Dipersiapkan Oleh :
AKMAL FIKRI (F1E119052)
VIVIOLA PRASETIANING PUTRI (F1E119062)
SALSABILA DWI FITRI (F1E119069)
REVALDO RIZKY AULIA H (F1E119081)
Dosen Pengampu :
UNIVERSITAS JAMBI
2022
Keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling
tidak mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik. (G. J. Simons)
Rahasia Aplikasi digunakan di beberapa alur Login untuk menghasilkan token akses dan
Rahasia itu sendiri dimaksudkan untuk mengamankan penggunaan Aplikasi Anda hanya
untuk mereka yang dipercaya. Rahasia tersebut bisa digunakan agar mudah membuat
Token Akses Aplikasi yang dapat membuat permintaan API atas nama setiap pengguna
aplikasi, yang membuatnya sangat penting bahwa Rahasia Aplikasi tidak bocor.Oleh
karena itu, Rahasia Aplikasi atau token Akses Aplikasi tidak boleh disertakan dalam kode
apa pun yang dapat diakses oleh siapa pun selain developer aplikasi. Ini berlaku untuk
semua metode kode yang tidak diamankan seperti kode sisi klien (seperti HTML atau
JavaScript) atau aplikasi native (seperti aplikasi desktop iOS, Android atau Windows)
yang dapat didekompilasi.Kami rekomendasikan agar Token Akses Aplikasi hanya boleh
digunakan langsung dari server aplikasi Anda untuk memberikan keamanan terbaik.
Untuk aplikasi native, kami sarankan agar aplikasi tersebut berkomunikasi dengan server
Anda sendiri dan server kemudian membuat permintaan API ke Facebook menggunakan
Token Akses Aplikasi. Untuk alasan ini, jika 'Jenis Aplikasi' Anda di bawah Pengaturan
Lanjutan di Aplikasi Dasbor diatur ke Native/Desktop, kami berasumsi bahwa aplikasi
native Anda berisi Rahasia Aplikasi atau Token Akses Aplikasi dalam biner, dan kami
tidak mengizinkan panggilan yang ditandatangani dengan Token Akses Aplikasi untuk
melanjutkan. API akan berperilaku seolah-olah tidak ada token akses yang diberikan.
Anda dapat mengurangi eksposur Anda terhadap malware dan spammer dengan
mengharuskan panggilan server ke server ke API Facebook ditandatangani dengan
parameter appsecret_proof. Bukti kunci rahasia aplikasi merupakan hash sha256 dari
token akses Anda, yang menggunakan rahasia aplikasi Anda sebagai kunci. Rahasia
aplikasi dapat ditemukan di dasbor aplikasi Anda di Pengaturan > Dasar.
Mengamankan Panggilan Sisi Klien dengan Token Berdurasi Singkat dan Alur
Kode
Pembajakan Token
Periksa Validitas Token Akses Secara Rutin
Jika Anda tidak menggunakan Facebook SDK, periksa secara berkala apakah token akses
valid. Token akses memiliki jadwal penghentian masa berlaku, tetapi token dapat dibuat
berakhir lebih awal untuk alasan keamanan. Jika Anda tidak menggunakan Facebook
SDK di aplikasi, Anda harus sering memeriksa validitas token secara manual — minimal
tiap hari — untuk memastikan bahwa aplikasi tidak bergantung pada token yang telah
berakhir masa berlakunya lebih awal untuk alasan keamanan.
Parameter Status
Mengaktifkan Mode Ketat
Gunakan Https
Mengaktifkan JavaScript SDK untuk Facebook Login
Cara Kerja Pemeriksaan URI Pengalihan
Kunci Pengaturan Aplikasi Facebook Anda
Mengaktifkan dan/atau menonaktifkan alur autentikasi yang tidak digunakan aplikasi untuk
meminimalkan area permukaan serangan.
- Gunakan token akses berdurasi singkat yang dihasilkan kode di klien dan bukan
token yang dibuat klien atau token berdurasi lama yang disediakan server. Alur
token akses jangka pendek yang dihasilkan kode mengharuskan server aplikasi untuk
menukar kode dengan token, yang lebih aman daripada mendapatkan token di
browser. Aplikasi sebaiknya memilih menggunakan alur ini jika memungkinkan agar
lebih aman - jika aplikasi hanya mengaktifkan alur ini, malware yang berjalan di
komputer pengguna tidak dapat memperoleh token akses untuk disalahgunakan.
Pelajari selengkapnya di dokumentasi token akses.
- Nonaktifkan Login OAuth Klien jika aplikasi Anda tidak
menggunakannya. Klien OAuth Login adalah tombol nyala-mati global untuk
menggunakan alur token klien OAuth. Jika aplikasi Anda tidak menggunakan alur
OAuth klien apa pun, yang mencakup Facebook Login SDK, Anda harus
menonaktifkan alur ini. Namun, perhatikan bahwa Anda tidak dapat meminta izin
untuk token akses jika Anda menonaktifkan Login OAuth Klien. Pengaturan ini ada
di bagian Produk > Facebook Login > Pengaturan pada Dasbor Aplikasi.
- Nonaktifkan Alur OAuth Web atau Tentukan Daftar Diizinkan untuk
Pengalihan. Pengaturan Login OAuth Web memungkinkan alur token klien OAuth
apa pun yang menggunakan dialog login web Facebook untuk mengembalikan token
ke situs web Anda sendiri. Pengaturan ini ada di bagian Produk > Facebook
Login > Pengaturan pada Dasbor Aplikasi. Nonaktifkan pengaturan ini jika Anda
tidak membuat alur login web khusus atau menggunakan Facebook Login SDK di
web.
- Wajibkan HTTPS. Pengaturan ini memerlukan HTTPS untuk Pengalihan OAuth,
dan memerlukan serta panggilan Facebook SDK for Javascript yang mengembalikan
atau memerlukan token akses hanya dari halaman HTTPS. Semua aplikasi baru yang
dibuat mulai Maret 2018 mengaktifkan pengaturan ini secara default, dan Anda harus
merencanakan untuk memigrasi aplikasi apa pun yang ada untuk hanya menggunakan
URL HTTPS sebelum 6 Oktober 2018. Sebagian besar host aplikasi awan utama
menyediakan konfigurasi sertifikat TLS gratis dan otomatis untuk aplikasi Anda. Jika
Anda meng-hosting sendiri aplikasi Anda atau layanan hosting Anda tidak
menawarkan HTTPS secara default, Anda dapat memperoleh sertifikat gratis untuk
domain Anda dari Let's Encrypt
3. Kata Sandi
Banyak orang menggunakan kata sandi yang mudah diingat dan berkaitan dengan
pengalaman pribadi. Yang menjadi isu adalah hal tersebut sangat mudah ditebak orang lain.
Sangat penting untuk menggunakan kata sandi yang kuat dan unik sehingga tidak mudah
ditebak. Sebaiknya, pengguna menggunakan kombinasi unik angka, karakter, dan kata, juga
mengunjungi menu 'Changing Password' (ubah kata sandi) secara berkala.
sistem log-in kami dirancang untuk menutupi kata sandi menggunakan teknik yang
membuatnya tidak dapat dibaca. Kami telah memperbaiki masalah ini dan sebagai tindakan
pencegahan kami akan memberi tahu semua orang yang password-nya kami temukan
disimpan
4. Akses Keamanan Ganda
Cara lain untuk memperkuat pertahanan adalah dengan memanfaatkan fitur 'two-factor
authentication' atau 2FA untuk login. Fungsi 2FA Facebook membuat akun lebih aman
karena pengguna harus menggunakan kombinasi identifikasi personal untuk login, biasanya
kata sandi dan kode unik login dikirimkan ke nomor ponsel melalui pesan singkat.
Lapisan kedua perlindungan ini banyak digunakan oleh bank dan penyedia layanan online
lain yang menggunakan data pribadi atau data keuangan. Setelah akun sudah aman,
pengguna dapat mendaftarkan perangkat yang sering dipakai untuk Authorized Logins
(Login yang resmi), yang tidak membutuhkan kode, dan juga mengatur App Passwords
(Kata Sandi Aplikasi) khusus.