K E A M A N A N S I S T E M

E R W I E N T J I P T A W I J A Y A , S T . , M . K O M

MENGANALISA WEBSITE

CARA KERJA WEB SISTEM

Web adalah sekumpulan halaman yang lebih dari satu dan dihubungkan melalui Pranala/Link dan memiliki komponen-komponen berupa gambar, teks, animasi, aplikasi, warna, dan lain – lain.

Halaman-halaman dari website akan bisa diakses melalui sebuah URL yang biasa disebut Homepage. URL ini mengatur halaman-halaman situs untuk menjadi sebuah hlaman yg mudah di cari, meskipun, hyperlink-hyperlink yang ada di halaman tersebut mengatur para pembaca dan memberitahu mereka sususan keseluruhan dan bagaimana arus informasi ini berjalan.

CARA KERJA WEB SISTEM

CARA KERJA WEB SISTEM

Ada 4 komponen dalam proses kerja web

1. User

2. Client server (browser)

3. TCP/IP

4. server

CARA KERJA WEB

User : Pengguna / user adalah orang yang melakukan permintaan / request sebuah alamat situs.

Client server (Browser) : client server merupakan sebuah aplikasi yang berfungsi sebagai sebuah mesin pencari (browser) dimana sebuah situs atau informasi berada.

TCP / IP : IP adalah kode atau sebuah alamat yang dapat membantu agar sebuah permintaan akan mendapatkan jawaban yang sesuai.

Server : tempat penyimpanan data dan disini data diolah dan dikirim kembali sesuai permintaan / request.

MACAM – MACAM WEBSITE

Website dinamis : website yang konten/isinyanya selalu berubah – rubah/uptodate.contohnya adalah, Web berita (liputan 6, dll), Web perdagangan, Web blog, Situs social networking (faceboook, twitter), dan lain – lain

Website statis adalah website yang konten atau isinya tidak dapat di ubah-ubah, web jenis ini dibuat menggunakan teknologi HTML yang isinya tidak dapat dirubah kecuali dengan cara merubah langsung isinya dari file aslinya (*.html)

SEJARAH WEBSITE

Penemu website adalah Sir Timothy John “ Tim ” Berners - Lee, sedangkan website yang tersambung dengan jaringan, pertama kali muncul pada tahun 1991. Maksud dari Tim membuat website adalah untuk mempermudah tukar menukar dan memperbarui informasi kepada sesama peneliti di tempatnya bekerja. Pada tanggal 30 April 1993, CERN ( tempat dimana Tim bekerja ) menginformasikan bahwa WWW dapat digunakan secara gratis oleh semua orang. Sebuah website dapat berisi hyperlink ( pranala ) yang menghubungkan ke website lain.

KEUNTUNGAN WEB DINAMIS

KEUNTUNGAN

Tampilan menarik

Kontent dan layout dapat berubah – ubah

Menggunakan dynamic HTML (DHTML)

Menggunakan pemrograman server untuk mengatur perubahan data

Dapat menggunakan CMS untuk mengubah konten website

Kontent halaman dan layout halaman dibuat terpisah, sehingga loading halaman lebih cepat.

KEUNTUNGAN DAN KELEMAHAN WEB STATIS

KEUNTUNGAN KELEMAHAN

Tidak perlu keahlian pemrograman untuk membuat halaman statis

Tampilannya kurang menarik

Dapat dilihat langsung oleh web browser tanpa membutuhkan aplikasi server

Kontennya statis, tidak berubah-ubah

Lebih mudah untuk website development menggunakan bahasa pemograman HTML

Terbatas dalam interaksi dengan klien

Tidak menggunakan database

SISTEM WWW

Arsitektur sistem WWW

Server (apache, internet information services)

Client (IE, Netscape, Mozilla, Opera, KFM, lynx dll)

Terhubung melalui jaringan

Program dapat dijalankan diserver (CGI, java servlet) atau di sisi client (javascript, java applet)

CGI mirip sebuah program komputer yang menjadi perantara antara standar HTML yang menjadikan tampilan web dengan program lain, seperti basis data TI6B, SI4C, SI4A

ASUMSI (USER)

Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut.

Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya.

Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browsing)

ASUMSI (WEBMASTER)

Pengguna tidak beritikad untuk merusak web server atau mengubah isinya

Pengguna hanya mengakses dokumen – dokumen yang diperkenankan diakses (dimana dia memiliki ijin)

Identitas pengguna benar

ASUMSI KEDUA PIHAK

Network dan komputer bebas dari penyadapan pihak ketiga

Informasi yang disampaikan dari server ke pengguna (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga

KEAMANAN SERVER WWW

Server WWW (http) menyediakan informasi (statis dan dinamis)

Halaman statis diperoleh dengan perintah GET

Halaman dinamis diperoleh dengan

CGI (Common Gateway Interface)

SSI (Server Side Include)

ASP (Active Server Page), PHP

Servlet (Seperti Java Servlet, ASP)

EXPLOITASI SERVER WWW

Tampilan Web diubah (deface)

Dengan exploitasi skrip / previllege / OS server

Situs yang dideface dikoleksi di http://www.alldas.org (dulu)

Informasi bocor

Misal laporan keuangan semestinya hanya dapat diakses oleh orang / bagian tertentu

EXPLOITASI SERVER WWW

Penyadapan informasi

URL watch: melihat siapa yang mengakses apa saja, masalah privacy

SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi.

DoS Attack

Request dalam jumlah yang banyak (bertubi - tubi)

Request yang memblokir (lambat mengirimkan perintah GET)

EXPLOITASI SERVER WWW

Digunakan untuk menipu firewall (tunelling ke luar jaringan )

Port 80 digunakan untuk mengidentifikasi server (karena biasanya dibuka di router / firewall)

CARA MENGAMANKAN WWW

MEMBATASI AKSES

Access Control

Hanya IP tertentu yang dapat mengakses server (konfigurasi web server atau firewall)

Via user id & password (htaccess)

Menggunakan enkripsi untuk menyandikan data - data

HTACCESS DI APACHE

Isi berkas “.htaccess” AuthUserFile /home/budi/.passme

AuthGroupFile /dev/null

AuthName “Khusus untuk Tamu Budi”

AuthType Basic

<Limit GET>

require user tamu

</Limit>

Membatasi akses ke user “tamu” dan password

Menggunakan perintah “htpasswd” untuk membuat password yang disimpan di “.passme”

SECURE SOCKET LAYER (SSL)

Menggunakan enkripsi untuk mengamankan transmisi data

Pertama kali dikembangkan oleh Netscape

Implementasi gratis yang tersedia

openSSL

CARI INFO SERVER

Informasi tentang server digunakan sebagai bagian dari casing (lapisan) the joint

Dapat dilakukan dengan :

Memberikan perintah HTTP langsung via telnet

Menggunakan program NC, Ogre dan lain - lain

KEAMANAN CGI

CGI digunakan sebagai interface dengan sistem informasi lainnya (Gopher, WAIS)

Di implementasikan dengan bahasa (perl, C, C++, python, dll)

Skrip CGI dijalankan di server sehingga membuka potensi lubang keamanan

LUBANG KEAMANAN CGI

Beberapa contoh :

CGI dipasang oleh orang yang tidak berhak

CGI dijalankan berulang – ulang untuk menghabiskan resources (CPU, DISK) : DoS

Masalah setuid dan setID (akses root) CGI di sistem UNIX, dimana CGI dijalankan oleh userid web server

ASP di sistem Windows

GuestBook abuse (salah pakai) dengan informasi sampah

Akses ke database via SQL

KEAMANAN CLIENT WWW

Berhubung dengan masalah privacy

Cookies untuk tracking kemana saja akses browsing

Pengiriman informasi pribadi

Attack (via active script, javascript, java)

Pengiriman data – data komputer (program apa yang terpasang, dll)

DoS Attack (buka panel window banyak)

Penyusupan virus dan trojan horse SI4C, SI4A, TI6B