jaman awal blogspot (blogger.com) muncul, dia sama sekali gak menyediakan fasilitas untuk pengunjung sebuah blog mengkomen di postingan yang mereka kunjungi.
waktu berlalu,
kemudian munculah 3rd party yang menjembatani hal tersebut, ada haloscan, ada doneeh yang buatan lokal [btw, apakabar doneeh sekarang ya?], dan lainnya.

kemudian blogspot akhirnya tersadar diri untuk kemudian menambahkan comment system feature di blog engine nya.
tapi apa daya, koment system yang disediakan blogspot sangat sangat tidak blogiawi.

masa' untuk bisa ngoment di sebuah blogspot harus punya account blogger.com dulu?
walhasil, akhirnya gue membuat sebuah account blogger.com -- hanya untuk ngoment.

mana, hyperlink di user pengkoment, ternyata gak merujuk ke blog nya langsung, tapi malah membuka profil nya si user tersebut di blogger.com,
lah, padahal gak semua profile nya 'terbuka' untuk umum, banyak yang profilenya tertutup untuk public.
ada pula orang yang punya blog banyak, terus yang mesti disambangin balik blog yang mana?. uanheeehh!

waktu berjalan lagi, kemudian blogspot developer tampaknya mulai menyadari ketololan tersebut, akhirnya disediakanlah option untuk others supaya bisa menyantumkan nama/nick name serta URL nya, dan juga bisa anonymous.

untuk others gak masalah, karena memang begitulah seharusnya comment system. ada user nickname yang ngoment dan kalo niat, boleh pasang URL si user tersebut supaya orang yang di komenin bisa menyambangi balik.
sementara anonymous itu buat apa pulak?. padahal khan nature nya orang ngoment itu pengen majang user nickname nya dia (+ URL nya kalo mau), lha ini disediain pilihan untuk 'tidak bernama', aneh. lagian kalo orang mau 'tidak bernama', di pilihan others khan bisa tuh, isi aja nick asal asalan, gak perlu URL nya pulak.

setelah sekian lama, tiba tiba blogspot mengubah lagi aturan untuk orang bisa ngoment, yaitu tidak menyediakan URL textbox untuk nickname yang disediakan. huanhehhh!

setelah sempet misuh misuh, akhirnya ada juga yang memberitahu apa yang sebenernya terjadi. maseko memberitahu bahwa blogger.com lagi mencoba mengkoloborasikan openID dengan koment systemnya blogspot.

lah, tapi kalo emang lagi testing untuk bisa openID, harusnya koment sytem yang lama jangan dirubah dunk!
imbasnya, banyak orang yang menggunakan blogspot gak tau kalo mereka mesti masuk ke http://draft.blogger.com untuk kemudian merupah option pengomentaran menjadi untuk bisa buat semua (termasuk openID).

setelah kira kira tau apa yang bisa menyebabkan Yahoo!ID kita dicuri. sekarang, gimana cara pencegahannya.

salah satu pencegahan yang dilakukan adalah tidak mereply e-mail / messenger yang meminta-minta userID dan password.
atau juga, jangan ngeclick link yang menawarkan untuk melihat foto dan/atau hal lain sejenis.
jangan ngikutin napsu, karena ada tawaran ngeliat liat foto, langsung aja nge-click link yang tercantum.

jika sampe ke-click, terus diminta untuk masukkin userID dan password, pastikan URL yang muncul adalah https://login.yahoo.com/ . kalo pake browser firefox, biasanya URL box nya jadi berwarna kuning.
https adalah protokol yang dipergunakan untuk mengirimkan data di internet secara secure

kalo ternyata yang muncul di URL box bukan https://login.yahoo.com .. tinggalin aja tu website. jangan coba coba ngisengin masukin UserID dan password, bahkan walopun password yang dimasukkin asal asalan. ini sama aja udah memberi setengah jalan orang untuk nyolong Yahoo!ID kita. 

tapi juga yang diperiksa bukan hanya apakah menggunakan https apa engga. tapi periksa juga URL nya. bener ga tulisannya login.yahoo.com. soalnya si pembuat website phishing, bisa aja mencari celah dari kesalahan ketik kita (typo). siapa tau dia pake URL login.yaho.com atau login.yahooo.com login.yah00.com dan macem macem lainnya.
jadi tetep cek dan cek lagi.

lalu, pasang Yahoo!seal, segel, bisa berupa text, atau gambar.
untuk memasang seal tersebut, klik pada pojok kanan atas box login. ikuti saja petunjuk berikutnya.

misalnya kita memasang foto. nanti setiap kita mau login, pasti foto yang kita set sebagai seal akan selalu muncul. yang menandakan bahwa login form itu adalah asli punya Yahoo.
tapi kelemahannya seal ini hanya bisa di pasang di komputer 'pribadi', alias bukan di warnet yang penggunanya bertukar tukar. kalo pun dipasangi seal walhasil kalo nanti menggunakan PC yang berbeda dari PC yang dipasangi seal, gambarnya gak akan muncul, atau muncul bukan kepunyaan kita.

dan lalu, menyediakan alternate e-mail ketika mendaftar di yahoo. dan juga pastikan jawaban dari pertanyaan favorit yang digunakan hanya diketahui oleh elo seorang. untuk mencegah pencurian dengan metoda selain phishing.

source : How can I identify a phishing web site?

pada intinya, pencurian identitas maya bukan hanya di Yahoo. di website lain seperti paypal atau juga friendster, hal tersebut dimungkinkan. metoda phishing berlaku untuk semua website, tak terkecuali.

bahkan situs dan nasabah klikbca pernah menjadi 'korban' metoda phishing ini. yaitu melalui alamat URL typo www.kilkbca.com, dan URL type klikbca lainnya.
bca bisa dibilang beruntung karena pelaku phishing, steven haryanto, kemudian melaporkan hal yang dilakukannya kepada bca.
namun hal itu seharusnya menjadi pembelajaran, bahwa gak semua hacker itu cracker..lho?..hehe :P

beberapa rekan, seperti andriza dan lucy beberapa waktu lalu mengalami pencurian Yahoo!ID, Yahoo!ID mereka dicolong orang. tapi karena tidak tau mesti gimana dan bagaimana nya, akhirnya terpaksa rela kehilangan identitas maya mereka.
beberapa waktu yang lalu, purakrisna pun kecurian Yahoo!ID nya. tapi pura gak tinggal diam. dia melawan, dan berhasil mendapatkan Yahoo!ID nya kembali.

pencurian Yahoo!ID biasanya menggunakan modus operandi phishing. modus ini menggunakan sebuah website yang meng-copy persis tampilan login dari yahoo. entah itu yahoo!mail atau my yahoo.

biasanya orang akan terpancing [mancing = fishing , kemudian di plesetkan menjadi phishing] datang ke website seperti itu biasanya dikarenakan mereka seakan-akan mendapat surat peringatan dari Yahoo!. misalnya "harap segera ganti password anda, jika tidak Yahoo!ID anda akan ditutup/dihapus", tentu saja dalam bahasa inggris, pokoknya intinya seperti itu.
atau juga terpancing karena "hey! lihat foto foto kami disini", biasanya dikirimkan oleh pengirim bernama 'wanita'. dan kata "disini" tersebut mempunyai hyperlink ke alamat yang mirip dengan URL yang biasa dipake yahoo. dan paling sering menggunakan alamat geocities.
note: buat beberapa orang yang sudah tau, geocities adalah bagian dari Yahoo! yang memberikan fasilitas hosting/homepage.
tapi buat orang yang ga tau pun kemungkinan akan tetep kepancing, karena menggunakan nama 'wanita'. atau engga sipengirim menggunakan Yahoo!ID orang yang kita kenal.
foto - nama wanita (walaupun gak kenal)/Yahoo!ID teman - hey! why not!, langsung aja di click linknya dengan pikiran 'macem-macem' nya. >:)
halhal tersebut biasanya disampaikan lewat e-mail. tapi ternyata banyak juga yang dikirimkan lewat yahoo!messenger.

setelah tiba di website yang dimaksud, elo akan diminta memasukkan Yahoo!ID dan password, sebagaimana layaknya mau masuk ke layanan yahoo! lainnya.
dengan tanpa memperhatikan URL yang tampil di browser, walaupun mungkin agak merasakan keanehan, tetep aja masukin Yahoo!ID dan password, click submit.
yang terjadi setelah submit, biasanya tidak akan terjadi apa apa, atau mungkin juga akan memunculkan halaman utama Yahoo.

buat orang yang belum menyadari apa yang terjadi, mungkin cuek aja, ataupun ada yang pindah brosing hal hal lain, dan ga sadar bahwa pada saat itu, detik itu, Yahoo!ID elo udah ilang!.
dan ketika beneran masuk ke Yahoo! login page, pas loe masukin Yahoo!ID dan password, akan menghasilkan "password salah". berkali kali masukin dengan keyakinan password dan Yahoo!ID nya udah bener, tetep akan berujung ditolaknya login kita.

Yahoo! menyediakan pilihan untuk "forget your ID or password?", ketika menggunakan pilihan tersebut, kita akan dihadapkan pada beberapa pertanyaan yang harus kita jawab.

tapi kemungkinan data tersebut sudah dirubah langsung oleh si pencuri. jadi biarpun kita mengisi form tersebut dengan benar sebagaimana adanya, kita akan tetep gagal, karena sudah diubahnya data utama tersebut.
nah usaha standar kita untuk bisa login, hanya sampai disini.
gue bilang standar, karena itu usaha pribadi, belum minta tolong ke Yahoo! nya sendiri [nanti gue bahas]

btw, pilihan untuk meretrieve ulang password/userID tersebut, ditengarai menjadi pintu masuk yang mudah bagi para pencuri Yahoo!ID tanpa menggunakan phishing.
dengan pertanyaan yang terlalu standar tersebut, kita bisa dengan mudah mencari tau tanggal lahir orang yang MISALNYA akan kita curi Yahoo!ID nya. dan lalu bisa juga dengan gampang mendapatkan kode posnya dan negara. gak sulit.

tapi untuk option berikutnya,

anggap semua informasi awal adalah benar, lalu kita menggunakan option 1 yang meminta kita memasukkan Yahoo!ID yang akan kita retrieve passwordnya. setelah memasukkan Yahoo!ID maka akan ditanyakan pertanyaan favorit yang harus sesuai jawabannya dengan yang telah kita tulis ketika mendaftar Yahoo!.
kalo ternyata pertanyaannya terlalu umum, walhasil jawabannya mungkin bisa ditebak, kalo si pencuri mengenal dekat calon korbannya.
anggap lah gue. kalo gue memilih pilihan pertanyaan "what is yout favourit football team?", dengan serta merta, beberapa orang, bahkan yang pernah baca di blog gue ini pasti tau bahwa gue pasti akan mengisi dengan isian : "manchester united".
dan begitu isiannya benar, whala!. password baru akan disediakan Yahoo! untuk dipake.

jadi, tools Yahoo! untuk meretrieve password ini bagaikan pedang bermata 3, [mata yang ketiga entar gue bahasnya]. pertanyaan verifikasi yang terlalu standar akan memudahkan orang 'dekat' untuk mencuri Yahoo!ID kita, yang mana seharusnya memudahkan kita pada saat kita kelupaan password
sedangkan mata pedang yang ke 3 akan muncul jika: waktu mendaftar Yahoo! kita ga mengisi data secara benar. misalnya ultah yang diisi ngaco, kodepos nya pun asal-asalan. dan kita pun ga mengisikan alternate e-mail [gue bahas sebentar lagi]
dan pada saat kita bener bener lupa password kita, dan pengen kita retrieve ulang. apa jadinya?. kita gak bisa mengisi data verifikasi tersebut. walhasil Yahoo!ID kita ilang karena hal sepele gitu doang. :(

kembali ke option untuk meretrieve passwordnya, dimana ada dua box, apakah kita meretrieve menggunakan Yahoo!ID atau menggunakan alternate e-mail.
kalo kita ingin lebih secure, ada baiknya men-set alternate e-mail tersebut di profiles.yahoo! kita, lalu buatlah pertanyaan favorit yang agak susah, yang hanya kita sendiri yang tau jawabannya. eeerr. pertanyaan favorit ini munculnya cuma pas mendaftar doang. gak akan muncul lagi di kesempatan lain. jadi gunakanah sebaik baiknya. tapi kalo udah terlanjur ga inget tentang hal ini, buru burulah menset alternate e-mail.

nah dengan memilih alternate e-mail sebagai option untuk meretrieve password. maka password baru Yahoo! akan dikirim kan lewat alternate e-mail. sehingga seharusnya option ini lebih aman.

nah, bagaimana kalo ternyata dengan usaha standar, kita masih gak bisa login ke Yahoo! kita, dan ada kemungkinan Yahoo!ID kita udah kecuri. cara berikutnya adalah dengan melapor ke Yahoo!. sebagai pihak penyedia, Yahoo! menyediakan form khusus pelaporan phishing ini di http://help.yahoo.com/l/us/yahoo/security/forms/phishing.html

setelah itu, kita hanya bisa menunggu dan berdoa semoga team dari Yahoo! bisa merespon laporan kita, dan mengembalikan Yahoo!ID tersebut kepada kita.