Zend Framework : Zend_Acl ( Access Control Lists) Basic – Simple Authorization
Otorisasi adalah tindakan menentukan apakah seseorang memiliki izin untuk melakukan tindakan atas resource yang ada. Zend Framework mempunyai komponen Zend_Acl untuk mengatur hal tersebut. Zend_Acl dibagi menjadi 3 area, yaitu Resources, Roles, dan Rights. Resources adalah apa yang diakses, Roles adalah “yang mengakses” satu atau beberapa resource, dan Rights adalah hak akses Role terhadap Resource yang diakses. Secara default, Zend_Acl memberikan akses deny untuk semua resource, kita diharuskan memberikan whitelist terhadap akses roles terhadap resources yang kita inginkan.
Zend Framework : Zend_Filter vs Zend_Validate – Filtering vs Validation
Definisi dasar dari filter dapat diartikan menghapus porsi yang tidak diinginkan dari sebuah input, dan membiarkan porsi yang diinginkan lewat dan tampil dalam output. Filtering sangat berguna pada aplikasi web untuk menghapus ilegal input, trimming white space yang tidak perlu, dan lain sebagainya.
Definisi dasar dari filter dapat diperluas untuk mencakup transformasi atas input yang dimasukkan. Transformasi yang banyak digunakan adalah escape HTMLEntities untuk meminimalisir lubang keamanan ( contoh : dari javascript ).
Lain halnya dengan validator, validator memeriksa input sehubungan dengan beberapa persyaratan yang memberikan nilai balik boolean true/false – apakah input berhasil divalidasi berdasar persyaratan yang diberikan.Sebagai contoh, sebuah aplikasi web memberi persyaratan bahwa username harus lebih dari atau sama dengan 7 karakter dan kurang dari atau sama dengan 15 karakter.
Zend Framework : CSRF ( Cross Site Request Forgery ) Protection
XHR ( XMLHttpRequest ) adalah backbone dari aplikasi web 2.0. Adalah fungsi javascript yang powerfull yang menciptakan HttpRequest. Namun, dari kemudahan yang didapat, ternyata XHR menghadirkan konsekuensi tersendiri, yaitu security hole. XHR, seperti yang telah diatur oleh W3C ( World Wide Web Consortium ), hanya digunakan ketika request itu berasal dari website di mana javascript di muat ( same origin ) untuk menghindari penyalahgunaan dari pihak yang tidak bertanggungjawab.
‘Tekanan’ untuk membolehkan adanya akses cross domain mengingkat dengan adanya konsep mash-ups (sebuah konsep di mana membolehkan data dari beberapa site untuk bisa digabungkan dalam satu single view). Requirement ini bertentangan dengan “same origin policy” ( kebijakan penggunaan request dalam site yang sama) yang diformulasikan untuk XHR. Sebagai response dari kebutuhan ini, maka kebijakan tersebut diextends ke “level 2” standard, yang membolehkan akses cross domain jika persyaratan lain terpenuhi, untuk melindungi pengguna (W3C Web Applications Working Group, 2008).
Baca Selengkapnya
Welcome to Abdul Malik Ikhsan's Blog 
1 comment