token nya bisa di set owner nya, misal ada informasi itu token user siapa, jadi kalo dia scraping walaupun dia dapat tokennya, pas di submit ke user orang, gak bisa karena token nya bukan milik user itu

@@ProgrammerZamanNow mantab seperti nya saya hampir pinter. paham dkrg. makasih mas

berarti tetep harus ada user login dulu di backend nya ya bang? Lalu di assign ke tokennya sbg issuer nya begitu ya?​@ProgrammerZamanNow

@@ProgrammerZamanNow Nahh gimana dengan beberapa framework yg terkenal kang eko? Seperti Laravel, CI, Next, Nuxt, dll. Apakah mereka sudah punya fitur builtin buat set setiap token csrf supaya punya owner? Oh iya, terkadang kan beberapa website menyediakan form kontak yg sifatnya open untuk pengunjung. Itu bisa jadi celah juga gak? Semisal dikasih csrf token juga, kan itu form public untuk semua pengunjung.

tapi bukannya tetap bisa dimanipulasi bahwa seorang dibelakang pengirimnya memang url aplikasinya padahal aplikasi pihak ke 3nya ya

amin

menarik

mudah2an nanti kedepannya materi2 seperti ini masuk ke kuliah

aminnn kanh​@@ProgrammerZamanNow

Inimah materi 101, harusnya wajib, dosennya males2an kali

@@itaamelia6715biasanya beda matkul, crud biasanya fokus ke mekanismenya sama bahasanya aja. urusan security ngga terlalu di perhatiin

@@itaamelia6715 ini ga bisa masuk form 101. ini sebenernya advance form material. karena sudah berhubungan dengan keamanan. dan memang ga sempat dimasukkan kedalam kurikulum. di kelas pasti butuh waktu lebih daripada di youtube. ilmu kaya gini mah cuma bisa di dapat dari self learning. ga cukup pake bangku kuliahan

Ralat bukan 'secure' tapi atribut 'HttpOnly'

gak ada kerjaan donk, buka akun sendiri, submit token sendiri ke website heker nya, hahahah

@@ProgrammerZamanNow 😭🤣

​@@ProgrammerZamanNow soalnya di video abang, tdk dijelaskan bahwa form Post itu kondisinya sdh dlm kondisi login. Jd seolah2 form post itu user tdk kondisi login, pdhal yg harmful itu utk user yg sdh login

@@novianindy887 nah iya ka, aku Mandang nya ga ada auth/login nya, sedangkan kang eko Mandang nya di realiti nya (dalam ke adaan login)

@@novianindy887 iya sih ka, aku mandang nya ga ada auth nya, nah sedangkan kang eko mandang nya ada auth (di kenyataan nya emang harus ada auth nya)

JetBrains

kalo lewat javascript biasanya kehalang duluan sama cors

tujuan captcha juga bukan buat verifikasi user, tapi mitigasi serangan bot

memang dirancang untuk token csrf nya yang sudah login, jadi bisa menghindari manipulasi transfer dan memastikan token yang digunakan hanya sekali. Kalo form nya memang untuk public tanpa auth yah sisa di spam aja form nya terus simpan token nya untuk di eksekusi secara massal

mudah2an bisa dibuatkan

setahu saya gk bisa bang. kemungkinan dia get website kita pakai metode apa gimana ya? kalau udh beda website, gk akan bisa ngambil value csrfnya setahu saya. jikalau pun bisa sepertinya ketika submit juga bakal muncul token miss match (CMIIW)

kalau get dulu harus pakai js atau ajax, udah pasti kena cors.

Gak bisa, kena CORS

@@TrelaDark bukan pakai ajax bang tapi pakai form action method get, jadi

@@allone258 ga pakai ajax bang, itu di atas aku ketik bukan pakai ajax tapi pakai form action method get, jadi

tiap orang punya level paranoid masing2, jadi gak masalah mau dibikin lebih sulit lagi

@@ProgrammerZamanNow betull pak, karena saya pernah menjadi pelaku scraping, jadi punya paranoid yg berlebih, apalagi klo ada transaksi dg keuangan, bahkan klo itu di web di lapisi lagi dengan cloudflare 😅

Intellij Idea nga tau versi yang comunity ato ultimate

@@nailachan9626 makasih bang

Scraping gak ada hubungannya sama csrf

selama BE bisa diakses via internet oleh user, tetep bisa

@@ProgrammerZamanNow oh oke, makasih kang

csrf token ga boleh ditaruh di cookie karena fungsinya biar kalau penyerang dapat cookienya, dia ga dapat csrf tokennya

kalo di enkripsi, selama orang gak punya key untuk decryppt, dia gak akan di decrypt

kalo JSON API, gak perlu csrf lagi, udah aman

@@ProgrammerZamanNow amannya gimana? bukannya bisa dari website apa saja akses? kalo check origin bukannya bisa set header juga ya?

@@kiruakinagi7117 karena tinggal kasih token_required di endpointnya

@@kiruakinagi7117Karena pake API token nya. Kecuali api nya ga dibuat secure dgn token

@@ProgrammerZamanNow kalau json api di backend ndak ada muddleware untuk cek token atau pakai cors, dll send request dari web luar tetap dijalankan ya pak

sudah cukup

kalo web jahat ngelakuin ajax get ke form, gak bisa karena pasti error CORS kalo web jahat call via server, token nya bisa di set per user, jadi token si orang jahat pasti beda dengan token punya user

jangan pake form post, pake json api aja

@@ProgrammerZamanNow kalau itu pakai ajax call ya berarti? apakah pakai jwt saja cukup bang?

​@@b0ysb3SPA bisa pake JWT

sudah pernah membahas kalau gak salah

klo ga salah udah pernah di jelasin kang cuma studi kasusnya di database

siap

kalo buat mobile, gak butuh csrf

@@ProgrammerZamanNow ok makasih ilmunya bang

excalidraw

kalo semua AJAX JSON, gak butuh, udah terlindungain dengan CORS

token nya bisa direlasiin ke user nya

beda case bang, ini case nya UI dan Backend jadi satu.

gimana cara inject datanya? kecuali kamu pake jaringan internet gratisan dan ternyata yang kasih jaringan gratisannya itu orang jahat

gak bisa

gak perlu csrf

pake captca lebih sulit lagi di hack, tapi dari sisi user kurang bagus experience nya

selama pake nya JSON API , gak perlu

@@ProgrammerZamanNow makasih om

@@ProgrammerZamanNow tergantung authnya pakai apa ga sih bang? kalau pakai cookie karena browser secara otomatis mengirimkan cookie bahkan ke domain yang berbeda kalau ga disetting dengan benar, cookie harus disetting same site agar kemudian dilapisi csrf token tapi tokennya jangan dikirim ke dalam cookie, dikirim lewat json kayak biasanya dan setting cors origin hanya ke url frontend jangan disetting * (bintang) yang mengizinkan semua url apapun, kalau pakai token lebih aman terhadap csrf tapi bisa dicuri juga tokennya :v

Kalo form post tetep bisa

kalau maksudnya untuk proteksi tambahan di client side, mungkin bisa pake captcha.

@@ProgrammerZamanNow eh lebih ke cara dapetin token csrf nya pak, apakah lewat api get token nya?, problemnya kalau lewat api kan mudah juga di request oleh web lain juga

pake oauth mungkin maksudnya

maksudnya kalau app PWA, apa bisa CSRF tokennya diambil lewat api

kalo masih ada form post, wajib pake csrf

@@ProgrammerZamanNow ok pak siap

tujuannya kan beda mas. Auth token kaya jwt itu buat authentikasi user. sementara csrf kan buat validasi kalo asal request memang dari form resmi dari kita. csrf ini kaya watermark di slip isian di bank. semua juga bisa bikin bentuk lembar isian yang serupa tapi ada kaya watermark nya di balik tinta yang tak terlihat yang menunjukkan kalo itu memang lembar isian resmi yang dicetak si bank. kalo petugas bank ga menemukan watermark yang benar di lembar yang kamu kembalikan, walau pun data yang di isi benar, tetap di tolak. nah auth token setelah validasi watermark tadi lewat maka auth token nya di validasi lagi dengan method validasi yang khusus sendiri buat auth token tadi. seharusnya sih best practice nya seperti itu.

gak butuh

iya, gak bisa, harus manual ambil dulu token nya

excalidraw

kalo pake JSON API, aman

​@@ProgrammerZamanNow tergantung authnya pakai apa ga sih bang? kalau pakai cookie karena browser secara otomatis mengirimkan cookie bahkan ke domain yang berbeda kalau ga disetting dengan benar, cookie harus disetting same site agar kemudian dilapisi csrf token tapi tokennya jangan dikirim ke dalam cookie, dikirim lewat json kayak biasanya dan setting cors origin hanya ke url frontend jangan disetting * (bintang) yang mengizinkan semua url apapun, kalau pakai token lebih aman terhadap csrf tapi bisa dicuri juga tokennya :v

kalo dari FE ke BE pake ajax JSON API, aman2 aja, gak butuh CSRF lagi

@@ProgrammerZamanNow makasih info nya.

@@ProgrammerZamanNow tergantung authnya pakai apa ga sih bang? kalau pakai cookie karena browser secara otomatis mengirimkan cookie bahkan ke domain yang berbeda kalau ga disetting dengan benar, cookie harus disetting same site agar kemudian dilapisi csrf token tapi tokennya jangan dikirim ke dalam cookie, dikirim lewat json kayak biasanya dan setting cors origin hanya ke url frontend jangan disetting * (bintang) yang mengizinkan semua url apapun, kalau pakai token lebih aman terhadap csrf tapi bisa dicuri juga tokennya :v jadi lebih ke settingan auth yang bener, settingan cors yang bener bukan karena pakai ajax dan json api

kok fe sih yang harus generate token? yakin workflownya udah bener kalo gitu mah.

@@GabrielFermy lu salah memahami bang >< maksudnya dia itu tokennya aman ga disimpan di localstorage, karena biasanya token di frontend disimpan di localstorage, lalu token itu dikirim ke backend ditempatin di header tiap request api form tersebut dengan nama headernya token-transfer

gak terlalu berguna

Senyum kenapa?

bisa

iya, udah ada rencana

kalau udh make laravel,atau fe react js vue dll sih xss udh kerender , kalau laravel udh ditolak sih harus pakai {!! !!}

laravel sudah punya csrf protection

justru ngincer yang udah login

mending vue atau reactjs aja

@@ProgrammerZamanNow baik pak terima kasih sarannya. Saya masih 0 banget soalnya pak 😅

gak perlu, cukup tahu form nya aja

Serau gue kl ada auth nya harus dapat auth token atau cookiesny jg

sudah dibahas di video nya

@@ProgrammerZamanNow iya kelewatan td kebanyakan fast forward wkwkw Kalo routes diprotect pke login session gmn??

@@ekasatriabahari2264 justru hacker itu ngincer yang udah login

biasanya udah ada sih di framework2

CORS itu kalo di web berbeda domain, ngakses ajax call ke domain lain form post itu bukan ajax call

CORS tuh browser things ga sih? Kalau dari server ga guna ada CORS tetep bisa

​@@ProgrammerZamanNow kalau pakai request pakai ajax, bisa jalan gak?

@@novianindy887 ditolak browser, karena CORS

@@ProgrammerZamanNow By default setiap browser akan aktif untuk CORSnya. Cuman itu bisa didisable. Nahh makanya teman-teman jangan didisable yaa web securitynya.

Semangat

@@ProgrammerZamanNow request course pyhon web programming bang, pengen yg tenik, kalo di yutub kebanyakan tutor ny yg langsung bikin bussines logic terus, malah langsung bikin web UI nya.

Emang web bot bisa scrapping halaman web yg harus login dulu, kecuali komputer clientnya terinfeksi virus mungkin

kalo via JSON API, gak butuh

@@ProgrammerZamanNow tergantung authnya pakai apa ga sih bang? kalau pakai cookie karena browser secara otomatis mengirimkan cookie bahkan ke domain yang berbeda kalau ga disetting dengan benar, cookie harus disetting same site agar kemudian dilapisi csrf token tapi tokennya jangan dikirim ke dalam cookie, dikirim lewat json kayak biasanya dan setting cors origin hanya ke url frontend jangan disetting * (bintang) yang mengizinkan semua url apapun, kalau pakai token lebih aman terhadap csrf tapi bisa dicuri juga tokennya :v

ini bukan bahas API