word yang sering diminta di lampirkan di halaman wiki khusus departemen produksi misalnya. Dia juga mengunakan wiki untuk berinteraksi dengan pelanggan. Pelanggan melakukan login dan mengisi halaman “Client_Project” dengan yang mereka inginkan. Project Manager menambahkan status project yang berjalan, estimasi cost dan kalkulasi resiko.

Staf administrasi mencatatkan nama calon pelanggan untuk didekati Budi, staf marketing. Ternyata beberapa calon pelanggan tersebut sudah ada yang menjadi pelanggan. Budi kemudian mengedit dan menghapus nama dari “Calon pelanggan” dan menambahkannya ke “Daftar Pelanggan” beserta informasi pendukung lainnya.

Para manager menggunakan wiki untuk membuat agenda meeting bulanan di wiki. Manager Customer Relation menuliskan topik meeting yang akan didiskusikan dengan bahan informasi pelanggan yang kecewa dengan layanan, sales yang menanganinya, apa yang menyebabkan kekecewaan dan alternatif solusi mengatasinya. Manager keuangan menerima semua laporan penjualan di pusat dan daerah melalui email lalu mengumpulkannya menjadi satu dan membuat rencana budgeting tahun berikutnya. Semua itu dituangkan ke wiki sebagai topik meeting dari departemen keuangan. General Manager kemudian merangkum itu semua dan membuatnya ke dalam slide presentasi. Slide meeting yang biasanya membutuhkan berhari-hari untuk membuatnya (karena menunggu kiriman e-mail) sekarang hanya membutuhkan jam.

Jangan Takut Memakai Wiki
Bagaimana bila seseorang dengan sengaja/tidak sengaja menghapus halaman wiki yang sudah dibuat? Hasil kerja saya diisengi rekan kerja lain? Bagaimana bila ada informasi rahasia yang tidak semua mata boleh melihatnya? Susahkah memakai wiki?

Wiki mempunyai fasilitas “Revert” yang bisa mengembalikan halaman ke perubahaan terakhir sebelum terjadi penghapusan. Wiki juga bisa dibuat pribadi (tertutup) yang membutuhkan login dan password untuk mengakses. Setiap penambahan dan perubahan halaman mencatat nama login yang bersangkutan. Selain itu, tentu tidak masuk akal untuk melakukan vandalisme pada sumber daya/informasi yang diperlukan bersama.

ACL membatasi orang tertentu saja yang bisa melihat informasi tertentu. Apakah itu karyawan biasa, pelanggan, tim designer atau direksi. Login dan password yang menentukan hak aksesnya.

Tingkat kesulitan menulis di Wiki juga relatif kecil. Wiki memang memakai wikitext untuk memformat tulisannya. Tapi jangan takut, wiki sekarang juga memakai WYSIWYG untuk mempermudah pengguna awam. Pendek kata, bila anda bisa menggunakan pengolah kata anda sudah bisa menulis di wiki.

Semua yang di atas adalah ketakutan terbesar untuk penerapan wiki di dunia bisnis. Karena sifatnya yang terbuka dan ketakutan akan vandalisme seperti di beberapa halaman Wikipedia. Wikipedia tidak akan menjadi sebuah situs besar seperti sekarang kalau tidak bertahan dari vandalisme. Masih ingat zaman tanpa Wikipedia, mengakses ensiklopedia melalui CD dan membeli yang baru setiap tahunnya? Capek deh…

Referensi:
1. http://en.wikipedia.org/wiki/
2. http://www.socialtext.com
3. http://www.informationweek.com/showArticle.jhtml;jsessionid=
TQ3UN5YYJUEIKQSNDBOCKHSCJUMEKJVN?articleID=167600331