KEAMANAN WWW

KE VIN A R JU N A - 1 5 55 2 0 1 5 05
Jaringan komputer bukanlah sesuatu yang baru saat ini.
Hampir di setiap perusahaan terdapat jaringan komputer
untuk memperlancar arus informasi di dalam
perusahaan tersebut. Internet yang mulai populer saat
ini adalah suatu jaringan komputer raksasa yang
merupakan jaringan komputer yang terhubung dan
dapat saling berinteraksi. Hal ini dapat terjadi karena
adanya perkembangan teknologi jaringan yang sangat
pesat.
 Tetapi dalam beberapa hal terhubung dengan internet
bisa menjadi suatu ancaman yang berbahaya, banyak
serangan yang dapat terjadi baik dari dalam maupun
luar seperti virus, trojan, maupun hacker. Pada akhirnya
security komputer dan jaringan komputer akan
memegang peranan yang penting dalam kasus ini.
 APA ITU WW W?
WO R LD WID E W EB (W W W ATA U W EB ) M ERU PA KA N
SA LA H SATU “ KIL LE R A PPL IC AT IO NS ” YANG
ME NY EB A B KAN PO PU LE R NYA INT ERN ET.
KE HE B ATA N W EB AD ALA H K EM UD AHA NNYA
U NT UK M EN GA KSE S IN FO R MAS I, YA NG
DIH UB U NGK AN S ATU DEN GA N L AINN YA MELALU I
KON SE P HY PE RT EX T.
 INFO R MA SI D APAT TE R SE B AR D I MA NA-M AN A DI
D UN IA D AN TE R HU B UN G ME L ALU I   HY PERLIN K.
P EMB AC A ATA U P ER A GA SIS TE M W WW YA NG LEBIH
DIK ENA L D EN GAN IST IL AH  B R O WS ER  D APAT
DIPE R OL E H DE NG AN MU DAH , MU RA H ATA U
G RAT IS. C ON TO H B R O WS ER AD AL AH CH ROM E,
IN TE R NE T E XP LO R ER , O PE R A, K FM (K DE FILE
MA NAG ER D I SIST E M L INU X), MO ZIL LA F IREF OX ,
D AN MAS IH B A NYAK L A IN NYA.
Kemudahan penggunaan program browser inilah
Untuk itu, keamanan sistem informasi yang
yang memicu populernya WWW. Sejarah dari
berbasis Web dan teknologi Internet bergantung
browser ini dimulai dari browser di sistem
kepada keamanan sistem Web tersebut.
komputer NeXT yang kebetulan digunakan oleh
Arsitektur sistem Web terdiri dari dua sisi:
Berners-Lee. Berkembangnya WWW dan
server dan client. Keduanya dihubungkan
Internet menyebabkan pergerakan sistem
dengan jaringan komputer. Selain menyajikan
informasi untuk menggunakannya sebagai basis.
data-data dalam bentuk statis, sistem Web dapat
Banyak sistem yang tidak terhubung ke Internet
menyajikan data dalam bentuk dinamis dengan
tetapi tetap menggunakan basis Web sebagai
menjalankan program. Program ini dapat
basis untuk sistem informasinya yang dipasang
dijalankan
di jaringan Intranet.
di server dan di client.
 MU NC UL NYA MA SA LA H KE AM AN AN IN I
D ID AS AR KA N ATA S B E B ER A PA AS UM SI YA NG
DATAN G DA R I B ER B A GAI K AL AN GA N B AIK DA RI
K ALA NG AN / PIH AK USE R , DA R I PIH AK WEB
MAS T ER ATAU DA R I SIST E M W EB IT U S EN DIRI,
S EH INGG A B EB ER A PA AS UMS I DA PAT DISIM PU LK AN
S E BA GA I B ER IK UT:
A SUMS I ( SI S I P EN GG U NA )
- Server dimiliki dan dikendalikan oleh organisasi
yang mengaku memiliki server tersebut
- Dokumen yang ditampilkan bebas dari virus atau
itikad jahat lainnya
- Server tidak mencatat atau mendistribusikan
informasi tentang user (misalnya kebiasaan
browsing)
 A S UMS I ( S IS I
WE B MA ST E R )
- Pengguna tidak mencoba merusak web server
atau mengubah isinya
- Pengguna hanya mengakses dokumen yang
diperkenankan
- Identitas pengguna benar
ASU MS I ( K ED UA PI HA K )
- Network bebas dari penyadapan pihak ketiga
- Informasi yang disampaikan dari server ke
pengguna terjamin keutuhannya dan tidak
dimodifikasi oleh pihak ketiga
IN TE R NE T M ER U PAKA N J AR IN GAN GL OBAL YA NG
ME NGH UB U NGK AN SUAT U NE T WO R K D ENG AN
NE TW O RK LA INYA DI S EL UR U H DU NIA . TCP /IP
ME N JAD I PR OTOC O L P EN GHU B UN G ANTA RA
JA R INGA N-JA R ING AN YAN G B E R AG AM D I
S E LUR UH D UNI A UNT UK DA PAT B ER K OMU NIK ASI.
WO R LD WID E W E B (W W W) M ER U PA KA N BAG IAN
D AR I IN TE R NE T YAN G PAL ING CE PAT
B ER K EM BA NG DAN PAL ING P OP ULER.

Protocol standard aturan yang di
gunakan untuk berkomunikasi pada
computer networking, Hypertext
Transfer Protocol (HTTP) adalah
protocol untuk WWW.
HTML digunakan untuk membuat
Address WWW memiliki aturan
document yang bisa di akses melalui
penamaan alamat web yaitu: URL
web. HTML merupakan standard
(Uniform Resource Locator) yang di
bahasa yang digunakan untuk
gunakan sebagai standard alamat
menampilkan document web
internet.
 K EAM AN AN S ERVE R
Server WWW menyediakan fasilitas agar client
dari tempat lain dapat mengambil informasi dalam
bentuk berkas (file), atau mengeksekusi perintah
(menjalankan program) di server. Fasilitas
pengambilan berkas dilakukan dengan perintah
“GET”, sementara mekanisme untuk mengeksekusi
perintah di server dapat dilakukan dengan “CGI”
(Common Gateway Interface), Server Side Include
(SSI), Active Server Page (ASP), PHP, atau dengan
menggunakan servlet (seperti pernggunaan Java
Servlet). Kedua jenis servis di atas (mengambil
berkas biasa maupun menjalankan program di
server) memiliki potensi lubang keamanan yang
berbeda.
 AD AN YA LU BA N G
K E AMA NA N D I S IS TE M
WWW D APAT
DI EK S P L OI TAS I D AL AM
BE N T UK YA N G B E RA G AM,
A NTA R A LA IN :
 Informasi yang semestinya dikonsumsi
untuk kalangan terbatas (misalnya laporan
keuangan, strategi perusahaan anda, atau
Informasi yang ditampilkan di server
database client anda) ternyata berhasil
diubah sehingga dapat mempermalukan
disadap oleh saingan anda (ini mungkin
perusahaan atau organisasi anda (dikenal
disebabkan salah setup server, salah setup
dengan istilah deface)
router / firewall, atau salah setup
authentication)

Informasi dapat disadap (seperti misalnya Server diserang (misalnya dengan

pengiriman nomor kartu kredit untuk memberikan request secara bertubi-tubi)
membeli melalui WWW, atau orang yang sehingga tidak bisa memberikan layanan
memonitor kemana saja anda ketika dibutuhkan (denial of
melakukan web surfing) service attack)
 ST R AT EGI
IMPL EME NTAS I
 ME N GE TA HU I JE NIS
SE RVE R
INFORM ASI TE NTANG PR OGR AM SE RVE R
INF ORMASI TENTANG WE B YANG DIGUNAKAN SANGAT M UDAH
S ERVE R YANG DIGUNAKAN DAPAT DIPE ROL EH. CAR A YANG PAL ING M UDAH
DIMANFAATKAN OLEH ADALAH DE NGAN M ENGGUNAKAN
P ER US AK UNTUK MELANCARKAN PROGRAM “ TE LNET ” DENGAN
S E RANGAN SESUAI DENGAN TI P E ME LAKUKAN TE LNE T KE P ORT 80 DAR I
SERVER WE B
SERVER DAN TE RSEBUT, KEM UDIAN M ENE KA N TOMB OL
OP E RATI NG SYSTEM YANG RET URN DUA KALI . W EB S ERVE R AKAN
DI GUNAKAN. SEORANG M ENGI RI MKAN R ES PON DENGAN
P ENYERANG AKAN MENCARI DIDAHULI OLE H I NFOR M AS I T ENTANG
TAHU S OF TWARE DAN VERS I NYA SE RVE R
YANG DI GUNAKAN SEBAGAI WE B YANG DIGUNAKAN. PR OGR AM OGR E
(YANG BE RJ ALAN DI SI STE M W INDOW S)
SERVER, DAPAT M ENGETAHUI PR OGRAM S ERVER
KEMUDI AN MENCARI I NFORMAS I W E B YANG DI GUNAKAN. SE ME NTAR A ITU,
DI I NTERNET TENTANG UNT UK SI STE M UNI X, PR OGRAM LYNX
KEL E MAHAN W EB SERVE R DAPAT DI GUNAKAN UNT UK M EL I HAT
TERSEBUT. J ENI S
S ERVE R DENGAN M ENE KAN KUNC I “ SAM A
DENGAN” ( =) .
ME MBATA SI AK SE S
ME LA L UI K ON T RO L
AK SE S
Sebagai penyedia informasi (dalam bentuk
berkas-berkas), sering diinginkan
pembatasan akses. Misalnya, diinginkan agar
hanya orang-orang tertentu yang dapat
mengakses berkas (informasi) tertentu. Pada
prinsipnya ini adalah masalah kontrol akses.
Contohnya adalah pembatasan IP address,
mengenkripsi data, dan menggunakan user id
/ password
P RO T EK S I HA L AMA N
DE N GA N
M E NG GU NA KA N
PA S Sakses
Salah satu mekanisme mengatur WOR D
adalah
dengan menggunakan pasangan userid (user
identification) dan password. Untuk server Web
yang berbasis Apache, akses ke sebuah halaman
(atau sekumpulan berkas yang terletak di sebuah
directory di sistem Unix) dapat diatur dengan
menggunakan berkas “.htaccess”
S ECU RE SO CKE T
L AYE R ( SS L)
Salah satu cara untuk meningkatkan
keamanan server WWW adalah dengan
menggunakan enkripsi pada komunikasi
pada tingkat socket. Dengan menggunakan
enkripsi, orang tidak bisa menyadap data-
data (transaksi) yang dikirimkan dari/ke
server WWW. Salah satu mekanisme yang
cukup populer adalah dengan
menggunakan Secure Socket Layer (SSL)
yang mulanya dikembangkan
oleh Netscape
KE AM AN AN P R OG R AM
CG I
Common Gateway Interface (CGI) digunakan
untuk menghubungkan sistem WWW dengan
software lain di server web. Adanya CGI
memungkinkan hubungan interaktif antara user
dan server web. CGI seringkali digunakan
sebagai mekanisme untuk mendapatkan
informasi dari user melalui “fill out form”,
mengakses database, atau menghasilkan
halaman yang dinamis.
P OTE N SI LU B AN G KE A MAN AN YAN G DA PAT TERJA DI
DE NG AN C G I
- Seorang pemakai yang nakal dapat memasang skrip CGI sehingga dapat mengirimkan
berkas password kepada pengunjung yang mengeksekusi CGI tersebut.
- Program CGI dipanggil berkali-kali sehingga server menjadi terbebani karena harus
menjalankan beberapa program CGI yang menghabiskan memori dan CPU cycle dari
web server.
- Program CGI yang salah konfigurasi sehingga memiliki otoritas seperti sistem
administrator sehingga ketika dijalankan dapat melakukan perintah apa saja. Untuk
sistem UNIX, ada saja administrator yang salah seting sehingga server web (httpd)
dijalankan oleh root.
- Teks (informasi) yang dikirimkan ke CGI diisi dengan karakter tertentu dengan tujuan
untuk merusak sistem. Sebagai contoh, banyak search engine yang tidak melakukan
proses “sanitasi” terhadap karakter yang dituliskan oleh user. Bagaimana jika user
memasukkan “abcd; rm -rf /” atau “%; drop table” dan sejenisnya. (Tujuan utama adalah
melakukan attack terhadap SQL server di server.)
KEAMANAN C LIENT
WW W
D AL AM B AGI AN S EB E LU MN YA D IB AH AS
M AS ALA H YANG B E R HUB U NGA N D EN GAN SERV ER
W WW. DAL AM B AG IAN I NI A KA N D IB AHA S
MA SA LAH -MA SAL AH YA NG B E R HU B UN GAN
DE NG AN K EA MAN AN C LIE NT W WW, YAITU
P E MAK AI (PE NG UN JUN G) B IA SA . KEA MA NA N DI
S IS I C LI EN T B IA SAN YA B E R HU B UN GAN DENG AN
MA SA LA H   PR IVAC Y DA N PE NY ISIPAN VIRU S ATAU
TR O JA N HO R SE
 Pelanggaran Privacy
Ketika kita mengunjungi sebuah situs web, browser kita dapat
“dititipi” sebuah “cookie” yang fungsinya adalah untuk
menandai kita. Ketika kita berkunjung ke server itu kembali,
maka server dapat mengetahui bahwa kita kembali dan server
dapat memberikan setup sesuai dengan keinginan (preference)
kita. Namun data-data yang sama juga dapat digunakan untuk
melakukan tracking kemana saja kita pergi. Ada juga situs web
yang mengirimkan script (misal Javascript) yang melakukan
interogasi terhadap server kita (melalui browser) dan
mengirimkan informasi ini ke server. Bayangkan jika di dalam
komputer kita terdapat data-data yang bersifat rahasia dan
informasi ini dikirimkan ke server milik orang lain.
PELA NG GA RA N P R IVA C Y
Ketika kita mengunjungi sebuah situs web, browser kita
dapat “dititipi” sebuah “cookie” yang fungsinya adalah
untuk menandai kita. Ketika kita berkunjung ke server itu
kembali, maka server dapat mengetahui bahwa kita kembali
dan server dapat memberikan setup sesuai dengan keinginan
(preference) kita. Namun data-data yang sama juga dapat
digunakan untuk melakukan tracking kemana saja kita pergi.
Ada juga situs web yang mengirimkan script (misal
Javascript) yang melakukan interogasi terhadap server kita
(melalui browser) dan mengirimkan informasi ini ke server.
Bayangkan jika di dalam komputer kita terdapat data-data
yang bersifat rahasia dan informasi ini dikirimkan ke server
milik orang lain.
 P E NYIS IPA N TROJ AN HORS E
Cara penyerangan terhadap client yang lain adalah
dengan menyisipkan virus atau trojan horse.
Bayangkan apabila yang anda download adalah
virus atau trojan horse yang dapat menghapus isi
harddisk anda. Salah satu contoh yang sudah
terjadi adalah adanya web yang menyisipkan trojan
horse Back Orifice (BO) atau Netbus sehingga
komputer anda dapat dikendalikan dari jarak jauh.
Orang dari jarak jauh dapat menyadap apa yang
anda ketikkan, melihat isi direktori, melakukan
reboot, bahkan memformat harddisk.
 Pada awalnya aplikasi Web
dibangun hanya dengan
Dari sisi teknologi yang digunakan
menggunakan bahasa
untuk membentuk web dinamis
yang disebut HTML (HyperText
Aplikasi Web itu dapat dibagi terdapat dua
Markup Language). Pada
menjadi Web statis dan Web pengelompokan, yaitu teknologi
perkembangan
dinamis pada sisi client dan teknologi pada
berikutnya, sejumlah skrip dan
sisi server.
objek dikembangkan untuk
memperluas
kemampuan HTML
A PL IK ASI WEB -C LI E NT S ID E P R OG RA MMI NG
- Teknologi Web pada sisi client diimplementasikan dengan mengirimkan
kode perluasan HTML atau program tersendiri dan HTML ke client.
- Clientlah yang bertanggung jawab dalam melakukan proses terhadap
seluruh kode yang diterima.
- Kelemahan pendekatan seperi ini adalah terdapat kemungkinan bahwa
browser pada client tidak mendukung fitur kode perluasan HTML.
- Kelebihan teknologi pada sisi client, yaitu memungkinkan penampilan
yang bersifat dinamis.
- Contoh teknologi pada sisi client, yaitu Kontrol ActiveX, Java Applet,
dan Skrip sisi-client.
A PLI KA SI WE B -S E RV E R S ID E P R OG RA MMIN G
Teknologi Web pada sisi server memungkinkan pemrosesan kode di
dalam server sehingga kode yang sampai pada pemakai berbeda
dengan kode asli pada server. Contoh teknologi yang berjalan di server,
yaitu CGI, ASP, JSP, PHP dan lain sebagainya. Keuntungan
penggunaan teknologi pada sisi server adalah sebagai berikut:
- Mengurangi lalu lintas jaringan dengan cara menghindari percakapan
bolak-balik antara client dan server.
– Mengurangi waktu pemuatan kode, mengingat client hanya mengambil
kode HTML saja.
– Mencegah masalah ketidakkompatibelan browser.
– Client dapat berinteraksi dengan data yang ada pada server.
– Mencegah client mengetahui rahasia kode (mengingat kode yang diberikan
ke client berbeda dengan kode asli pada server).
 KESIMPULAN
D AR I PAPAR A N D IATAS DAPAT DISIM PU LK AN
S E BA GA I B ER IK UT:
 Sistem keamanan WWW dibagi
kedalam dua aspek, yaitu aspek dari
Server dan aspek dari Client
Untuk sisi server ada mekanisme
tertentu untuk mengambil file / berkas
yang ada dalam server
Beberapa strategi untuk memberikan
keamanan server diantaranya adalah
batasan kontrol akses, proteksi
halaman dengan password, SSL
(Security Socket Layer)
Sedangkan yang harus diperhatikan
dalam strategi pengamanan untuk
client diantaranya adalah masalah
privacy dan trojan house.
TERIMA KASIH
MATA KU LIA H KE A MA N AN K OM PU T ER