KEAMANAN SERVER
Server WWW menyediakan akomodasi biar client dari daerah lain sanggup mengambil gosip dalam bentuk berkas (file), atau mengeksekusi perintah (menjalankan program) di server. Fasilitas pengambilan berkas dilakukan dengan perintah “GET”, sementara prosedur untuk mengeksekusi perintah di server sanggup dilakukan dengan “CGI” (Common Gateway Interface), Server Side Include (SSI), Active Server Page (ASP), PHP, atau dengan memakai servlet (seperti pernggunaan Java Servlet). Kedua jenis servis di atas (mengambil berkas biasa maupun menjalankan kegiatan di server) mempunyai potensi lubang keamanan yang berbeda.
Adanya lubang keamanan di sistem WWW sanggup dieksploitasi dalam bentuk yang beragam, antara lain:
- Informasi yang ditampilkan di server diubah sehingga sanggup mempermalukan perusahaan atau organisasi anda (dikenal dengan istilah deface1);
- Informasi yang semestinya dikonsumsi untuk kalangan terbatas (misalnya laporan keuangan, taktik perusahaan anda, atau database client anda) ternyata berhasil disadap oleh tentangan anda (ini mungkin disebabkan salah setup server, salah setup router / firewall, atau salah setup authentication);
- Informasi sanggup disadap (seperti contohnya pengiriman nomor kartu kredit untuk membeli melalui WWW, atau orang yang memonitor kemana saja anda melaksanakan web surfing);
- Server diserang (misalnya dengan memperlihatkan request secara bertubi-tubi)
dengan begitu tidak sanggup memperlihatkan layanan dikala diperlukan (denial of service attack).
Untuk server web yang berada di belakang firewall, lubang keamanan di server web yang dieksploitasi sanggup melemahkan atau bahkan menghilangkan fungsi dari firewall (dengan prosedur tunneling).
Strategi Implementasi
Membatasi saluran melalui Kontrol Akses
Sebagai penyedia gosip (dalam bentuk berkas-berkas), sering diinginkan pembatasan akses. Misalnya, diinginkan biar hanya orang-orang tertentu yang sanggup mengakses berkas (informasi) tertentu. Pada prinsipnya ini ialah duduk masalah kontrol akses. Pembatasan saluran sanggup dilakukan dengan:
- Membatasi domain atau nomor IP yang sanggup mengakses,
- Menggunakan pasangan userid & password,
- Mengenkripsi data sehingga hanya sanggup dibuka (dekripsi) oleh orang yang mempunyai kunci pembuka.
Proteksi halaman dengan memakai password
Salah satu prosedur mengatur saluran ialah dengan memakai pasangan userid (user identification) dan password. Untuk server Web yang berbasis Apache1, saluran ke sebuah halaman (atau sekumpulan berkas yang terletak di sebuah directory di sistem Unix) sanggup diatur dengan memakai berkas “.htaccess”.
Secure Socket Layer
Salah satu cara untuk meningkatkan keamanan server WWW ialah dengan memakai enkripsi pada komunikasi pada tingkat socket. Dengan memakai enkripsi, orang tidak sanggup menyadap data-data (transaksi) yang dikirimkan dari/ke server WWW. Salah satu prosedur yang cukup terkenal ialah dengan memakai Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape.
Mengetahui Jenis Server
Informasi wacana web server yang dipakai sanggup dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan. Seorang penyerang akan mencari tahu software dan versinya yang dipakai sebagai web server, kemudian mencari gosip di Internet wacana kelemahan web server tersebut. Informasi wacana kegiatan server yang dipakai sangat gampang diperoleh. Cara yang paling gampang ialah dengan memakai kegiatan “telnet” dengan melaksanakan telnet ke port 80 dari server web tersebut, kemudian menekan tombol return dua kali. Web server akan mengirimkan respon dengan didahuli oleh gosip wacana server yang digunakan.
Keamanan Program CGI
Common Gateway Interface (CGI) dipakai untuk menghubungkan sistem WWW dengan software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara user dan server web. CGI seringkali dipakai sebagai prosedur untuk mendapat gosip dari user melalui “fill out form”, mengakses database, atau menghasilkan halaman yang dinamis.
KEAMANAN CLIENT WWW
Dalam cuilan terdahulu dibahas duduk masalah yang berafiliasi dengan server WWW. Dalam cuilan ini akan dibahas masalah-masalah yang berafiliasi dengan keamanan client WWW, yaitu pemakai (pengunjung) biasa. Keamanan di sisi client biasanya berafiliasi dengan duduk masalah privacy dan penyisipan virus atau trojan horse.
Pelanggaran Privacy
Ketika kita mengunjungi sebuah situs web, browser kita sanggup “dititipi” sebuah “cookie” yang fungsinya ialah untuk menandai kita. Ketika kita berkunjung ke server itu kembali, maka server sanggup mengetahui bahwa kita kembali dan server sanggup memperlihatkan setup sesuai dengan harapan (preference) kita. Ini merupakan servis yang baik. Namun data-data yang sama juga sanggup dipakai untuk melaksanakan tracking kemana saja kita pergi. Ada juga situs web yang mengirimkan script (misal Javascript) yang melaksanakan interogasi terhadap server kita (melalui browser) dan mengirimkan gosip ini ke server. Bayangkan kalau di dalam komputer kita terdapat data-data yang bersifat belakang layar dan gosip ini dikirimkan ke server milik orang lain.
Penyisipan Trojan Horse
Cara penyerangan terhadap client yang lain ialah dengan menyisipkan virus atau trojan horse. Bayangkan apabila yang anda d0wnl0ad ialah virus atau trojan horse yang sanggup menghapus isi harddisk anda. Salah satu teladan yang sudah terjadi ialah adanya web yang menyisipkan trojan horse Back Orifice (BO) atau Netbus sehingga komputer anda sanggup dikendalikan dari jarak jauh. Orang dari jarak jauh sanggup menyadap apa yang anda ketikkan, melihat isi direktori, melaksanakan reboot, bahkan memformat harddisk.