Sejarah WWW
Web Browser pertama dibuat dengan berbasiskan pada teks. Untuk menyatakan suatu link, dibuat sebarisan nomor yang mirip dengan suatu menu. Kebanyakan software tersebut dibuat untuk komputer-komputer yang menggunakan Sistem Operasi UNIX, dan belum banyak yang bisa dilakukan oleh pemakai komputer saat itu yang telah menggunakan Windows. Tetapi semua ini berubah setelah munculnya browser Mosaic dari NCSA (National Center for Supercomputing Applications). Di bulan Mei 1993, Marc Andreesen dan beberapa murid dari NCSA membuat Web browser untuk sistem X-Windows yang berbasiskan grafik dan yang mudah untuk digunakan. Dalam beberapa bulan saja, Mosaic telah menarik perhatian baik dari pemakai lama maupun pemakai baru di Internet. Kemudian NCSA mengembangkan versi-versi Mosaic lainnya untuk komputer berbasis UNIX, NeXT, Windows dan Macintosh.
Di akhir tahun 1995 jumlah ini telah berkembang mencapai sekitar 300.000 web site. Dan diperkirakan sekarang ini jumlah pemakai Web telah mencapat sekitar 30-an juta pemakai diseluruh dunia. Web sekarang telah menjadi media yang sangat penting bagi periklanan dan alamat web sekarang sudah umum dijumpai pada majalah, surat kabar, dan iklan televisi.
Arsitektur sistem Web terdiri dari dua sisi:
1. Server (apache,IIS)
2. Client
-IE, Firefox, Netscape, Mozilla, Safari, Opera, Galeon, kfm, arena, amaya, Iynx, K-meleon
3. Terhubung memaluli jaringan
4. Program dapat dijalankan di server(CGI[java] serviet)
atau di sisi client, java applet.
Aplikasi baru
- Blog adalah Media blog pertama kali dipopulerkan oleh Blogger.com, yang dimiliki oleh PyraLab sebelum akhirnya PyraLab diakuisi oleh Google.Com pada akhir tahun 2002 yang lalu. Semenjak itu, banyak terdapat aplikasi-aplikasi yang bersifat sumber terbuka yang diperuntukkan kepada perkembangan para penulis blog tersebut.
-Authentication
* Lubang keamnan di sistem WWW dapat dieksploitasi dalam bentuk yang beragam, antara lain:
1. Informasi yang ditampilkan di server diubah(deface)
2. Informasi yang semestinya dikonsumsi untuk kalangan terbatas ternyata berhasil disadap oleh orang lain.
3. Server diserang(dengan request yang bertubi-tubi) sehingga tidak bisa memberikan layanan ketika dibutuhkan.
* Membatasi akses melalui Kontrol Akses
Sebagai penyedia informasi (dalam bentuk berkas-berkas), sering diinginkan pembatasan akses. Misalnya, diinginkan agar hanya orang-orang tertentu yang dapat mengakses berkas (informasi) tertentu. Pada prinsipnya ini adalah masalah kontrol akses.
* Secure Socket Layer (SSL)
-Menggunakan enkripsi untuk mengamankan transmisi data-Mulanya dikembangkan oleh Netscape Implementasi gratis pun tersedia
- OpenSSL
- Beberapa masalah dengan SSL
ASN.1 compiler yang bermasalah menimbulkan masalah di beberapa implementasi SSL
* Proteksi halaman dengan menggunakan password
Salah satu mekanisme mengatur akses adalah dengan menggunakan pasangan userid (user identification) dan password. Untuk server Web yang berbasis Apache, akses ke sebuah halaman (atau sekumpulan berkas yang terletak di sebuah directory di sistem Unix) dapat diatur dengan menggunakan berkas “.htaccess”.
Mengetahui Jenis ServerInformasi tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan.
* Mengetahui Jenis Server
- Informasi tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan.
- Informasi tentang program server yang digunakan dapat dilakukan dengan menggunakan program "telnet" dengan melakukan telnet ke port 80 dari server web.
- Program Ogre(yang berjalan di sistem Windows) dapat mengetehui program server web yang digunakan.
-Untuk sistem UNIX program Iynx dapat digunakan untuk melihat jenis server dengan menekan kunci "saam dengan" (=).
* Keamanan Program CGI
Common Gateway Interface (CGI) digunakan untuk menghubungkan berbagai aplikasi ke halalaman web. Teknologi ini sangat berjasa terciptanya interaktifitas di dalam sebuah website saat itu. Perl dan C adalah script pemrograman yang dipakai para ilmuwan dan mahasiswa-mahasiswa muda yang terlibat dalam web programming untuk membangun CGI. Sekumpulan aturan yang mengarahkan bagaimana sebuah server web berkomunikasi dengan sebagian software dalam mesin yang sama dan bagaimana sebagian dari software (CGI Program) berkomunikasi dengan server web. Setiap software dapat menjadi sebuah program CGI apabila software tersebut dapat menangani input dan output berdasarkan standar CGI.
-CGI digunakan sebagai interface dengan sistem informasi lainnya (gopher, WAIS)
-Diimplementasikan dengan berbagai bahasa(perl, C, C++, python, dll.)
-Skrip CGI dijalankan di server sehinggamembuka potensi lubang keamanan.
* Lubang Keamanan CGI
Beberapa contoh
-CGI dipasang oleh orang yang tidak berhak
-CGI dijalankan berulang-ulang untuk menghabiskanresources (CPU, disk): DoS
-Masalah setuid CGI di sistem UNIX, dimana CGI dijalankanoleh userid web server
-Penyisipan karakter khusus untuk shell expansion
-Kelemahan ASP di sistem Windows
-Guestbook abuse dengan informasi sampah (pornografi)
-Akses ke database melalui perintah SQL (SQL injection)
* Keamanan client WWW
Dalam bagian terdahulu dibahas masalah yang berhubungan dengan server WWW. Dalam bagian ini akan dibahas masalah-masalah yang berhubungan dengan keamanan client WWW, yaitu pemakai (pengunjung) biasa. Keamanan di sisi client biasanya berhubungan dengan masalah privacy dan penyisipan virus atau trojan horse.
Berhubungan dengan masalah privacy
-Cookies untuk tracking kemana saja browsing
-Pengiriman informasi pribadiAttack (via active script, javascript, java)
-Pengiriman data-data komputer (program apa yangterpasang, dsb.)
-DoS attack (buka windows banyak)
-Penyusupan virus, trojan horse, spyware
Tidak ada komentar:
Posting Komentar