SlideShare a Scribd company logo

5

Download as PPT, PDF
Sani Pribadi
Sani Pribadi
1 of 27
Company LOGO World Wide Web Security Tutun Juhana STEI ITB
Web Browser The Old Days Image + Text Nowadays Run CGI scripts on Web server Run Java Script and VBScript Java Aplet and ActiveX Plugins 2
Web Browser Risks • Web server bisa jadi tidak aman – Batasi pengiriman data sensitif ke web server yang tidak aman • Browser menjalankan malcode dalam bentuk scripts atau executables • Penyerang bisa menyadap trafik jaringan – Resiko penyadapan dapat dikurangi melalui penggunaan Secure Sockets Layer (SSL) untuk meng-enkripsi data yang ditransmisikan • Penyerang dapat menjalankan serangan man-in-the- middle attack – Aplikasi web yang sessionless sangat potensial untuk menjadi korban serangan man-in-themiddle attacks seperti hijacking and replay. 3
Cara kerja Web Browser • Protokol utama yang digunakan Web browser adalah HTTP (Hypertext Transfer Protocol) • HTTP merupakan protokol layer aplikasi yang memungkinkan Web browser untuk meminta halaman web dari dan mengirimkan informasi ke Web server • Web server akan merespons dengan mengirimkan: – Kode HTML – Gambar – Scripts – Executables • HTTP adalah protokol stateless: tidak mengingat session sebelumnya 4
5
Cookies • Cookie adalah sarana penyimpan informasi yang dibuat oleh suatu Web site untuk menyimpan informasi tentang user yang mengunjungi situs yang bersangkutan – Penyimpanan informasi ini demi kemanyanan user maupun Web site – Informasi sensitif dan pribadi merupakan perhatian dari sisi keamanan • Cookie merupakan file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal • Ketika request baru dikirimkan, server dapat meminta browser untuk mencek apakah ada cookie, jika ada, web server dapat meminta web browser untuk mengirimkan cookie ke web server – Cookie ini bisa berasal dari manapun • Isi cookie dikendalikan oleh Web server dan bisa mengandung informasi mengenai kebiasaan kita ketika mengakses internet • Informasi yang diproleh Web server berasal dari Web browser – Diperoleh ketika user mengisi form yang mengharuskan memasukkan nama dan e-mail address • Informasi ini dapat disimpan di cookie untuk keperluan di masa datang 6
Macam-macam cookie • Persistent Cookies – Bertahan di local system untuk waktu yang lama (walaupun sistem sudah direboot) – Tersimpan di dalam hard disk dalam bentuk file cookies.txt • File ini dapat dibaca dan diedit oleh user atau system administrator • File ini bisa mengandung informasi yang sensitif • Jika suatu saat seorang penyerang dapat masuk ke dalam workstation tempat menyimpan cookie maka penyerang dapat menggunakannya untuk melakukan serangan berikut • Karena bisa dimodifikasi maka file cookies dapat digunakan untuk melakukan penyerangan hijacking atau replay attack. – Kelemahan: • File cookies bisa memenuhi hard disk • Riwayat kebiasaan surfing dapat digunakan oleh pihak lain 7
• Nonpersistent cookies – Karena kelemahan persistent cookies, banyak situs yang sekarang menggunakan nonpersistent cookie – nonpersistent cookie disimpan di memori sehingga bila komputer dimatikan cookies nya juga akan hilang – Tidak ada jaminan bahwa setiap browser akan dapat menangani nonpersistent cookies secara benar 8
• Cookies pada umumnya mengandung informasi yang memungkinkan suatu web site dapat mengingat user yang mengunjungi situs tersebut • Informasi yang paling sering disimpan di cookies adalah sbb: – Session ID • Digunakan untuk memaintain state atau membawa informasi otorisasi antar request yang dilakkan web browser – Waktu dan tanggal dikeluarkannya cookie – Waktu dan tanggal kadaluarsa cookies • Digunakan oleh Web site untuk menentukan pengabaian cookies yang lama – IP address dari browser • Dapat dianggap sebagai uji tambahan terhadap otentikasi request 9
Caching • Bila anda mengakses suatu Web site, browser yang anda gunakan bisa jadi menyimpan halaman web dan gambar di dalam cache • Web browsers melakukan ini untuk kenyamanan user dengan cara mempercepat akses kepada suatu halaman web • Ini bisa jadi merupakan masalah keamanan karena bila workstation berhasil ditembus, penyerang dapat mempelajari kegiatan browsing yang dilakukan user • Web browser juga menyimpan sejarah situs yang pernah anda kunjungi 10
Secure Socket Layer • SSL dikembangkan oleh Netscape untuk menyediakan layanan keamanan pada pengiriman informasi melalui Internet • SSL memandaatkan asymmetric maupun symmetric key encryption untuk membentuk dan mentransfer data pada link komunikasi yang aman pada jaringan yang tidak aman • Bila digunakan pada browser di client, SSL membentuk suatu koneksi yang aman antara browser pada client dengan server – Biasanya berbentuk HTTP over SSL (HTTPS) – Proses ini membentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data • Pihak yang berusaha menyadap koneksi antara browser dengan server tidak dapat men-dekripsi informasi yang dipertukarkan di antara keduanya • Integritas informasi dibentuk menggunakan algoritma hashing • Confidentiality dijamin oleh enkripsi 11
Session SSL yang tipikal 1. Browser atau client meminta sertifikat server 2. Server mengirimkan sertifikat ke browser 3. Setelah menerima sertifikat server, browser akan mencek apakah sertifkat berasal dari certificate authority (CA) yang dapat dipercaya • Web browser mengirimkan challenge ke server untuk menjamin bahwa server memiliki private key yang sesuai dengan public key yang ada di dalam sertifikat • Challenge ini mengandung kunci simetris yang akan digunakan untuk mengenkripsi trafik SSL traffic • Hanya pemiliki private key yang dapat mendekripsi challenge. 1. Web server merespon challenge dengan suatu pesan pendek yang dienkripsi menggunakan kunci simetris yang diperoleh dari challenge. Setelah menerima message ini, browser yakin bahwa dia berkomunikasi dengan organisasi yang tepat 2. Sekarang browser dan server memiliki kunci simteris yang sama 3. Setiap message dari browser dapat dienkripsi menggunakan kunci simetris • Web server menggunakan kunci simteris yang sama untuk mendekripsi trafik 1. Dengan proses yang serupa, setiap response dari server akan dienkripsi menggunakan kunci simetris 12
Session SSL tipikal 13
• Netscape Navigator dan Internet Explorer mendukung HTTPS • Pada umumnya software Web server mendukung HTTPS • Situs-situs e-commerce biasanya menggunakan HTTPs juga untuk memperoleh informasi rahasia user • Server diotentikasi oleh client melalui sebuah digital certificate • Kekuatan enkripsi biasanya ditentukan oleh server tetapi biasanya dipilih berdasarkan kemampuan browser client • Tipe enkripsi yang digunakan di dalam browser tergantung kepada apakah browser tersebut akan dijual di USA atau di luar USA • Versi enkripsi untuk pemakaian di luar USA menggunakan weak encryption • Pemakaian enkripsi untuk di dalam USA menggunakan strong encryption • Weak encryption: 40-bit or 56-bit encryption • Strong encryption : 128-bit encryption – 128-bit encryption adalah 300,000,000,000,000,000,000,000,000 lebih kuat daripada 40-bit encryption. • Netscape menyediakan dua versi browser : strong (in USA) and weak encryption (outside USA) • Internet explorer default-nya menyediakan weak encryption – Kalau ingin strong encryption harus di-patch 14
15
16
17
18
• Web browser yang dikonfigurasi dengan baik akan memperingatkan user akan adanya masalah pada sertifikat server bila menemui terjadinya hal-hal berikut: – Sertifikat tidak ditandatangani oleh suatu recognized certificate authority – Sertifikat invalid atau kadaluarsa – Common name sertifikat tidak match dengan nama domain server 19
Recognized CA 20
• Penggunaan symmetric encryption sekalipun masih tetap memperlambat proses koneksi • Pada tahun 1999, Internet Week melaporkan hasil pengujian pada server Sun 450 untuk melihat efek SSL – Pada kapasitas penuh, server dapat menangani sekitar 500 koneksi per detik untuk koneksi menggunakan HTTP biasa – Bila menggunakan SSL, server yang sama hanya dapat melayani sekitar 3 koneksi per detik • Untuk mempercepat proses bisa digunakan SSL accelerator 21
Secure HTTP (SHTTP) • SHTTP merupakan pengembangan dari protokol HTTP yang dikembangkan oleh Enterprise Integration Technologies • Secara fungsional SHTTP serupa dengan HTTPS yaitu sama-sama dirancang untuk menyediakan transaksi dan message yang aman melalui Web • Beberapa perbedaan SHHTP dengan HTTPS: – SSL bersifat connection-oriented dan bekerja pada layer transport – SSL membentuk koneksi yang aman yang dapat dilalui oleh message – SHTTP bersifat transaction-oriented dan bekerja pada layer aplikasi – Pada SHHTP setiap message dienkripsi agar aman ketika ditransmisikan • Tidak ada pipa aman yang dibentuk antar entitas – SSL dapat digunakan bersama protokol TCP/IP yang lain seperti FTP dan TELNET – SHTTP khusus untuk HTTP – HTTPS banyak diterapkan sedangkan penggunaan SHTTP hanya terbatas (tidak semua web browser mendukung SHTTP) 22
Web Browser Attacks • Hijacking – Man-in-the-middle attack; penyerang mengambil alih session • Replay – Man-in-the-middle attack; data yang dikirim diulangi (replayed) • Penyebaran malcode (viruses, worms, dsb.) • Menjalankan executables yang berbahaya pada host • Mengakses file pada host – Beberapa serangan memungkinkan browser mengirimkan file ke penyerang – File dapat mengandung informasi personal seperti data perbankan, passwords dsb. • Pencurian informasi pribadi 23
Hijacking Attack 24
Replay Attack 25
Langkah-langkah untuk menaikkan tingkat keamanan browser • Selalu mengupdate web browser menggunakan patch terbaru • Mencegah virus • Menggunakan situs yang aman untuk transaksi finansial dan sensitif • Menggunakan secure proxy • Mengamankan lingkungan jaringan • Tidak menggunakan informasi pribadi • Hati-hati ketika merubah setting browser 26
General Recommendations • Hati-hati ketika merubah konfigurasi browser • Jangan membuat konfigurasi yang mendukung scripts dan macros • Jangan langsung menjalankan program yang anda download dari internet • Browsing ke situs-situs yang aman – Mengurangi kemungkinan adanya malcode dan spyware • Konfigurasi home pae harus hati-hati – Lebih baik gunakan blank. • Jangan mempercayai setiap links (periksa dulu arah tujuan link itu) • Jangan selalu mengikuti link yang diberitahukan lewat e-mail • Jangan browsing dari sistem yang mengandung data sensitif • Lindungi informasi anda kalau bisa jangan gunakan informasi pribadi pada web • Gunakan stronger encryption – Pilih 128-bit encryption • Gunakan browser yang jarang digunakan – Serangan banyak dilakukan pada web browser yang populer • Minimalkan penggunaan plugins • Minimalkan penggunaan cookies • Perhatikan cara penanganan dan lokasi penyimpanan temporary files 27

Recommended

World wide web security
World wide web securityWorld wide web security
World wide web security
likut101010
 
16101048 nur adinda fauziah tugas 3
16101048 nur adinda fauziah tugas 316101048 nur adinda fauziah tugas 3
16101048 nur adinda fauziah tugas 3
NurAdindaFauziah
 
Sistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDFSistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDF
Nurdin Al-Azies
 
Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)
Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)
Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)
Adibatur Rahmawati
 
Strategic management u2 ip
Strategic management u2 ipStrategic management u2 ip
Strategic management u2 ip
elisha22
 
Au Psy492 W6 A3 Ssal Sonson E E Portfolio Slide Share
Au Psy492 W6 A3 Ssal Sonson E E Portfolio Slide ShareAu Psy492 W6 A3 Ssal Sonson E E Portfolio Slide Share
Au Psy492 W6 A3 Ssal Sonson E E Portfolio Slide Share
elisha22
 
Au Psy492 M1 A3 Ps Sonson E
Au Psy492 M1 A3 Ps Sonson EAu Psy492 M1 A3 Ps Sonson E
Au Psy492 M1 A3 Ps Sonson E
elisha22
 
Moodle
MoodleMoodle
Moodle
Omer Hameiri
 

Recommended

World wide web security
World wide web securityWorld wide web security
World wide web security
likut101010
 
16101048 nur adinda fauziah tugas 3
16101048 nur adinda fauziah tugas 316101048 nur adinda fauziah tugas 3
16101048 nur adinda fauziah tugas 3
NurAdindaFauziah
 
Sistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDFSistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDF
Nurdin Al-Azies
 
Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)
Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)
Perangkat Keras & Akses Internet (Media Pembelajaran Ms.Power Point BAB V)
Adibatur Rahmawati
 
Strategic management u2 ip
Strategic management u2 ipStrategic management u2 ip
Strategic management u2 ip
elisha22
 
Au Psy492 W6 A3 Ssal Sonson E E Portfolio Slide Share
Au Psy492 W6 A3 Ssal Sonson E E Portfolio Slide ShareAu Psy492 W6 A3 Ssal Sonson E E Portfolio Slide Share
Au Psy492 W6 A3 Ssal Sonson E E Portfolio Slide Share
elisha22
 
Au Psy492 M1 A3 Ps Sonson E
Au Psy492 M1 A3 Ps Sonson EAu Psy492 M1 A3 Ps Sonson E
Au Psy492 M1 A3 Ps Sonson E
elisha22
 
Moodle
MoodleMoodle
Moodle
Omer Hameiri
 
Personal Effectiveness Asgn 2
Personal Effectiveness Asgn 2Personal Effectiveness Asgn 2
Personal Effectiveness Asgn 2
elisha22
 
Au Psy492 M7 A3 E Portf Sonson E
Au Psy492 M7 A3 E Portf Sonson EAu Psy492 M7 A3 E Portf Sonson E
Au Psy492 M7 A3 E Portf Sonson E
elisha22
 
Physiological Psychology M8 A2
Physiological Psychology M8 A2Physiological Psychology M8 A2
Physiological Psychology M8 A2
elisha22
 
Au Psy492 M6 A2 Sonson E
Au Psy492 M6 A2 Sonson EAu Psy492 M6 A2 Sonson E
Au Psy492 M6 A2 Sonson E
elisha22
 
Active passive pr
Active passive prActive passive pr
Active passive pr
Sheila Mendez
 
La marque, productrice de contenu el gen_v3
La marque, productrice de contenu el gen_v3La marque, productrice de contenu el gen_v3
La marque, productrice de contenu el gen_v3
CloudRaker
 
Crime And Causes Module 6 A2 Revised
Crime And Causes Module 6 A2 RevisedCrime And Causes Module 6 A2 Revised
Crime And Causes Module 6 A2 Revised
elisha22
 
Strategic management
Strategic management Strategic management
Strategic management
elisha22
 
Ppt biologi peredaran darah
Ppt biologi peredaran darahPpt biologi peredaran darah
Ppt biologi peredaran darah
Syair Audi Liri Sacra
 
Reflexive pronouns ppt quiz
Reflexive pronouns ppt quizReflexive pronouns ppt quiz
Reflexive pronouns ppt quiz
Sheila Mendez
 
Methode kanban
Methode kanbanMethode kanban
Methode kanban
guestb3d8d997
 
Presentasi web security
Presentasi web securityPresentasi web security
Presentasi web security
inyonoel
 
keamanan website.pptx
keamanan website.pptxkeamanan website.pptx
keamanan website.pptx
MSyahidNurWahid
 
Squid apache
Squid apacheSquid apache
Squid apache
HARRY CHAN PUTRA
 
MATERI KEAMANAN SIBER.pptx
MATERI KEAMANAN SIBER.pptxMATERI KEAMANAN SIBER.pptx
MATERI KEAMANAN SIBER.pptx
MUTIAHARDITA
 
Slide-IST104-IST104-Slide-10-11.pptx
Slide-IST104-IST104-Slide-10-11.pptxSlide-IST104-IST104-Slide-10-11.pptx
Slide-IST104-IST104-Slide-10-11.pptx
untuk1
 
dokumen.tips_presentasi-web-server.ppt
dokumen.tips_presentasi-web-server.pptdokumen.tips_presentasi-web-server.ppt
dokumen.tips_presentasi-web-server.ppt
rico63562
 
14001326 all-about-squid-apache - [the-xp.blogspot.com]
14001326 all-about-squid-apache - [the-xp.blogspot.com]14001326 all-about-squid-apache - [the-xp.blogspot.com]
14001326 all-about-squid-apache - [the-xp.blogspot.com]
Krisman Tarigan
 
Pertemuan06 keamanansistemwww
Pertemuan06 keamanansistemwwwPertemuan06 keamanansistemwww
Pertemuan06 keamanansistemwww
Roziq Bahtiar
 
Komputer Server
Komputer ServerKomputer Server
Komputer Server
Umi Badriyah
 
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptxWEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
storeachnew
 
Squid indonesia
Squid indonesiaSquid indonesia
Squid indonesia
Suhendri Prasetyo
 

More Related Content

Viewers also liked

Personal Effectiveness Asgn 2
Personal Effectiveness Asgn 2Personal Effectiveness Asgn 2
Personal Effectiveness Asgn 2
elisha22
 
Au Psy492 M7 A3 E Portf Sonson E
Au Psy492 M7 A3 E Portf Sonson EAu Psy492 M7 A3 E Portf Sonson E
Au Psy492 M7 A3 E Portf Sonson E
elisha22
 
Physiological Psychology M8 A2
Physiological Psychology M8 A2Physiological Psychology M8 A2
Physiological Psychology M8 A2
elisha22
 
Au Psy492 M6 A2 Sonson E
Au Psy492 M6 A2 Sonson EAu Psy492 M6 A2 Sonson E
Au Psy492 M6 A2 Sonson E
elisha22
 
La marque, productrice de contenu el gen_v3
La marque, productrice de contenu el gen_v3La marque, productrice de contenu el gen_v3
La marque, productrice de contenu el gen_v3
CloudRaker
 
Crime And Causes Module 6 A2 Revised
Crime And Causes Module 6 A2 RevisedCrime And Causes Module 6 A2 Revised
Crime And Causes Module 6 A2 Revised
elisha22
 
Reflexive pronouns ppt quiz
Reflexive pronouns ppt quizReflexive pronouns ppt quiz
Reflexive pronouns ppt quiz
Sheila Mendez
 

Viewers also liked (11)

Personal Effectiveness Asgn 2
Personal Effectiveness Asgn 2Personal Effectiveness Asgn 2
Personal Effectiveness Asgn 2
 
Au Psy492 M7 A3 E Portf Sonson E
Au Psy492 M7 A3 E Portf Sonson EAu Psy492 M7 A3 E Portf Sonson E
Au Psy492 M7 A3 E Portf Sonson E
 
Physiological Psychology M8 A2
Physiological Psychology M8 A2Physiological Psychology M8 A2
Physiological Psychology M8 A2
 
Au Psy492 M6 A2 Sonson E
Au Psy492 M6 A2 Sonson EAu Psy492 M6 A2 Sonson E
Au Psy492 M6 A2 Sonson E
 
Active passive pr
Active passive prActive passive pr
Active passive pr
 
La marque, productrice de contenu el gen_v3
La marque, productrice de contenu el gen_v3La marque, productrice de contenu el gen_v3
La marque, productrice de contenu el gen_v3
 
Crime And Causes Module 6 A2 Revised
Crime And Causes Module 6 A2 RevisedCrime And Causes Module 6 A2 Revised
Crime And Causes Module 6 A2 Revised
 
Strategic management
Strategic management Strategic management
Strategic management
 
Ppt biologi peredaran darah
Ppt biologi peredaran darahPpt biologi peredaran darah
Ppt biologi peredaran darah
 
Reflexive pronouns ppt quiz
Reflexive pronouns ppt quizReflexive pronouns ppt quiz
Reflexive pronouns ppt quiz
 
Methode kanban
Methode kanbanMethode kanban
Methode kanban
 

Similar to 5

Slide-IST104-IST104-Slide-10-11.pptx
Slide-IST104-IST104-Slide-10-11.pptxSlide-IST104-IST104-Slide-10-11.pptx
Slide-IST104-IST104-Slide-10-11.pptx
untuk1
 
dokumen.tips_presentasi-web-server.ppt
dokumen.tips_presentasi-web-server.pptdokumen.tips_presentasi-web-server.ppt
dokumen.tips_presentasi-web-server.ppt
rico63562
 
14001326 all-about-squid-apache - [the-xp.blogspot.com]
14001326 all-about-squid-apache - [the-xp.blogspot.com]14001326 all-about-squid-apache - [the-xp.blogspot.com]
14001326 all-about-squid-apache - [the-xp.blogspot.com]
Krisman Tarigan
 
Pertemuan06 keamanansistemwww
Pertemuan06 keamanansistemwwwPertemuan06 keamanansistemwww
Pertemuan06 keamanansistemwww
Roziq Bahtiar
 
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptxWEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
storeachnew
 
#15 Web Security bisnis digital belajar pemograman.pptx
#15 Web Security bisnis digital belajar pemograman.pptx#15 Web Security bisnis digital belajar pemograman.pptx
#15 Web Security bisnis digital belajar pemograman.pptx
IDELSAMANGUN
 
Perkembangan web server di Linux
Perkembangan web server di LinuxPerkembangan web server di Linux
Perkembangan web server di Linux
Tugas_SO2
 
media interakitf berbasis halaman website
media interakitf berbasis halaman websitemedia interakitf berbasis halaman website
media interakitf berbasis halaman website
MIlham52
 

Similar to 5 (20)

Presentasi web security
Presentasi web securityPresentasi web security
Presentasi web security
 
keamanan website.pptx
keamanan website.pptxkeamanan website.pptx
keamanan website.pptx
 
Squid apache
Squid apacheSquid apache
Squid apache
 
MATERI KEAMANAN SIBER.pptx
MATERI KEAMANAN SIBER.pptxMATERI KEAMANAN SIBER.pptx
MATERI KEAMANAN SIBER.pptx
 
Slide-IST104-IST104-Slide-10-11.pptx
Slide-IST104-IST104-Slide-10-11.pptxSlide-IST104-IST104-Slide-10-11.pptx
Slide-IST104-IST104-Slide-10-11.pptx
 
dokumen.tips_presentasi-web-server.ppt
dokumen.tips_presentasi-web-server.pptdokumen.tips_presentasi-web-server.ppt
dokumen.tips_presentasi-web-server.ppt
 
14001326 all-about-squid-apache - [the-xp.blogspot.com]
14001326 all-about-squid-apache - [the-xp.blogspot.com]14001326 all-about-squid-apache - [the-xp.blogspot.com]
14001326 all-about-squid-apache - [the-xp.blogspot.com]
 
Pertemuan06 keamanansistemwww
Pertemuan06 keamanansistemwwwPertemuan06 keamanansistemwww
Pertemuan06 keamanansistemwww
 
Komputer Server
Komputer ServerKomputer Server
Komputer Server
 
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptxWEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
 
Squid indonesia
Squid indonesiaSquid indonesia
Squid indonesia
 
#15 Web Security bisnis digital belajar pemograman.pptx
#15 Web Security bisnis digital belajar pemograman.pptx#15 Web Security bisnis digital belajar pemograman.pptx
#15 Web Security bisnis digital belajar pemograman.pptx
 
10. m 12 pertemuan 23
10. m 12 pertemuan 2310. m 12 pertemuan 23
10. m 12 pertemuan 23
 
CyberOps Associate Modul 24 Technologies and Protocols
CyberOps Associate Modul 24 Technologies and ProtocolsCyberOps Associate Modul 24 Technologies and Protocols
CyberOps Associate Modul 24 Technologies and Protocols
 
Modul 7 - Keamanan Jaringan Komputer
Modul 7 - Keamanan Jaringan KomputerModul 7 - Keamanan Jaringan Komputer
Modul 7 - Keamanan Jaringan Komputer
 
Perkembangan web server di Linux
Perkembangan web server di LinuxPerkembangan web server di Linux
Perkembangan web server di Linux
 
media interakitf berbasis halaman website
media interakitf berbasis halaman websitemedia interakitf berbasis halaman website
media interakitf berbasis halaman website
 
Tugas2 0317 [lingga eka pradipta]-[1411501073]
Tugas2 0317 [lingga eka pradipta]-[1411501073]Tugas2 0317 [lingga eka pradipta]-[1411501073]
Tugas2 0317 [lingga eka pradipta]-[1411501073]
 
Proxy server
Proxy serverProxy server
Proxy server
 
Tugas[2] 0317-[Wildan Latief]-[1512500818]
Tugas[2] 0317-[Wildan Latief]-[1512500818]Tugas[2] 0317-[Wildan Latief]-[1512500818]
Tugas[2] 0317-[Wildan Latief]-[1512500818]
 

5

  • 1. Company LOGO World Wide Web Security Tutun Juhana STEI ITB
  • 2. Web Browser The Old Days Image + Text Nowadays Run CGI scripts on Web server Run Java Script and VBScript Java Aplet and ActiveX Plugins 2
  • 3. Web Browser Risks • Web server bisa jadi tidak aman – Batasi pengiriman data sensitif ke web server yang tidak aman • Browser menjalankan malcode dalam bentuk scripts atau executables • Penyerang bisa menyadap trafik jaringan – Resiko penyadapan dapat dikurangi melalui penggunaan Secure Sockets Layer (SSL) untuk meng-enkripsi data yang ditransmisikan • Penyerang dapat menjalankan serangan man-in-the- middle attack – Aplikasi web yang sessionless sangat potensial untuk menjadi korban serangan man-in-themiddle attacks seperti hijacking and replay. 3
  • 4. Cara kerja Web Browser • Protokol utama yang digunakan Web browser adalah HTTP (Hypertext Transfer Protocol) • HTTP merupakan protokol layer aplikasi yang memungkinkan Web browser untuk meminta halaman web dari dan mengirimkan informasi ke Web server • Web server akan merespons dengan mengirimkan: – Kode HTML – Gambar – Scripts – Executables • HTTP adalah protokol stateless: tidak mengingat session sebelumnya 4
  • 5. 5
  • 6. Cookies • Cookie adalah sarana penyimpan informasi yang dibuat oleh suatu Web site untuk menyimpan informasi tentang user yang mengunjungi situs yang bersangkutan – Penyimpanan informasi ini demi kemanyanan user maupun Web site – Informasi sensitif dan pribadi merupakan perhatian dari sisi keamanan • Cookie merupakan file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal • Ketika request baru dikirimkan, server dapat meminta browser untuk mencek apakah ada cookie, jika ada, web server dapat meminta web browser untuk mengirimkan cookie ke web server – Cookie ini bisa berasal dari manapun • Isi cookie dikendalikan oleh Web server dan bisa mengandung informasi mengenai kebiasaan kita ketika mengakses internet • Informasi yang diproleh Web server berasal dari Web browser – Diperoleh ketika user mengisi form yang mengharuskan memasukkan nama dan e-mail address • Informasi ini dapat disimpan di cookie untuk keperluan di masa datang 6
  • 7. Macam-macam cookie • Persistent Cookies – Bertahan di local system untuk waktu yang lama (walaupun sistem sudah direboot) – Tersimpan di dalam hard disk dalam bentuk file cookies.txt • File ini dapat dibaca dan diedit oleh user atau system administrator • File ini bisa mengandung informasi yang sensitif • Jika suatu saat seorang penyerang dapat masuk ke dalam workstation tempat menyimpan cookie maka penyerang dapat menggunakannya untuk melakukan serangan berikut • Karena bisa dimodifikasi maka file cookies dapat digunakan untuk melakukan penyerangan hijacking atau replay attack. – Kelemahan: • File cookies bisa memenuhi hard disk • Riwayat kebiasaan surfing dapat digunakan oleh pihak lain 7
  • 8. • Nonpersistent cookies – Karena kelemahan persistent cookies, banyak situs yang sekarang menggunakan nonpersistent cookie – nonpersistent cookie disimpan di memori sehingga bila komputer dimatikan cookies nya juga akan hilang – Tidak ada jaminan bahwa setiap browser akan dapat menangani nonpersistent cookies secara benar 8
  • 9. • Cookies pada umumnya mengandung informasi yang memungkinkan suatu web site dapat mengingat user yang mengunjungi situs tersebut • Informasi yang paling sering disimpan di cookies adalah sbb: – Session ID • Digunakan untuk memaintain state atau membawa informasi otorisasi antar request yang dilakkan web browser – Waktu dan tanggal dikeluarkannya cookie – Waktu dan tanggal kadaluarsa cookies • Digunakan oleh Web site untuk menentukan pengabaian cookies yang lama – IP address dari browser • Dapat dianggap sebagai uji tambahan terhadap otentikasi request 9
  • 10. Caching • Bila anda mengakses suatu Web site, browser yang anda gunakan bisa jadi menyimpan halaman web dan gambar di dalam cache • Web browsers melakukan ini untuk kenyamanan user dengan cara mempercepat akses kepada suatu halaman web • Ini bisa jadi merupakan masalah keamanan karena bila workstation berhasil ditembus, penyerang dapat mempelajari kegiatan browsing yang dilakukan user • Web browser juga menyimpan sejarah situs yang pernah anda kunjungi 10
  • 11. Secure Socket Layer • SSL dikembangkan oleh Netscape untuk menyediakan layanan keamanan pada pengiriman informasi melalui Internet • SSL memandaatkan asymmetric maupun symmetric key encryption untuk membentuk dan mentransfer data pada link komunikasi yang aman pada jaringan yang tidak aman • Bila digunakan pada browser di client, SSL membentuk suatu koneksi yang aman antara browser pada client dengan server – Biasanya berbentuk HTTP over SSL (HTTPS) – Proses ini membentuk suatu encrypted tunnel antara browser dengan Web server yang dapat digunakan untuk mengirimkan data • Pihak yang berusaha menyadap koneksi antara browser dengan server tidak dapat men-dekripsi informasi yang dipertukarkan di antara keduanya • Integritas informasi dibentuk menggunakan algoritma hashing • Confidentiality dijamin oleh enkripsi 11
  • 12. Session SSL yang tipikal 1. Browser atau client meminta sertifikat server 2. Server mengirimkan sertifikat ke browser 3. Setelah menerima sertifikat server, browser akan mencek apakah sertifkat berasal dari certificate authority (CA) yang dapat dipercaya • Web browser mengirimkan challenge ke server untuk menjamin bahwa server memiliki private key yang sesuai dengan public key yang ada di dalam sertifikat • Challenge ini mengandung kunci simetris yang akan digunakan untuk mengenkripsi trafik SSL traffic • Hanya pemiliki private key yang dapat mendekripsi challenge. 1. Web server merespon challenge dengan suatu pesan pendek yang dienkripsi menggunakan kunci simetris yang diperoleh dari challenge. Setelah menerima message ini, browser yakin bahwa dia berkomunikasi dengan organisasi yang tepat 2. Sekarang browser dan server memiliki kunci simteris yang sama 3. Setiap message dari browser dapat dienkripsi menggunakan kunci simetris • Web server menggunakan kunci simteris yang sama untuk mendekripsi trafik 1. Dengan proses yang serupa, setiap response dari server akan dienkripsi menggunakan kunci simetris 12
  • 14. Netscape Navigator dan Internet Explorer mendukung HTTPS • Pada umumnya software Web server mendukung HTTPS • Situs-situs e-commerce biasanya menggunakan HTTPs juga untuk memperoleh informasi rahasia user • Server diotentikasi oleh client melalui sebuah digital certificate • Kekuatan enkripsi biasanya ditentukan oleh server tetapi biasanya dipilih berdasarkan kemampuan browser client • Tipe enkripsi yang digunakan di dalam browser tergantung kepada apakah browser tersebut akan dijual di USA atau di luar USA • Versi enkripsi untuk pemakaian di luar USA menggunakan weak encryption • Pemakaian enkripsi untuk di dalam USA menggunakan strong encryption • Weak encryption: 40-bit or 56-bit encryption • Strong encryption : 128-bit encryption – 128-bit encryption adalah 300,000,000,000,000,000,000,000,000 lebih kuat daripada 40-bit encryption. • Netscape menyediakan dua versi browser : strong (in USA) and weak encryption (outside USA) • Internet explorer default-nya menyediakan weak encryption – Kalau ingin strong encryption harus di-patch 14
  • 15. 15
  • 16. 16
  • 17. 17
  • 18. 18
  • 19. • Web browser yang dikonfigurasi dengan baik akan memperingatkan user akan adanya masalah pada sertifikat server bila menemui terjadinya hal-hal berikut: – Sertifikat tidak ditandatangani oleh suatu recognized certificate authority – Sertifikat invalid atau kadaluarsa – Common name sertifikat tidak match dengan nama domain server 19
  • 21. • Penggunaan symmetric encryption sekalipun masih tetap memperlambat proses koneksi • Pada tahun 1999, Internet Week melaporkan hasil pengujian pada server Sun 450 untuk melihat efek SSL – Pada kapasitas penuh, server dapat menangani sekitar 500 koneksi per detik untuk koneksi menggunakan HTTP biasa – Bila menggunakan SSL, server yang sama hanya dapat melayani sekitar 3 koneksi per detik • Untuk mempercepat proses bisa digunakan SSL accelerator 21
  • 22. Secure HTTP (SHTTP) • SHTTP merupakan pengembangan dari protokol HTTP yang dikembangkan oleh Enterprise Integration Technologies • Secara fungsional SHTTP serupa dengan HTTPS yaitu sama-sama dirancang untuk menyediakan transaksi dan message yang aman melalui Web • Beberapa perbedaan SHHTP dengan HTTPS: – SSL bersifat connection-oriented dan bekerja pada layer transport – SSL membentuk koneksi yang aman yang dapat dilalui oleh message – SHTTP bersifat transaction-oriented dan bekerja pada layer aplikasi – Pada SHHTP setiap message dienkripsi agar aman ketika ditransmisikan • Tidak ada pipa aman yang dibentuk antar entitas – SSL dapat digunakan bersama protokol TCP/IP yang lain seperti FTP dan TELNET – SHTTP khusus untuk HTTP – HTTPS banyak diterapkan sedangkan penggunaan SHTTP hanya terbatas (tidak semua web browser mendukung SHTTP) 22
  • 23. Web Browser Attacks • Hijacking – Man-in-the-middle attack; penyerang mengambil alih session • Replay – Man-in-the-middle attack; data yang dikirim diulangi (replayed) • Penyebaran malcode (viruses, worms, dsb.) • Menjalankan executables yang berbahaya pada host • Mengakses file pada host – Beberapa serangan memungkinkan browser mengirimkan file ke penyerang – File dapat mengandung informasi personal seperti data perbankan, passwords dsb. • Pencurian informasi pribadi 23
  • 26. Langkah-langkah untuk menaikkan tingkat keamanan browser • Selalu mengupdate web browser menggunakan patch terbaru • Mencegah virus • Menggunakan situs yang aman untuk transaksi finansial dan sensitif • Menggunakan secure proxy • Mengamankan lingkungan jaringan • Tidak menggunakan informasi pribadi • Hati-hati ketika merubah setting browser 26
  • 27. General Recommendations • Hati-hati ketika merubah konfigurasi browser • Jangan membuat konfigurasi yang mendukung scripts dan macros • Jangan langsung menjalankan program yang anda download dari internet • Browsing ke situs-situs yang aman – Mengurangi kemungkinan adanya malcode dan spyware • Konfigurasi home pae harus hati-hati – Lebih baik gunakan blank. • Jangan mempercayai setiap links (periksa dulu arah tujuan link itu) • Jangan selalu mengikuti link yang diberitahukan lewat e-mail • Jangan browsing dari sistem yang mengandung data sensitif • Lindungi informasi anda kalau bisa jangan gunakan informasi pribadi pada web • Gunakan stronger encryption – Pilih 128-bit encryption • Gunakan browser yang jarang digunakan – Serangan banyak dilakukan pada web browser yang populer • Minimalkan penggunaan plugins • Minimalkan penggunaan cookies • Perhatikan cara penanganan dan lokasi penyimpanan temporary files 27