Keamanan Sistem World Wide Web

Keamanan Sistem WWW Fasilitas internet: http, mail, ftp, gopher, dll World Wide Web (WWW) salah satu aplikasi yang membuat populernya internet. Keunggulan web → kemudahan mengakses informasi. Konsep → hypertext Pembaca sistem WWW (browser) → Netscape, Internet Explorer, Mozilla, Chrome, Lynx, Mozaic, dll

Keamanan Sistem WWW Perkembangan WWW dan internet menyebabkan sistem informasi menggunakannya sebagai basis Banyak aplikasi sistem informasi yang tidak terhubung ke internet tetapi tetap menggunakan basis web → intranet Keamanan sistem informasi bergantung pada keamanan sistem Web.

Keamanan Sistem WWW Arsitektur sistem Web terdiri dari 2 sisi: server dan client Sistem Web dapat menyajikan data dalam bentuk statis dan dinamis Program dapat dijalankan di server (misalnya: PHP, ASP, CGI) dan di client (javascript, applet) Sistem server maupun client memiliki permasalahan yang berbeda.

Keamanan Sistem WWW Asumsi sebuah sistem Web (dari sisi pengguna) Sistem Web dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki sistem tersebut. Misalnya: domain rcti.tv dan isi situsnya menunjukkan bahwa situs itu miliki RCTI, maka dapat dipercaya bahwa situs itu miliknya RCTI. Pembajakan domain merupakan pengecualian terhadap asumsi ini. Dokumen yang ditampilkan tidak mengandung malcode. Server tidak mendistribusikan informasi mengenai pengunjung ke pihak lain. Kunjungan ke sebuah situs, data nomer IP, operating system, browser yang digunakan, dll, dapat dicatat.

Keamanan Sistem WWW Asumsi Dari Penyedia Jasa (WebMaster) Pengguna tidak beritikad untuk merusak server atau mengubah isinya tanpa izin. Pengguna hanya boleh mengakses dokumen-dokumen atau informasi yang diizinkan untuk diakses. Pengguna tidak mencoba-coba untuk masuk ke direktori yang tidak diperkenankan

Keamanan Sistem WWW Asumsi Kedua Belah Pihak Jaringan komputer dan komputer bebas dari penyadapan pihak ketiga Informasi yang disampaikan dari server ke client (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak Asumsi-asumsi di atas dapat dilanggar sehingga mengakibatkan adanya masalah keamanan, baik di sisi server maupun di sisi client

Keamanan Server WWW Keamanan server WWW merupakan tanggung jawab administrator jaringan Dengan dijadikannya server WWW, maka ada akses yang dibuka untuk orang luar Server WWW menyediakan fasilitas agar client dapat mengambil informasi Informasi yang diambil dalam bentuk file Menggunakan perintah GET Informasi yang diambil dieksekusi di server (PHP, ASP, CGI, dll) Kedua servis di atas (mengambil dan mengeksekusi file) memiliki potensi lubang keamanan.

Keamanan Server WWW Informasi yang ditampilkan diubah (deface) Lubang keamanan sistem WWW dapat menghasilkan serangan: Informasi yang ditampilkan diubah (deface) Informasi yang seharusnya untuk kalangan terbatas, ternyata berhasil ditampilkan oleh orang yang tidak berhak Informasi dapat disadap, misalnya Pengiriman nomer CC Monitoring kemana saja seseorang melakukan surfing DoS Attack Server WWW yang terletak dibelakang firewall, lubang keamanan server WWW dapat melemahkan dan bahkan menghilangkan fungsi firewall

Keamanan Server WWW Membatasi Akses Melalui Kontrol Akses Perlu dibuat pembatasan akses agar orang-orang tertentu saja yang dapat mengakses Pembatasan akses dapat dilakukan dengan Membatasi domain atau Nomor IP yang dapat mengakses Menggunakan user dan password Mengenkripsi data sehingga hanya dapat dibuka oleh orang yang memiliki kunci

Keamanan Server WWW Potensi lubang keamanan pada script(sisi server) antara lain: User memasang script yang dapat mengirim data password kepada pengunjung yang mengeksekusi script tersebut. Script dipanggil berkali-kali sehingga berdampak server menjadi terbenani (CPU Time meningkat) Melalui guestbook, dapat diisikan link yang ke halaman pornografi atau diisikan sampah sehingga memenuhi disk. Teks yang dikirim diisi dengan karakter tertentu dengan tujuan untuk merusak sistem. Sering kali dilakukan pada search engine, dengan memasukan kata kunci seperti %%%, %; drop table, tanda petik tunggal, dll Salah konfigurasi httpd, misalnya httpd dijalankan oleh user root

Keamanan Client WWW Biasanya berhubungan dengan: Masalah privasi Penyisipan malcode

Keamanan Client WWW Masalah Privasi Kunjungan ke sebuah situs dapat mengakibatkan adanya cookie yang berguna untuk menandai pernah berkunjung Sehingga bila mengunjungi lagi situs tersebut, maka server dapat mengetahui kita kembali. Baik bukan?  Dampak cookie: Ketahuan kemana saja kita surfing. Cookie bisa dicuri. Bagaimana bila ada data yang bersifat rahasia (seperti user dan password) Solusi: Jangan meninggalkan jejak di internet

Keamanan Client WWW Penyisipan MalCode Penyerangan dilakukan dengan menyisipkan malcode (worm atau trojan horse) ke sebuah halaman situs. Dampaknya, client dapat dikendalikan dari jarak jauh, penyadapan terhadap apa yang diketik, melihat isi direktori, melakukan reboot, bahkan dapat melakukan format harddisk. Solusi: Aktifkan Anti Virus yang dapat mengecek halaman dari sebuah situs.