69
Vol. 4, No. 2, Oktober 2015, ISSN : 2089-9033
2.3 Hypertext Transfer Protokol (HTTP) dari pelanggannya seperti website perbankan dan
HTTP adalah sebuah protokol meminta atau investasi.
menjawab antara client dan server. Sebuh client HTTPS dienkripsi dan deskripsi dari halaman
HTTP seperti web browser, biasanya memulai yang di minta oleh pengguna dan halaman yang di
permintaan dengan membuat hubungan TCP/IP ke kembalikan oleh web server. Kedua protokol
port tertentu di tuan rumah yang jauh (biasanya port tersebut memberikan perlindungan yang memadai
80). Sebuah server HTTP yang mendengarkan di dari serangan eavesdroppers, dan man in the middle
port tersebut menunggu client mengirim kode attacks. Pada umumnya port yang digunakan
permintaan (request), seperti "GET / HTTP/1.1" HTTPS adalah port 443. Tingkat keamanan
(yang akan meminta halaman yang sudah tergantung pada ketepatan dalam
ditentukan), diikuti dengan pesan MIME yang mengimplementasikan pada browser web dan
memiliki beberapa informasi kode kepala yang perangkat lunak server dan didukung oleh
menjelaskan aspek dari permintaan tersebut, diikut algoritma penyandian yang aktual. Oleh karena itu,
dengan badan dari data tertentu. Beberapa kepala pada halaman web digunakan HTTPS, dan URL
(header) juga bebas ditulis atau tidak, sementara yang digunakan dimulai dengan https:// [2].
lainnya (seperti tuan rumah) diperlukan oleh
protokol HTTP/1.1. Begitu menerima kode 2.5 Cara Kerja HTTP
permintaan (dan pesan, bila ada), server mengirim Https bukan protokol yang terpisah, tetapi
kembali kode jawaban, seperti "200 OK", dan mengacu pada kombinasi dari interaksi HTTP
sebuah pesan yang diminta, atau sebuah pesan error normal melalui Socket Layer terenkripsi SSL
atau pesan lainnya. Pengembangan HTTP (Secure) atau Transport Layer Security (TLS)
dikoordinasi oleh Konsorsium World Wide Web mekanisme transportasi. Hal ini menjamin
(W3C) dan grup bekerja Internet Engineering Task perlindungan yang wajar dari penyadapan dan
Force (IETF), bekerja dalam publikasi satu seri serangan. Port default TCP https: URL adalah 443.
RFC, yang paling terkenal RFC 2616, yang Untuk mempersiapkan web-server terkoneksi
menjelaskan HTTP/1.1, versi HTTP yang dengan https penerima harus menjadi administrator
digunakan umum sekarang ini [3]. dan membuat sertifikat kunci publik untuk server
web. Sertifikat ini dapat dibuat untuk server
2.4 Hypertext Transfer Protocol Secure berbasis Linux dengan alat seperti open SSL.
(HTTPS) Sertifikat ini harus ditandatangani oleh otoritas
Hypertext Transfer Protocol Secure memiliki sertifikat satu bentuk atau lain, yang menyatakan
pengertian yang sama dengan http hanya saja https bahwa pemegang sertifikat adalah siapa yang
memiliki kelebihan fungsi di bidang keamanan mereka ajukan. Web browser pada umumnya
(secure). Dengan menggunakan Secure Socket didistribusikan dengan penandatanganan sertifikat
Layer (SSL) atau Transport Layer Security (TLS) otoritas sertifikat utama, sehingga mereka dapat
sebagai sublayer di bawah http aplikasi layer yang memverifikasi sertifikat yang ditandatangani oleh
biasa. Teknologi https protokol mencegah mereka.
kemungkinan “dicurinya” informasi penting yang Bila menggunakan koneksi https, server
dikirimkan selama proses komunikasi berlangsung merespon koneksi awal dengan menawarkan daftar
antara user dengan web server atau sebaliknya. metode enkripsi mendukung. Sebagai tanggapan,
Secara teknis, website yang menggunakan https client memilih metode sambungan, dan client dan
akan melakukan enkripsi terhadap informasi (data) sertifikat server pertukaran untuk otentikasi
menggunakan teknik enkripsi SSL. Dengan cara ini identitas mereka. Setelah ini dilakukan, kedua belah
meskipun seseorang berhasil “mencuri” data pihak bertukar informasi terenkripsi setelah
tersebut selama dalam perjalanan user web server, memastikan bahwa kedua menggunakan tombol
orang tersebut tidak akan bisa membacanya karena yang sama, dan koneksi ditutup. Untuk host
sudah diubah oleh teknik enkripsi SSL. Umumnya koneksi https, server harus memiliki sertifikat kunci
website yang menggunakan https ini adalah website publik, yang embeds informasi kunci dengan
yang memiliki tingkat kerawanan tinggi yang verifikasi identitas pemilik kunci itu. Sertifikat
berhubungan dengan masalah keuangan dan privasi Kebanyakan diverifikasi oleh pihak ketiga sehingga
client yakin bahwa kuncinya adalah aman [2].
Jurnal Ilmiah Komputer dan Informatika (KOMPUTA)
71
Vol. 4, No. 2, Oktober 2015, ISSN : 2089-9033
2.6 Secure Socket Layer (SSL) yang menggunakan TLS untuk menciptakan
Secure Socket Layer adalah suatu protokol yang koneksi yang aman, antara lain HTTP, IMAP,
diciptakan oleh Netscape untuk memastikan POP3, dan SMTP [4].
keamanan dalam bertransaksi di internet antara
webserver dan browser dari client. Protokol ini 2.8 Kriptografi
menggunakan sebuah badan yang biasa disebut CA Kriptografi adalah ilmu dan praktik menjaga
(Certificate Authority) untuk mengidentifikasi kerahasiaan dari pihak-pihak yang tidak
memverifikasi pihak-pihak yang bertransaksi. dikehendaki baik saat penyampaian maupun
Secara umum, cara kerja protokol SSL adalah penyimpanan informasi tersebut. Informasi yang
sebagai berikut: hendak dilindungi itu disamarkan dengan
1. Client membuka suatu halaman yang menggunakan cara-cara dan kunci tertentu.
mendukung protokol SSL, biasanya diawali Kriptografi tidak hanya menjaga kerahasiaan
dengan “https://” pada browser. informasi, namun juga menjaga keutuhan dan
2. Webserver mengirimkan kunci publiknya keaslian informasi yang disampaikan.
besertsa dengan sertifikat server Salah satu aplikasi kriptografi di jaringan
3. Browser melakukan pemeriksaan, apakah internet adalah pengamanan situs dengan
sertifikat tersebut dikeluarkan oleh CA menggunakan protokol HTTPS ini memungkinkan
(Certificate Authority) yang terpercaya? Apakah terjadinya akses dan transaksi melalui situs internet
sertifikat terebut masih valid dan memang secara aman, misalnya dalam online banking,
berhubungan dengan alamat situs yang sedang online shopping, login ke email host dan
dikunjungi? sebagainya. Ketika menggunakan koneksi HTTPS,
4. Setelah diyakini kebenaran dari web-server server menanggapi inisiasi koneksi oleh client
tersebut, kemudian browser menggunakan dengan menawarkan berbagai metode enkripsi yang
kunci publik dari web-server untuk melakukan dapat menunjang [5].
enkripsi terhadap suatu kunci simetri yang
dibangkitkan secara acak dari pihak client. 3. PEMBAHASAN
Kunci yang dienkripsi kemudian dikirimkan ke
3.1 Obyek Penelitian
web-server untuk digunakan sebagai kunci utuk
Obyek penelitian berupa sebuah sistem operasi,
mengenkripsi alamat URL (Uniform Resource
program aplikasi dan juga sebuah device. Sistem
Locator) dan data http lain yang diperlukan
operasi yang akan diteliti adalah Kali Linux 2.0,
5. Web-server melakukan dekripsi terhadap
yang merupakan sistem operasi khusus untuk
enkrispi dari client tadi, menggunakan kunci
penetration testing. Sedangkan aplikasi yang akan
private server. Server kemudian menggunakan
dipakai untuk menganalisa hasil percobaan adalah
kunci simetri dari client tersebut untuk
Wireshark, sebuah program aplikasi yang
mendekripsi URL dan data http yang akan
digunakan untuk memantau paket data yang
diperlukan client
terkirim maupun diterima oleh sebuah device, yang
6. Server mengirimkan kembali halaman dokumen
pada percobaan Wireshark akan digunakan sebagai
HTML yang diminta client dan data http yang
aplikasi untuk sniffing paket data [6]. Kemudian,
terenkripsi dengan kunci simetri.
device yang akan dijadikan obyek percobaan adalah
7. Browser melakukan dekripsi data http dan
sebuah smartphone Sony Xperia LT25i berbasis
dokumen HTML menggunakan kunci simetri
Android Jellybean 4.3.
dan menampilkan informasi yang diminta [3].
Selain itu teknik sniffing ini juga mampu Dalam gambar dapat terlihat aktifitas yang
melihat aktifitas yang dilakukan terhadap situs web dilakukan oleh pengunggah foto tersebut dengan
lainnya baik melalui http atau https seperti melihat data yang dikirimkan dan diterima yang
misalnya teknik sniffing yang dilakukan di jejaring melewati jaringan yang telah dibuat sebelumnya.
sosial facebook. Pada alamat https://facebook.com Data yang didapat berupa alamat web tempat
melalui browser. Terlihat aktifitas yang terdapat dimana gambar tersebut diunggah. Di bawah ini
pada jaringan tersebut. Hal ini dapat terlihat pada merupakan tampilan gambar 7 yang menunjukan
gambar 5 berikut.
Jurnal Ilmiah Komputer dan Informatika (KOMPUTA)
74
Vol. 4, No. 2, Oktober 2015, ISSN : 2089-9033
proses sniffing pada akun instagram pengguna aman walaupun sebenarnya masih ada cara untuk
device di jaringan yang sama. menembus protokol tersebut dengan men-
downgrade https menjadi http.
4.2 Saran
Untuk para pengguna internet, dari hasil
percobaan ini diharapkan dapat lebih berhati-hati
dalam menggunakan wifi sebagai koneksi bebas
yang disediakan pada suatu tempat, karena bisa jadi
semua aktivitas yang dilakukan dipantau oleh
hacker dan terjadi hal yang tidak diinginkan, seperti
pencurian akun, penyebaran gambar, informasi, dll.