Keamanan Web Browser: Risiko dan Pencegahan

Questions and Answers

Apa yang dapat dilakukan oleh penyerang melalui penggunaan cookie?

• Mengenkripsi data yang ditransmisikan
• Melakukan serangan hijacking atau replay attack (correct)
• Mengirimkan informasi sensitif ke web server yang tidak aman
• Mengirimkan kode HTML ke web browser

Apa yang dapat dilakukan oleh web server untuk mengurangi resiko penyadapan?

• Mengirimkan kode HTML ke web browser
• Menggunakan cookies untuk menyimpan informasi user
• Menjalankan malcode dalam bentuk script atau executable
• Menggunakan teknologi Secure Sockets Layer (SSL) (correct)

Apa yang dimaksud dengan Persistent Cookies?

• Cookies yang hanya dapat dibaca oleh web server
• Cookies yang hanya dapat digunakan oleh system administrator
• Cookies yang bertahan di local system untuk waktu yang lama (correct)
• Cookies yang hanya digunakan sekali

Protokol apa yang digunakan oleh web browser untuk meminta halaman web dari web server?

HTTP (Hypertext Transfer Protocol) (C)

Apa yang dapat dilakukan oleh web server ketika menerima request baru dari web browser?

Meminta web browser untuk mengirimkan cookie ke web server (B)

Apa yang dapat dilakukan oleh penyerang melalui penggunaan malcode dalam bentuk scripts atau executables?

Menjalankan malcode dalam bentuk scripts atau executables (B)

Apa yang disediakan oleh Netscape pada browser-nya?

Strong encryption dan weak encryption (B)

Apa yang dapat memperlambat proses koneksi pada penggunaan SSL?

Penggunaan symmetric encryption (A)

Apa yang dilakukan oleh web browser yang dikonfigurasi dengan baik?

Memperingatkan user akan adanya masalah pada sertifikat server (A)

Apa yang dapat mempercepat proses koneksi pada penggunaan SSL?

SSL accelerator (D)

Apa yang membedakan SHTTP dengan HTTPS?

SHTTP bersifat transaction-oriented dan bekerja pada layer aplikasi (C)

Apa yang dapat dilakukan oleh penyerang pada serangan Man-in-the-middle?

Semua jawaban di atas (D)

Apa yang dimaksud dengan otorisasi dalam sistem database?

Pemberian wewenang atau hak istimewa untuk mengakses sistem atau obyek database (D)

Apa fungsi dari kendali otorisasi?

Mengendalikan sistem atau obyek yang dapat diakses dan mengendalikan bagaimana pengguna menggunakannya (D)

Bagaimana cara untuk membatasi akses pengguna terhadap database?

Dengan membuat tabel view yang sesuai dengan kebutuhan perorangan (D)

Berapa level keamanan yang dilakukan pada Database Relasional?

6 level (A)

Apa yang dimaksud dengan read authorization?

Pengguna diperbolehkan membaca data, tetapi tidak dapat memodifikasi (C)

Apa yang dimaksud dengan otorisasi tambahan untuk modifikasi data?

Index authorization (A)

Apa yang digunakan oleh web server untuk mendekripsi trafik?

Kunci simetris (A)

Mengapa situs-situs e-commerce menggunakan HTTPS?

Untuk memperoleh informasi rahasia user (D)

Bagaimana server diotentikasi oleh client?

Melalui sebuah digital certificate (C)

Apa yang menentukan kekuatan enkripsi?

Kemampuan browser client (A)

Apa yang terjadi jika transaksi gagal dalam update langsung?

Diperlukan operasi UNDO (B)

Fungsi dari Shadow Paging adalah?

Untuk membuat cadangan tabel (D)

Apa yang digunakan untuk enkripsi di luar USA?

Weak encryption (A)

Apa yang dimaksud dengan keamanan data?

Enkripsi data (A)

Berapa kali lebih kuat 128-bit encryption dibandingkan 40-bit encryption?

300,000,000,000,000,000,000,000 lebih kuat (C)

Apa kelemahan dari Shadow Paging?

Membuat terjadinya fragmentasi (B)

Apa yang terjadi jika transaksi tidak disetujui dalam update yang ditunda?

Tidak akan terjadi perubahan pada DB (B)

Apa fungsi dari mekanisme konkuren?

Menjamin transaksi tidak saling menganggu (A)

Flashcards are hidden until you start studying

Study Notes

Otorisasi dan Keamanan Database

• Otorisasi adalah pemberian wewenang atau hak istimewa untuk mengakses sistem atau obyek database
• Kendali otorisasi dapat dibangun pada perangkat lunak dengan 2 fungsi: mengendalikan sistem atau obyek yang dapat diakses dan mengendalikan bagaimana pengguna menggunakannya
• Sistem administrasi yang bertanggungjawab untuk memberikan hak akses dengan membuat account pengguna

Tabel View

• Merupakan metode pembatasan bagi pengguna untuk mendapatkan model database yang sesuai dengan kebutuhan perorangan
• Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh pengguna
• Contoh pada Database relasional, untuk pengamanan dilakukan beberapa level:
  • Relasi: pengguna diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi
  • View: pengguna diperbolehkan atau tidak diperbolehkan mengakses data yang terdapat pada view
  • Read Authorization: pengguna diperbolehkan membaca data, tetapi tidak dapat memodifikasi
  • Insert Authorization: pengguna diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada
  • Update Authorization: pengguna diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data
  • Delete Authorization: pengguna diperbolehkan menghapus data

Keamanan Web Browser

• Web browser Risks: web server bisa jadi tidak aman, Batasi pengiriman data sensitif ke web server yang tidak aman
• Browser menjalankan malcode dalam bentuk scripts atau executables, penyerang bisa menyadap trafik jaringan
• Resiko penyadapan dapat dikurangi melalui penggunaan Secure Sockets Layer (SSL) untuk meng-enkripsi data yang ditransmisikan
• Penyerang dapat menjalankan serangan man-in-the-middle attack
• Aplikasi web yang sessionless sangat potensial untuk menjadi korban serangan man-in-the-middle attacks seperti hijacking and replay
• Cara kerja Web Browser: Protokol utama yang digunakan Web browser adalah HTTP (Hypertext Transfer Protocol)
• HTTP merupakan protokol layer aplikasi yang memungkinkan Web browser untuk meminta halaman web dari dan mengirimkan informasi ke Web server
• Web server akan merespons dengan mengirimkan: Kode HTML, Gambar, Scripts, Executables
• HTTP adalah protokol stateless → Tidak mengingat session sebelumnya
• Cookies: sarana penyimpan informasi yang dibuat oleh suatu Website untuk menyimpan informasi tentang user yang mengunjungi situs yang bersangkutan
• Cookies merupakan file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal
• Ketika request baru dikirimkan, server dapat meminta browser untuk mencek apakah ada cookies, jika ada, web server dapat meminta web browser untuk mengirimkan cookie ke web server

SSL dan SHTTP

• SSL (Secure Sockets Layer) adalah protokol keamanan yang digunakan untuk mengenkripsi data yang dikirimkan melalui internet
• SSL bersifat connection-oriented dan bekerja pada layer transport
• SSL membentuk koneksi yang aman yang dapat dilalui oleh message
• SHTTP (Secure HTTP) adalah pengembangan dari protokol HTTP yang dikembangkan oleh Enterprise Integration Technologies
• SHTTP bersifat transaction-oriented dan bekerja pada layer aplikasi
• Pada SHTTP, setiap message dienkripsi agar aman ketika ditransmisikan

Keamanan Database

• Backup Data dan Recovery: Teknik Pemulihan data
• Recovery Teknik Pemulihan:
  • Deferred Update/Perubahan yang Ditunda: perubahan pada DB tidak akan berlangsung sampai transaksi ada pada poin disetujui
  • Immediate Update/Perubahan Langsung: perubahan pada DB akan segera tanpa harus menunggu sebuah transaksi tersebut disetujui
  • Shadow Paging: menggunakan page bayangan dimana pada prosesnya terdiri dari 2 tabel yang sama, yang satu menjadi tabel transaksi dan yang lain digunakan sebagai cadangan
• Kesatuan Data dan Enkripsi:
  • Enkripsi: keamanan data
  • Integritas: metode pemeriksaan dan validasi data
  • Konkuren: mekanisme untuk menjamin bahwa transaksi yang konkuren pada database multi user tidak saling menganggu operasinya masing-masing