Suatu saat saya sedang membuat sebuah aplikasi. Salah satu featurenya adalah otentifikasi yang menggunakan email dan password bagi user yang akan login. Setelah menyelesaikan bagian otentifikasi ini kemudian saya mencobanya.

Semuanya tampak berjalan sesuai seperti yang saya harapkan. Halaman-halaman yang sudah ditetapkan hanya bisa dibuka ketika user sudah login sudah dapat terlindungi dengan baik. Hal ini berarti user tidak bisa mengakses secara langsung halaman ini sebelum ia login. Namun secara kebetulan saya menemukan hal yang cukup mengganjal. Ketika saya sudah logout dan mengklik tombol back pada browser saya, halaman yang seharusnya hanya bisa dibuka ketika user dalam kondisi login ternyata masih bisa ditampilkan oleh browser. Kenapa hal ini bisa terjadi? Padahal saya sudah menetapkan algoritma “jika session atau cookie user sudah terhapus maka halaman tersebut tidak dapat diakses”.
Continue reading…