MELINDUNGIN WEB DARI BOT JAHAT
Ғылым және технология
Di vlog kali ini saya mau bahas tentang beberapa cara melindungi dari serangan bot jahat yang sering kita alami ketika membuat aplikasi web atau API
BERGABUNG SEBAGAI PREMIUM MEMBER untuk mendapatkan ke berbagai keuntungan :
/ @programmerzamannow
Daftar Materi
00:00:00 - Pendahuluan
00:06:37 - Detect User Agent
00:11:06 - Rate Limiter
00:15:09 - Jangan Publish Sebelum Waktunya
00:21:06 - Gunakan Bot Protection
00:24:18 - Captcha
00:28:58 - Jangan Encrypt Request
Donasi :
Saweria : saweria.co/ProgrammerZamanNow
Social Media :
Instagram : / programmerzamannow
Facebook : / programmerzamannow
Telegram : t.me/ProgrammerZamanNow
KZread : / programmerzamannow
Пікірлер: 120
Keren topik2 nya👍
Ok kak terimakasih bgt... videonya membantu bgtt
Bermanfaat
Dari g tau apa2 berkat channel ini jadi banyak wawasan tentang didunia IT 😍 terima kasih pak
nomor 6 memang kurang tepat diimplementasikan untuk kasus seperti ini. mantap pembahasan nya kerennn
Mantap pak
Semangat trs Bang
Ditunggu konten kek gini lagi bangg :)
bagus banget kontennya, thanks bang
Pak eko. Req course untuk kube dong contoh kasus real project api dan frontend sama scaling2 nya.
@arsaphone
3 жыл бұрын
bayarin beliau mas buat eks / gke nya. mahal lho.
Tukang scrap nyimak :)
1. Mau rebutan atau apapun itu intinya keputusan akhir ya tetep di toko onlinenya kan. 2. Limit req/s dah bener itu biar kesempatan bot dan user sama.. nah selanjutnya tinggal di random atau diundi (diatur berdasarkan wilayah, ip dan semacamnya) Kalau mau anti bot gakan bisa, masa user dan para bot diadu siapa paling cepat di platform teknologi, jelas lah program lebih cepat dari aksi manusia normal.
subang hadir
Setelah nonton video ini saya mendapatkan 2 ilmu 1 saya sekarang tau flow membuat bot yang sebelumnya tidak ada di dalam pikiran untuk mempelajarinya. 2 kebetulan saya sedang mengerjakan projek e-commerce, jadi saya bisa mengantisipasi adanya bot Terimakasih ilmunya mas eko
@ProgrammerZamanNow
3 жыл бұрын
semoga bermanfaat
@hariyanto9486
3 жыл бұрын
Aminn
Makasih pak eko ,buat bahan analisa saya untuk membuat boot ✌️
@wanuxbe
Жыл бұрын
terknik old di bruteforce req site
kalau langsung praktek enak kak
bang, kalo selenium itu kan bisa dibilang kayak ngelakuin simulasi touch nya dengan ngegunain element2 html nya, nah gimana kalo bot nya itu pakai reverse api bang?, jadi contoh nya beli flashsale pake request api yang ada di eccomerce tsb, trus bot nya dapat nge store cookies2 nya juga, trus juga kalo misalnya buat bot pake php, itukan htttp header nya bisa diganti2, trus ngatasin nya gimana?
Belom nonton sampe abis, baru 5 menit, cuma yang kepikiran buat antisipasi bot ya lewat captcha atau validasi apapun yang harus ada interaksi user, atau bisa pake 2FA, dimana sebelum finish order perlu masukin nomer yang dikirim ke hp atau email.. bagusnya sih sms, karena automationya perlu ngecek ke nomer itu dulu, dan harusnya berupa apk bot nya..
Pake captcha yg paling benermisal recaptch v3, karna sepengalaman gua, solve captcha lebih cepet kita yang klik gambar sendiri dari pada pake misal captcha bypass di puppeteer, makan waktu 1/10 menit, sama manusia paling 30 detik
Jika kita melakukan clasification menggunakan ML pada time rate setiap end point api apakah berguna Om? Pengguna bot pasti time rate setiap end point api bisa selisih dikit.
Gimana kalo gini Stiap aktivitas user di aksi tersebut . Kita masukkn ke loh . Di saat checout/ pembelian . Kita liat log dia . Butuh berapa detik untuk sampe sana . Kalo skiranya kita taro rate limit 1 detik . Ya kalo 10 step brarti butuh 10 detik . Yang artinya . Minimal batas normal pergerakan adalah 10 detik . Jadi jika kurang dsri 10 detik . sistem bisa ngasih respon bot detected ... Cara kerjanua kaya rate limiter si. Tapi yaaa mungkin bisa
Kocak step terakhir IDE Siapa itu wkwkkw
1. user agent bisa di set 2. rate limiter run 100 bot sekaligus 3. jangan publish tapi di mobile harus tetep publish 4. mahal 5. UX jadi jelek memang susah sih.
@blooratrimungsas6055
3 жыл бұрын
kenyamanan akan selalu berbanding terbalik dengan keamanan.
@zehanbaihaqi9013
3 жыл бұрын
Nomor 3 kan di bikin web view di aplikasi kayanya shopee juag gitu soalny di make spanduk doang
materinya mantap pak eko oia berhubung lagi bahas flash sale nih apakah distributed lock satu2nya solusi biar tidak terjadi race condition waktu update stock suatu product ? masalahnya adalah ketika request nya banyak akan memungkinkan error locked instead of nunggu sampe current lock di release *notes: servernya multiple nodes
@ProgrammerZamanNow
3 жыл бұрын
lock adalah cara paling mudah dan familiar di semua database relational
@francescojoshua641
3 жыл бұрын
@@ProgrammerZamanNow super pak eko, langsung terjawab di materi MySQL (seharusnya RDBMS yg lain juga sama konsepnya). Thankyou pak eko.
client hit be -> be balikin file yg isinya record sound -> user typing record sound dr be tersebut -> server mengcheck text dr record sound yg dikirim ke client id(x) apakah sama dengan yg di BE -> kalau sama berarti manusia. *record sound yg dikirim dibuat secara dynamic dengan konsep TTS(text to speecj) dr BE.
First
sedikit solusi , aku pernah melakukan Encrypt Request cman secret key tak buat dynamic dan harus request ke server dulu, nah, algoritmnya juga di tentukan di server dan di release ketika ada flash sale, sedikit membantu untuk bot2 bisa teratasi.. :)
@ProgrammerZamanNow
3 жыл бұрын
Bot juga juga nanti bisa minta secret key ke server nya, karena dia udah baca behavior dari client app kita. Jadi pas waktunya tinggal jalanin bot nya, otomatis bisa juga
@Rhidayah
3 жыл бұрын
@@ProgrammerZamanNow selama web ny public. Mo apapun enkripsiny bisa d trobos 🤣
Setehal nonton video ini jadi semakin bersemangat buat bikin bot #eh Lanjutkan pa eko..
@ProgrammerZamanNow
3 жыл бұрын
ayo buat bot yang lebih canggih
Dari video ini justru saya kepikiran bikin bot untuk flash sale... Terimakasih idenya mas eko
@ProgrammerZamanNow
3 жыл бұрын
jangan lupa bagi2 barang nya kalo dapat
dari hal-hal yang sudah saya pelajari sejauh ini. cara paling ampuh dan tetap mengedepankan kenyamanan user/orang "biasa" ada di nomor 3. nomer 1 sudah bisa ditangani dengan menambahkan user-agent pada request header. nomor 2 masih ada orang yang "tidak sabaran" dan tentu akan marah-marah wkwk. nomer 4 selain mengeluarkan budget yang tidak sedikit, terkadang deteksinya masih kurang tepat, orang biasa pun masih sering dideteksi sebagai bot (bahkan google search pun terkadang masih begitu). nomer 5 engga banget deh pokoknya, ribet haha. #cmiiw
@blooratrimungsas6055
3 жыл бұрын
ya betul...untuk yang nomor 4 kalau IP nya sudah dicurigai bot langsung kena blok..kaya di kantor gw.
Pak eko, mau nanya kalau pakai solusi ke-3, cuma kita melakukan validasi untuk menyembunyikan flow khusus ketika sebelum waktu flash sale? Agar kita bisa melakukan publish terlebih dulu..
@wanuxbe
Жыл бұрын
menurut saya sih itu tidak di pilih, semua cara itu efektif di gunakan bersamaan
Konoha hadir
Bisa pake nge-random class ato id element setiap beberapa waktu gitu ngga bang? Jadi kan selenium biasanya ngincer id ato class buat nge -click element. Dengan di random dia bakal harus ngotak-ngatik kodenya terus
@fahrulrputra2589
2 жыл бұрын
klo ga salah bisa click posisi, jadi ga perlu path elementnya
bot maker : I N T E R E S T I N G
poin 6 29:36 , penasaran saya terjawab , rupanya encryption di client tidak benar2 membantu
Saya mau tanya pak, maksud dari rate limiter 1 request per second itu satu org hanya boleh kirim 1 request apa 1 url nerima 1 request per second? Jadi ngatasin race condition gitu. Terimakasih ilmu nya 🙏🏻
@gerinsz
3 жыл бұрын
satu orang hanya bisa me-request 1x pe detik
@newdehan3889
3 жыл бұрын
Request itu stiap klik tombol contohnya entah itu di form atau link
Daging
bang kalo enpointnya API di enkripsi pake hash, bisa menghidari bot nggak?
@ProgrammerZamanNow
3 жыл бұрын
Selama yg ngelakuim hashing client, bisa di duplikasi sama bot nya
kira2 kalo captchanya di ganti otentikasi nomor SMS..??
@ProgrammerZamanNow
3 жыл бұрын
terlalu lama kalo sms, belum lagi kalo ada masalah sms gak keterima
solusinya ada chaptcha
Keren materinya mas, sekarang di project saya pake rate limiter dan di set per tier untuk setiap API request (tier/level tinggi untuk API yang paling sering direquest). Saat ini implementasinya masih di code, kira2 ada ga tools yang bisa ngehandle ini mas? tanpa harus di code. Thanks.
@farhanabaz
3 жыл бұрын
Bisa juga pasang rate limit di web server nya
@ardyeamando643
3 жыл бұрын
@@farhanabaz Apakah itu bisa fleksibel mas? Sekarang use case saya tiap API punya limit request yang berebeda2, dan limitnya bisa per ip, tenant, atau user (token)
@ProgrammerZamanNow
3 жыл бұрын
coba pake KONG Gateway
@ardyeamando643
3 жыл бұрын
@@ProgrammerZamanNow oke makasih mas, saya pelajari dulu.
era 4.0 BOT vs BOT
Mungkin jika untuk "Flash Sale" bisa menambahkan capcha :D
@restuwahyusaputra7764
3 жыл бұрын
Banyak plugin yg bisa by pass recapetcha
@hamdanmubarok7466
Жыл бұрын
@@restuwahyusaputra7764 mudah bet bypas captca
apakah ada kemungkinan "orang dalam" membocorkan spek sistem flash sale?
@kodfaderchannel270
3 жыл бұрын
Pengkhianat hukum PANCUNG
@ProgrammerZamanNow
3 жыл бұрын
bisa aja
Gara Bot juga stock VGA Nvidia tiap baru launching langsung out of stock
@ProgrammerZamanNow
3 жыл бұрын
hahaha, keburu diborong sama bot
Bang touch screen tablet nya pakai apa? Buat gambarnya?
@ProgrammerZamanNow
3 жыл бұрын
Wacom
@ArislanHaikal
3 жыл бұрын
@@ProgrammerZamanNow wacom yang type apa bang?
@ProgrammerZamanNow
3 жыл бұрын
@@ArislanHaikal lupa, yg harganya sekitar 5jt
@monotheist..
3 жыл бұрын
@@ProgrammerZamanNow kak lulusan mana
Captcha = keamanan berbanding terbalik dengan kenyamanan
@ariumboroseno
3 жыл бұрын
Betull sekali
tenyata ini penyebab saya gabisa scrap dan bikin automation blibli, hehe 😂😂
@ProgrammerZamanNow
Жыл бұрын
Semoga membantu ya
tukang ikutan flashsale tapi ga pernah dapet nyimak
Mas Eko kalo ditambahin OTP pas mau checkout, bisa menghindari bot kah?
@ProgrammerZamanNow
3 жыл бұрын
via sms? nambah problem lagi, karena bisa aja sms nya gak nyampe2
15:12 gimana kalau yg bikin botnya adalah developer nya itu sendiri?😅
Kasih tipuan aja, biar udah cpe cpe bikin bot eh not working properly,
Teknologi maling lebih jauh kedepan timbang teknologi polisi
@hamdanmubarok7466
Жыл бұрын
Wkwkwkw iya. Walau maling ngk di biayai pemerintah 😂
Pas flash sale. Logout in semua pengguna. Trus login pake otp. Plus web view flash sale publish. Cmiw
@ProgrammerZamanNow
3 жыл бұрын
kasian kalo ini, semua user ke logout
@nidzammuzakki2938
3 жыл бұрын
@@ProgrammerZamanNow mas bahas tgrui perlu gak sih misalnya kita bikin e commerce
@nidzammuzakki2938
3 жыл бұрын
Cmiw
@nidzammuzakki2938
3 жыл бұрын
@@ProgrammerZamanNow atau utk buat microservice gtu. Maap sebelumnya soalnya saya masih baru d dunia backend
@zehanbaihaqi9013
3 жыл бұрын
Kalo mas belajar UX itu sangat bertentang dengan Jorney map di ux itu ada istilah Needs user dan kenyamanan soo kalo logout Anak UX mesti protes + Emg metode tepat pake 3 dan 4
Update metode para scrapper setelah ada ini.
@ProgrammerZamanNow
3 жыл бұрын
silahkan cari cara lain, hehe
@kodfaderchannel270
3 жыл бұрын
@@ProgrammerZamanNow subscribe balik dong brads
@zehanbaihaqi9013
3 жыл бұрын
Yg nomor 3 susah kecuali orang dalam membocorkan , kalo yg nomor 4 teknologi udah maju
Captcha lolos sekarang sama bot, cloudflare juga gak ngefek 😂, satu satunya yang bisa halangi bot cuma halaman login google tapi masih bisa dihandle pake proxy
@suryadharma84
3 жыл бұрын
Yang benar?, sudah pernah baypass distil network?
jangan sampai yg buat bot tau vid ini
sepertinya ada yang menyinggung suatu app?
@ProgrammerZamanNow
3 жыл бұрын
app apa tuh? app nonton iklan? #eh
Saya sih ga bisa buat bot pertanyaan saya golang bahase ape??????
@adiansyahputra774
3 жыл бұрын
Bahasa pemrograman bang .
semua itu percuma kalo pake Puppeteer Stealth Mode xixi
"...ada iPhone harganya 2 jt, ada Macbook Pro hagranya 5 jt" info dong flash sale yg kek gitu :D
saya yang kerjaanya ngescrap web orang: 😭
@ProgrammerZamanNow
3 жыл бұрын
asal izin dulu ke yang punya web
@hendisantika
3 жыл бұрын
Apalagi kalau endorse ke @@ProgrammerZamanNow . Nanti ente dibuatkan Vlog: "Cara membuat bot yang baik dan benar" Sponsored by ....
@monotheist..
3 жыл бұрын
@@ProgrammerZamanNow kak jadi it di ecommerce mana ?
@kodfaderchannel270
3 жыл бұрын
Klo scrapping data yg di show ke publish oke2 aja di embat. Karna datanya sifatnya publik