Keamanan Web Browser: Risiko dan Pencegahan

Otorisasi dan Keamanan Database

• Otorisasi adalah pemberian wewenang atau hak istimewa untuk mengakses sistem atau obyek database
• Kendali otorisasi dapat dibangun pada perangkat lunak dengan 2 fungsi: mengendalikan sistem atau obyek yang dapat diakses dan mengendalikan bagaimana pengguna menggunakannya
• Sistem administrasi yang bertanggungjawab untuk memberikan hak akses dengan membuat account pengguna

Tabel View

• Merupakan metode pembatasan bagi pengguna untuk mendapatkan model database yang sesuai dengan kebutuhan perorangan
• Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh pengguna
• Contoh pada Database relasional, untuk pengamanan dilakukan beberapa level:
  • Relasi: pengguna diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi
  • View: pengguna diperbolehkan atau tidak diperbolehkan mengakses data yang terdapat pada view
  • Read Authorization: pengguna diperbolehkan membaca data, tetapi tidak dapat memodifikasi
  • Insert Authorization: pengguna diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada
  • Update Authorization: pengguna diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data
  • Delete Authorization: pengguna diperbolehkan menghapus data

Keamanan Web Browser

• Web browser Risks: web server bisa jadi tidak aman, Batasi pengiriman data sensitif ke web server yang tidak aman
• Browser menjalankan malcode dalam bentuk scripts atau executables, penyerang bisa menyadap trafik jaringan
• Resiko penyadapan dapat dikurangi melalui penggunaan Secure Sockets Layer (SSL) untuk meng-enkripsi data yang ditransmisikan
• Penyerang dapat menjalankan serangan man-in-the-middle attack
• Aplikasi web yang sessionless sangat potensial untuk menjadi korban serangan man-in-the-middle attacks seperti hijacking and replay
• Cara kerja Web Browser: Protokol utama yang digunakan Web browser adalah HTTP (Hypertext Transfer Protocol)
• HTTP merupakan protokol layer aplikasi yang memungkinkan Web browser untuk meminta halaman web dari dan mengirimkan informasi ke Web server
• Web server akan merespons dengan mengirimkan: Kode HTML, Gambar, Scripts, Executables
• HTTP adalah protokol stateless → Tidak mengingat session sebelumnya
• Cookies: sarana penyimpan informasi yang dibuat oleh suatu Website untuk menyimpan informasi tentang user yang mengunjungi situs yang bersangkutan
• Cookies merupakan file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal
• Ketika request baru dikirimkan, server dapat meminta browser untuk mencek apakah ada cookies, jika ada, web server dapat meminta web browser untuk mengirimkan cookie ke web server

SSL dan SHTTP

• SSL (Secure Sockets Layer) adalah protokol keamanan yang digunakan untuk mengenkripsi data yang dikirimkan melalui internet
• SSL bersifat connection-oriented dan bekerja pada layer transport
• SSL membentuk koneksi yang aman yang dapat dilalui oleh message
• SHTTP (Secure HTTP) adalah pengembangan dari protokol HTTP yang dikembangkan oleh Enterprise Integration Technologies
• SHTTP bersifat transaction-oriented dan bekerja pada layer aplikasi
• Pada SHTTP, setiap message dienkripsi agar aman ketika ditransmisikan

Keamanan Database

• Backup Data dan Recovery: Teknik Pemulihan data
• Recovery Teknik Pemulihan:
  • Deferred Update/Perubahan yang Ditunda: perubahan pada DB tidak akan berlangsung sampai transaksi ada pada poin disetujui
  • Immediate Update/Perubahan Langsung: perubahan pada DB akan segera tanpa harus menunggu sebuah transaksi tersebut disetujui
  • Shadow Paging: menggunakan page bayangan dimana pada prosesnya terdiri dari 2 tabel yang sama, yang satu menjadi tabel transaksi dan yang lain digunakan sebagai cadangan
• Kesatuan Data dan Enkripsi:
  • Enkripsi: keamanan data
  • Integritas: metode pemeriksaan dan validasi data
  • Konkuren: mekanisme untuk menjamin bahwa transaksi yang konkuren pada database multi user tidak saling menganggu operasinya masing-masing