Minggu lalu, di sela-sela diskusi dengan salah satu pengguna IBM Notes Domino, saya di informasikan mengenai kemungkinan celah yang bisa digunakan oleh user biasa untuk mengintip http password.
Lho? Kok bisa?
Bagaimana caranya?
Beliau menunjukan kepada kami, langkah demi langkah untuk mengintip http password hanya dengan menggunakan web browser.
Loginlah ke domino server menggunakan username dan password seperti biasa.
Buka http://domino-host-name/names.nsf/$defaultview/
Disini akan muncul tampilan daftar “people” yang terdaftar di domino server Anda.
Pilihlah sembarang person document.
Arahkan kursor tetap di layar browser.
Klik kanan….. pilih view source…
HTML source code akan muncul di layar… scroll sampai ke paling bawah.
Tadddaaaaaaa…….
Informasi semua fields yang di gunakan termasuk “value”-nya terlihat jelas, terutama field http password…
Walaupun dalam keadaan terenkripsi, namun agak menganggu juga… dan mengundang tangan-tangan jahil di tempat Anda untuk mencoba-coba menganggu domino server anda.
Ingatlah pesan bang Napi
INGAT…..
KEJAHATAN TIMBUL TIDAK HANYA ADA NIAT DARI PELAKUNYA SAJA….
MELAINKAN JUGA ADANYA KESEMPATAN… JADI….
WASPADALAH…WASPADALAH…..
🙂
Berikut akan saya berikan solusinya untuk menyembunyikan field-field seperti yang terlihat di atas.
1. Anda haruslah seorang Administrator di domino server Anda dan mempunyai sedikit pengalaman menggunakan domino designer.
2. Kita akan memodifikasi sedikit di template domino address book! oleh karena file ini adalah file yang sangat vital, pastikan Anda mempunyai backup dan yakinkan bila terjadi sesuatu, Anda bisa me-restore file domino address book Anda ini!
Okay?
Mari kita mulai!
Dengan menggunakan Domino Designer, buka template domino address book di domino server anda, yaitu file yang bernama “pubnames.ntf”
Klik Forms, seperti pada gambar di bawah ini.
Kita akan me-modifikasi sedikit form yang bernama “Person”
Double klik di form “Person”
Klik kanan, dan arahkan kursor ke “Form Property”
Pastikan kolom “Generate HTML for all fields” jangan di centang!
Lihat gambar di bawah ini!
Refresh kembali browser Anda.
Ops…. perubahan belum terjadi… karena yang Anda modifikasi adalah file template domino address book!
Kita harus lakukan refresh design names.nsf terlebih dahulu!
Dari notes client, klik pada icon domino addres book!
Klik kanan –> Application –> refresh design
Masukan nama domino server Anda
Tunggulah beberapa detik, perhatikan message yang ada di pojok kiri bawah!
Akan tertulis “Design refresh completed” sebagai tanda, proses refresh design telah selesai dilakukan.
Refresh browser Anda!
Perhatikan! saat ini, daftar fields tidak muncul setelah kita melakukan langkah-langkah di atas!
Bila Anda adalah seorang domino administrator dan kurang yakin bisa melakukan langkah-langkah di atas, Anda bisa hubungi saya.
Silahkan kontak saya, dengan syarat… lisensi Notes Domino anda masih valid ya 🙂
Semoga membantu!
Kalau misalnya dihidden lewat xACL, apa tetap muncul di HTML preview ?
Hi Tinus, pada awalnya saya mengira dengan “hide-when” di field itu akan beres….. ternyata tidak.
Domino secara automatis akan men-generate HTML fields di akhir web form seperti yang terlihat pada gambar di atas,
Mantap dan Sukses Pak..