Minggu, 09 Juni 2013

WWW Security



Pada hari ini saya akan membahas mengenai WWW Sercurity dari matakuliah Keamanan Sistem Informasi (KSI).
Saya akan menguraikan yang saya ketahui mengenai WWW Sercurity.

Ada 4 (empat) hal pokok dalam WWW Sercurity, yaitu:
  1. User Management
  2. Authenication dan Authorizing
  3. Data Confidentiality And Integrity
  4. Transport Sercurity And Privacy       

User Management
User adalah sebuah bagian yang signifikan dari sebuah aplikasi, oleh karena itu user sendiri menjadi salah satu tujuan dari keamanan web. User harus dapat menjaga keamanan agar web yang dimiliki tidak terbobol, penggunaan password yang mudah terdiskripsi atau Brutte Force attack pada Basic Authentication menjadi salah satu ancaman yang dapat terjadi pada user. Selain password pada user juga sering terjadi session hacking, dikarenakan para hacker dapat melacak user dari cookies. Selain itu para hacker juga dapat melacak, melihat dan me-review informasi dengan cookies user tadi.

Authenication dan Authorizing
Melakukan pembentukan identitas user. Aplikasi web yang bersifat sessionless berpotensi mendapatkan serangan man-in-the-middle.

Data Confidentiality And Integrity
Serangan yang dapat terjadi, yaitu :
·         Cryptaanalysis
·         Side Channel Leakage
·         Physical Attack

Transport Security And Privacy
Cookies merupakan tempat penyimpanan informasi-informasi yang merupakan isi-isi informasi user saat mengunjungi situs-situs web. Apabila user sedang membuka sebuah situs web, ada request yang dikirimkan server akan meminta browser cookies, apabila ada maka server akan meminta web browser mengirimkan cookie ke web server.

Pengamanan Form Authentication
Melakukan pembagian area antara user dengan anonim dengan proses autentikasi. Aplikasi web menggunakan SSL atau Secure Socket Layer. Menggunakan HTTP atau Hyper Text Transfor Protocol sebagai socket yang utama. Client akan meminta DOC, MML dan URL lalu server akan memberi dokumen yang merupakan stateless protocol.

Cookies sendiri merupakan kode-kode ASCII yang dikirim oleh server kepada client, kemudian disimpan di local system. SSL sendiri merupakan sebuah langkah dari sercurity transport, pola kerja SSL asymatric maupun symmetric key encryption. HTTP over SSL yaitu HTTPS yang dibentuk oleh suatu encrypted tunnel antara browser dengan web server.

Arsitektur WWW
Mempunyai server yaitu Apache dan IIS, client servernya IE, FireFox, Mozilla, Safari, Opera, dll yang terhubung melalui jaringan komputer.

Web Application
Web application sendiri memungkinkan untuk mengimplementasikan sistem secara tersentralisasi.
Keuntungan web application, yaitu :
  1. Client hanya membutuhkan web browser
  2. Update software bisa dilakukan di server saja
  3. Browser disisi client dapat ditambah plugin untuk menambah fitur, fitur yang ditambahkan bisa animasi, streaming, audio dan video
  4. Mulai banyak yang menggunakan basis web

Asumsi yang beresiko dari sisi pengguna
·         Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut
·         Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya (hal ini bisa terjadi jika buka situs-situs negatif)
·         Server tidak mencatat atau mendistribusikan informasi tentang user.

Asumsi yang beresiko dari sisi pemilik
·         Pengguna tidak beritikad untuk merusak web server atau mengubah isinya
·         Pengguna hanya mengakses dokumen-dokumen yang diperkenankan akses (dimana dokumen memiliki ijin)
·         Identitas pengguna benar

Asumsi yang beresiko dari kedua belah pihak
·         Network dan komputer bebas dari penyadapan pihak ketiga
·         Informasi yang diberikan terjamin keutuhannya dan tidak dimodifikasi oleh orang ketiga

Ekploitasi WWW
·         Tampilan Web diubah (deface)
·         Data diserver diubah
    1. Yang hack masuk ke server dan mengubah secara manual
    2. Mengubah data melalui CGL
    3. Mengubah data di database (contoh database SQL, Injection, XSS)
·         Informasi bocor
·         Penyadapan Informasi
·         DoS attack

Antisipasinya dengan 2 cara, yaitu sebagai berikut :
  1. Access Control
    1. Hanya IP tertentu yang dapat mengakses server ( konfigurasi web server atau firewall)
    2. Via user id dan password
    3. Menggunakan token
    4. Menggunakan enkripsi untuk menjadikan data
    2.   Sercure Socket Layer (SSL)
Menggunakan enkripsi untuk menjalankan transmisi data. HTTPS hanya menjamin enkripsi.

Demikianlah blog yang saya buat mengenai WWW Sercurity, semoga web ini dapat bermanfaat bagi pembaca, kamsiaa ^^
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)