Makalah keamanan Web Tugasku

Makalah Keamanan Web

ini merupakan salah satu contoh makalah yang berkaitan dengan keamanan web, yang disusun oleh kelompok 6 beranggotakan 4 orang. untuk lebih detailnya adalah sebagai berikut :

MAKALAH

KEAMANAN WEB

Makalah ini disusun untuk memenuhi salah satu tugas teknologi web

Kelompok : 6

Andri Ardiansyah : 1942445

Annisa : 1942453

Maya : 1942461

Mulyana : 1942444

STMIK-AMIKBANDUNG

2019

KATA PENGANTAR

Dengan menyebut nama Allah SWT yang maha pengasih lagi maha penyayang. Kami panjatkan puja dan puji syukur atas kehadiratnya yang telah melimpahkan rahmat, hidayah, dan inayahnya kepada kami, sehingga kami dapat menyelesaikan tugas makalah tentang keamanan web yang baik.

Makalah ini telah kami susun dengan maksimal dan mendapatkan bantuan dari berbagai pihak sehingga dapat memperlancar pembuatan makalah ini. Untuk itu kami mengucapkan banyak terima kasih kepada semua pihak yang telah berkontribusi dalam penyusunan makalah ini.

Terlepas dari semua itu, kami menyadari sepenuhnya bahwa masih ada kekurangan baik dari segi susunan kalimat maupun tata bahasanya. Oleh karena itu dengan tangan terbuka menerima segala saran dan kritik dari pembaca agar penyusun dapat memperbaiki makalah ini.

Akhir kata kami berharap semoga makalah tentang kemanan web yang baik ini dapat memberikan manfaat maupun inspirasi terhadap pembaca.

Kamis, 19 desember 2019

Penyusun

Kelompok 6

DAFTAR ISI

Kata pengantar i

Daftar isi ii

Daftar gambar iv

BAB I PENDAHULUAN

Latar belakang 1

Tujuan penyusunan makalah 1

Batasan makalah 3

Metode penulisan 3

BAB II PEMBAHASAN MATERI

2.1 Pengertian Web 4

2.1.1 Situs web gratis 4

2.1.2 Situs wen dinamis 4

2.1.3 Situs web interaktif 4

2.2 Prinsip keamanan web 5

2.2.1 Beberapa prinsip keamanan web 5

2.2.2 poin-poin penting dalam keamanan web 6

2.2.2.1 remote file inklusi (RFI) 6

2.2.2.2 local file inclusion (LFI) 7

2.2.2.3 SQL injection 7

2.2.2.4 cross site scripting (XXS) 8

2.3 Pengertian kriptografi 9

2.4 Sejarah kriptografi 10

2.5 Sertifikate digital 13

2.6 Jenis- jenis sertifikate digital 16

2.7 Pengertian tanda tangan digital 16

2.8 Pengertian SSL certificate 18

2.9 Serangan kemanan terhadap website 23

2.9.1 Injection 23

2.9.2 Broken authentication 23

2.9.3 Sensitive data exposure 23

2.9.4 XML external entities 24

2.9.5 Broken access control 24

2.9.6 Security misconfiguration 24

2.9.7 Cross site scripting 24

2.9.8 Insecure deserialization 25

2.9.9 Using components with known vulnerabilities 25

2.9.10 Insufficient logging and monitoring 25

BAB III PENUTUP

3.1 Kesimpulan 26

3.2 Saran 26

DAFTAR PUSTAKA

KATA PENGANTAR

Akhir kata kami berharap semoga makalah tentang kemanan web yang baik ini dapat memberikan manfaat maupun inspirasi terhadap pembaca.

Kamis, 19 desember 2019

Penyusun

Kelompok 6

DAFTAR ISI

Kata pengantar i

Daftar isi ii

Daftar gambar iv

BAB I PENDAHULUAN

Latar belakang 1

Tujuan penyusunan makalah 1

Batasan makalah 3

Metode penulisan 3

BAB II PEMBAHASAN MATERI

2.1 Pengertian Web 4

2.1.1 Situs web gratis 4

2.1.2 Situs wen dinamis 4

2.1.3 Situs web interaktif 4

2.2 Prinsip keamanan web 5

2.2.1 Beberapa prinsip keamanan web 5

2.2.2 poin-poin penting dalam keamanan web 6

2.2.2.1 remote file inklusi (RFI) 6

2.2.2.2 local file inclusion (LFI) 7

2.2.2.3 SQL injection 7

2.2.2.4 cross site scripting (XXS) 8

2.3 Pengertian kriptografi 9

2.4 Sejarah kriptografi 10

2.5 Sertifikate digital 13

2.6 Jenis- jenis sertifikate digital 16

2.7 Pengertian tanda tangan digital 16

2.8 Pengertian SSL certificate 18

2.9 Serangan kemanan terhadap website 23

2.9.1 Injection 23

2.9.2 Broken authentication 23

2.9.3 Sensitive data exposure 23

2.9.4 XML external entities 24

2.9.5 Broken access control 24

2.9.6 Security misconfiguration 24

2.9.7 Cross site scripting 24

2.9.8 Insecure deserialization

2.9.9 Using components with known vulnerabilities

2.9.10 Insufficient logging and monitoring

BAB III PENUTUP

3.1 Kesimpulan

3.2 Saran

DAFTAR PUSTAKA

DAFTAR GAMBAR

Gambar 2.1 Ilustrasi Kriptografi

Gambar 2.2 Ilustrasi Sejarah Kriptografi

Gambar 2.3 Ilustrasi Enkrisi – Dekripsi

Gambar 2.4 Ilustrasi Contoh Kriptografi

Gambar 2.5 perbedaan digital signature dengan digital certificate

Gambar 2.6 Digital certificate

Gambar 2.7 Contoh peringatan yang diterima ketika Sertifikat SSL

tidak terpercaya

Gambar 2.8 ilustrasi SSl single domain

Gambar 2.9 ilustasi SSL greenbar

BAB I

PENDAHULUAN

1.1 Latar Belakang

Dalam era teknologi seperti sekarang ini perkembangan teknologi telekomunikasi dan penyimpanan data yang menggunakan komputer memungkinkan pengiriman data jarak jauh merupakan salah satu metode cepat dan relatif murah. Namun pengiriman data jarak jauh seperti ini yang bisa menggunakan sarana internet ataupun berupa gelombang radio dan media lain, tidak menjamin keamanan pada data tersebut. Akan sangat memungkinkan adanya pihak lain yang dapat menyadap dan mengubah data yang dikirim. Sehingga data yang diterima akan merubah atau bahkan akan hilang, tidak diterima oleh sipenerima. Memasuki era teknologi informasi sekarang ini, berbagai ilmuan dalam bidang ilmu teknologi telah mengembangkan berbagai cara dalam mengatasi permasalahan sistem keamanan suatu dalam suatu data. Mereka mengembangkan berbagai cara untuk menangkal serangan-serangan yang bisa mengancam keamanan data. Salah satu cara yang ditempuh untuk mengatasi permasalahan ini adalah dengan menggunakan metode penyandian pesan yang disebut sebagai ilmu kriptografi yang menggunakan transformasi data sehingga data yang dihasilkan tidak dapat dimengerti oleh pihak ketiga. Transformasi ini memberikan solusi pada dua masalah keamanan data, yaitu masalah privasi (privacy) dan keautentikan (authentication).

Privasi mengandunga arti bahwa data yang dikirim hanya dapat di mengerti oleh penerima yang sah. Sedangkan keatentikan mencegah pihak ketiga untuk mengirimkan data yang salah atau mengubah data yang dikirimkan. Sehingga pengirim data akan menjadi lebih secure terhadap serangan dari pihak ketiga yang tidak berhak merubah semua informasi pada data-data tersebut.

1.2 Tujuan Penyusunan Makalah

Masalah keamanan dan kerahasiaan data merupakan salah satu aspek yang sangat penting dari suatu system informasi. Hal ini sangat berhubungan dengan betapa pentinganya informasi tersebut dikirim dan diterima oleh orange yang berkepentingan terhadap data. Informasi tidak akan berguna lagi apabila ditengah jalan pengiriman data dibajak atau disadap oleh orang yang tidak berhak. Informasi pada data akan hilang keasliannya sehingga pihak penerima akan mendapatkan informasi yang beda.

Keamanan dan kerahasiaan data terkait pada web yang menjadi isu sangat penting dan terus berkembang. Pada garis besarnya, masalah keamanan web dapat dibagi menjadi 4 bagian yang saling berhubungan satu sama lain yakni, kerahasiaan, keaslian, pengakuan dan kontrol integritas. Kerahasiaan harus dilakukan dengan menjauhkan informasi dari orang-orang yang tidak berhak, keaslian berkaitan dengan menentukan dengan siapa berbicara sebelum memberikan informasi yang sensitif atau memasuki perjanjian bisnis, sedangkan pengakuan berkaitan dengan tanda tangan. Selain keamanan dan kerahasiaan web, konsep ini juga berlaku untuk keamanan dan kerahasiaan data pada internet. Dikarenakan internet dapat di akses oleh semua kalangan, maka keamanan dan kerahasiaan data akan menjadi hal yang terpenting demi kenyamanan antara kedua pihak. Informasi yang terkandung di dalam web tersebut juga semakin lengkap, akurat, dan penting yang perlu mendapat perlakuan yang lebih spesifik.

Pada perkembangannya, dunia web selalu mengupdate tingkat performasi, kehandalan dan fleksibilitas akan menjadi hal yang paling utama dalam proses pengembangan web. Dengan semakin penting dan berharganya sebuah informasi tersebut dan ditunjang oleh kemajuan pengembangan web, tentunya menambah daya tarik bagi para pembobol (hacker) dan penyusup untuk terus melakukan eksperimennya guna menemukan dan mempergunakan setiap kelemahan yang ada dari konfigurasi web yang telah ditetapkan. Dari masalah yang terjadi diatasmuncullah ide penyusun untuk dapat membuat suatu makalah yang nantinya dapat membantu dalam menyelesaikan permasalahan diatas. Adapun maksud tujuan dan penyusunan makalah ini adalah memberikan suatu metode yang dapat memberikan pengamanan data melalui jalur internet sehingga akan dapat mempermudah dan memberikan kenyamanan dalam menggunakan fasilitas internet untuk dunia usaha. Penyusun juga bermaksud untuk menjadikan makalah ini sebagai bahan pembelajaran dalam dunia informatika sehingga dapat melahirkan orang-orang yang berkompeten dalam mengembangkan teknologi di Indonesia.

1.3 Batasan Masalah

Dalam makalah ini, penyusun membatasi masalah yang akan dibahas. Pembahasan yang lebih dikhususkan pada konsep keamanan web. Yaitu pengertian web, prinsip keamanan, kriptografi plaintext dan chipertext, sertifikat digital, tanda tangan digital, secure socket layer (SSL) dan contoh kerentanan dan serangan.

1.4 Metode Penulisan

Melihat dari situasi demi terwujudnya suatu system keamanan, penyusun mencoba melihat permasalahannya dengan menelaah beberapa system yang berhubungan dengan informasi yang berada didalam dunia maya. Adapun penelitian yang digunakan oleh penyusun dalam membuat makalah ini adalah melalui literature dari beberapa bahan-bahan situs internet dan buku yang berhubungan dengan system keamanan dan juga dengan berpegang prinsip pada system kriptografi yang merupakan suatu seni atau ilmu penulisan rahasia informasi. Penyusun juga melakukan observasi atau pengamatan terhadap makalah –makalah yang ada di dalam situs internet yang membahas masalah keamanan web.

BAB II

PEMBAHASAN MATERI

2.1 Pengertian Web

Pengertian web adalah berkas yang ditulis sebagai berkas teks biasaya (plain text), yang diatur dan dikombinasikan sedemikian rupa dengan instruksi – instruksi berbasis HTML atau pun XHTML, yang kadang – kadang juga turut disisipi dengan berbagai macam bahasa skrip. Berkas web ini nantinya akan diterjemahkan oleh mesin browser dan ditampilkan menjadi sebuah halaman atau situs web yang biasa kita lihat.

Jenis – jenis web :

2.1.1 Situs Web Statis

Situs web statis merupakan jenis situs web yang isinya tidak diperbaharui secara berkala. Situs web model ini biasanya dimiliki oleh perusahaan – perusahaan yang hanya menggunakan situs web sebagai media informasi perusahaan saja (seperti situs milik perusahaan penerbangan, situs milik perusahaan perkebunan, dan situs – situs lainnya).

2.1.2 Situs Web Dinamis

Berbeda dengan situs web statis yang isinya tidak diperbaharui secara berkala, isi situs web dinamis biasanya selalu update dan diperbaharui secara berkala (atau bahkan terjadwal) oleh pengelola atau pun pemilik situs web. Model situs web ini biasanya banyak digunakan oleh perusahaan atau pun perorangan yang memang mengandalkan seluruh aktivitas bisnis mereka dari dunia internet. Beberapa contoh situs ini adalah situs portal berita, blog, dan situs – situs lainnya.

2.1.3 Situs Web Interaktif

Situs web interaktif pada dasarnya hampir sama dengan situs web dinamis. Bedanya, jika situs web dinamis isinya diupdate atau pun diperbaharui oleh pengelola, situs web interaktif biasanya diperbarui oleh pengguna situs web tersebut. Beberapa contoh situs web interaktif yaitu situs atau pun media jejaring sosial, situs portal blogging, dan situs – situs lainnya.

2.2 Prinsip Keamanan Web

Keamanan merupakan suatu hal yang tidak boleh dilupakan dalam membangun apapun termasuk web dan aplikasinya. Tanpa memperhatikan keamanan, sebuah web akan dengan mudah disusupi oleh orang yang tidak bertanggung jawab dan bisa saja mengambil data-data penting yang seharusnya tidak boleh jatuh ke tangan orang-orang yang tidak berhak.

Beberapa prinsip-prinsip keamanan web :

1. Prinsip pertama: tidak ada sistem yang 100% aman. Setiap saat pasti harus bersandar pada hardware, software, dan manusia lain padahal seharusnya harus tahu bahwa semuanya memiliki bug. Hardware dapat gagal berfungsi, software bisa memiliki bolong atau pintu belakang manusia. Sebaik-baiknya usaha untuk mencapai keamanan tertinggi, akan ada cela atau peluang untuk ditembus. Dan kadang-kadang celah itu dating dari diri sendiri. Jadi keamanan absolut tidak ada, yang ada melainkan adalah sistem yang cukup aman dalam konteks atau kebutuhan tertentu dan sistem yang kurang/tidak aman. Tujuannya adalah mengetahui bagaimana membuat sistem yang cukup aman dan menghindari lubang-lubang yang membuat sistem tidak aman.

2. Prinsip ke-2: jangan percayai siapa tau apapun. Pada umumnya aplikasi web setidaknya yang berjalan untuk situs-situs public harus berurusan dengan banyak user asing. Mengasumsikan bahwa semua user ini akan bersikap baik-baik merupakan sebuah kenaifan besar. Situs-situs di Internet, besar kecil, diisengi orang setiap hari. Hanya mengandalkan pengecekan masukan oleh Javascript juga kesalahan fatal. Javascript dapat di bypass kapan saja.

3. Prinsip ke-3: kenali system diri sendiri lebih dari orang lain. Dalam pemrograman web umumnya terdapat beberapa komponen terpisah yang bekerja sama web server, aplikasi atau bahasa pemrograman, dan server database. Setiap komponen ini berbeda sifat dan https://draft.blogger.com/blogger.g?blogID=1197037240439611525#editor/target=post;postID=4724102840529519430 perlu dikenali satu per satu.

4. Prinsip ke-4: hanya mengandalkan penyamaran bukanlah keamanan yang baik. Bahasa Inggrisnya, security by obscurity is not good security. Menyembunyikan halaman administrasi atau informasi sensitif di alamat URL “aneh” tanpa password bukanlah tindakan keamanan yang baik, karena “jejak” URL tersebut tercetak di history browser, di log server-server proxy, dan mungkin juga log referrer situs lain yang tidak pernah dibayangkan sebelumnya. Berpikir “orang tidak akan kepikir sampai ke sini” adalah pikiran yang salah, karena seseorang toh tidak tahu apa yang ada di pikiran orang lain.

2.2.2 Poin-poin penting dalam keamanan web

2.2.2.1 Remote File Inklusi (RFI)

Remote file inklusi (RFI) adalah jenis kerentanan paling sering ditemukan di situs web, memungkinkan penyerang untuk menyertakan file jarak jauh yang biasanya melalui sebuah script di server web. Kerentanan terjadi karena penggunaan input yang diberikan pengguna tanpa validasi yang tepat. Hal ini dapat mengakibatkan sesuatu yang minimal keluaran isi file, tetapi tergantung pada beratnya, untuk daftar beberapa itu bisa mengarah pada:

a. Kode eksekusi pada server web.

b. Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan lain seperti situs cross scripting (XSS).

c. Denial of Service (DoS).

d. Pencurian Data atau Manipulasi.

Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi file system, yang paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian besar kerentanan dapat dikaitkan dengan programmer pemula tidak akrab dengan semua kemampuan bahasa pemrograman PHP. Bahasa PHP memiliki direktif allow url fopen dan jika diaktifkan memungkinkan fungsi file system untuk menggunakan URL yang memungkinkan mereka untuk mengambil data dari lokasi terpencil. Seorang penyerang akan mengubah variabel yang dilewatkan ke salah satu fungsi-fungsi ini menyebabkan itu untuk memasukkan kode berbahaya dari sumber daya remote. Untuk mengatasi ini, semua input pengguna harus divalidasi sebelum digunakan.

2.2.2.2 Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include (), include once (), require (), require once () yang variabel nya tidak dideklarasikan dengan sempurna. Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.

2.2.2.3 SQL injection

SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan penyisipan. SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL.

Cross Site Scripting (XSS)

Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien ke dalam halaman web dilihat oleh pengguna lain. Sebuah kerentanan dieksploitasi scripting lintas situs dapat digunakan oleh penyerang untuk mem-bypass akses kontrol seperti kebijakan asal-usul yang sama cross-site scripting dilakukan di situs web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan oleh symantec pada 2007. Dampak beragam, mulai dari gangguan kecil dengan risiko keamanan yang signifikan, tergantung pada kepekaan data ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan dilaksanakan oleh pemilik situs.

Lubang cross-site scripting adalah kelemahan aplikasi web yang memungkinkan penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada konten web oleh browser modern. Dengan mencari cara suntik script jahat ke dalam halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas nama pengguna. serangan cross-site scripting oleh karena itu kasus khusus injeksi kode.

Ekspresi "cross-site scripting" pada awalnya merujuk pada tindakan loading aplikasi, web diserang pihak ketiga dari sebuah situs serangan yang tidak berhubungan, dengan cara yang mengeksekusi sebuah fragmen javascript disusun oleh penyerang dalam konteks keamanan dari domain yang ditargetkan (a dipantulkan atau non-persistent kerentanan XSS). Definisi ini secara bertahap diperluas untuk mencakup modus lain injeksi kode, termasuk vektor persisten dan non-javascript (termasuk Jawa, ActiveX, VBScript, Flash, HTML atau bahkan murni), menyebabkan kebingungan untuk pendatang baru dalam bidang keamanan informasi.

2.3 Pengertian Kriptografi

Kriptografi adalah ilmu mengenai teknik enkripsi dimana “naskah asli” (plaintext) diacak menggunakan suatu kunci enkripsi menjadi “naskah acak yang sulit dibaca” (ciphertext) oleh seseorang yang tidak memiliki kunci dekripsi. Dekripsi menggunakan kunci dekripsi bisa mendapatkan kembali data asli. Probabilitas mendapat kembali naskah asli oleh seseorang yang tidak mempunyai kunci dekripsi dalam waktu yang tidak terlalu lama adalah sangat kecil.

Teknik enkripsi yang digunakan dalam kriptografi klasik adalah enkripsi simetris dimana kunci dekripsi sama dengan kunci enkripsi. Untuk public key cryptography, diperlukan teknik enkripsi asimetris dimana kunci dekripsi tidak sama dengan kunci enkripsi. Enkripsi, dekripsi dan pembuatan kunci untuk teknik enkripsi asimetris memerlukan komputasi yang lebih intensif dibandingkan enkripsi simetris, karena enkripsi asimetris menggunakan bilangan – bilangan yang sangat besar. (Kromodimoeljo, 2010).

Aspek keamanan kriptografi memiliki beberapa aspek keamanan antara lain:

Kerahasiaan (confidentiality), menjamin bahwa data-data tersebut hanya bisa diakses oleh pihak-pihak tertentu saja. Kerahasiaan bertujuan untuk melindungi suatu informasi dari semua pihak yang tidak berhak atas informasi tersebut.

Otentikasi (authentication), merupakan identifikasi yang dilakukan oleh masing – masing pihak yang saling berkomunikasi, maksudnya beberapa pihak yang berkomunikasi harus mengidentifikasi satu sama lainnya. Informasi yang didapat oleh suatu pihak dari pihak lain harus diidentifikasi untuk memastikan keaslian dari informasi yang diterima.

Integritas (integrity), menjamin setiap pesan yang dikirim pasti sampai pada penerimanya tanpa ada bagian dari pesan tersebut yang diganti, diduplikasi, dirusak, diubah urutannya, dan ditambahkan. Integritas data bertujuan untuk mencegah terjadinya pengubahan informasi oleh pihak-pihak yang tidak berhak atas informasi tersebut. Untuk menjamin integritas data ini pengguna harus mempunyai kemampuan untuk mendeteksi terjadinya manipulasi data oleh pihak-pihak yang tidak berkepentingan. Manipulasi data yang dimaksud di sini meliputi penyisipan, penghapusan, maupun penggantian data.

Nirpenyangkalan (Nonrepudiation), mencegah pengirim maupun penerima mengingkari bahwa mereka telah mengirimkan atau menerima suatu pesan. Jika sebuah pesan dikirim, penerima dapat membuktikan bahwa pesan tersebut memang dikirim oleh pengirim yang tertera. Sebaliknya, jika sebuah pesan diterima, pengirim dapat membuktikan bahwa pesannya telah diterima oleh pihak yang ditujunya. (Ariyus, 2008).

2.4 Sejarah Kriptografi

Kata kriptografi berasal dari bahasa Yunani, “kryptós” yang berarti tersembunyi dan “gráphein” yang berarti tulisan. Kriptografi telah digunakan oleh Julius Caesar sejak zaman Romawi Kuno. Teknik ini dijuluki Caesar cipher untuk mengirim pesan secara rahasia, meskipun teknik yang digunakannya sangat tidak memadai untuk ukuran kini. Casanova menggunakan pengetahuan mengenai kriptografi untuk mengelabui Madame d’Urfe (Casanova mengatakan kepada Madame d’Urfe bahwa sesosok jin memberi tahu kunci rahasia Madame d’Urfe kepadanya, padahal casanova berhasil memecahkan kunci rahasia berdasarkan pengetahuannya mengenai kriptografi), sehingga mampu mengontrol kehidupan Madame d’Urfe secara total. (Kromodimoeljo, 2010).

gambar sejarah kriptografi

Kriptografi juga digunakan oleh tentara Sparta melalui alat pembuat pesan yang disebut scytale. Scytale merupakan suatu alat yang memiliki pita panjang dari daun papyrus dan ditambah dengan sebatang silinder. Mula – mula pengirim menuliskan pesannya diatas pita papyrus yang digulung pada sebatang silinder, setelah itu pita dilepaskan dan dikirimkan. Batang silinder yang cukup tebal dapat dituliskan 6 huruf dan bisa memuat 3 huruf secara melingkar. (Ariyus, 2008).

Pada prinsipnya, Kriptografi memiliki 4 komponen utama yaitu :

Plaintext adalah text yang di encode dalam format ASCII. Plaintext tidak memiliki format dan informasi struktur seperti ukuran dan tipe font, warna atau layout. Plaintext biasanya digunakan antar computer yang tidak memiliki kesepakatan untuk saling bertukar informasi format dan layout teks (pesan yang dapat dibaca).

Ciphertext adalah bentuk setelah pesan dalam plaintext telah diubah bentuknya menjadi lebih aman dan tidak dapat dibaca. Proses mengubah plaintext menjadi ciphertext disebut dengan encryption (enciphering) dan proses membalikannya disebut dengan decryption (deciphering). Jadi, ciphertext adalah pesan acak yang tidak dapat dibaca.

Key, yaitu kunci untuk melakukan teknik kriptografi.

Algorithm, yaitu metode untuk melakukan enkrispi dan dekripsi

Kemudian, proses yang akan dibahas dalam artikel ini meliputi 2 proses dasar pada kriptografi yaitu :

Enkripsi (Encryption)

Enkripsi (Encryption) adalah sebuah proses menjadikan pesan yang dapat dibaca (plaintext) menjadi pesan acak yang tidak dapat dibaca (ciphertext). Berikut adalah contoh enkripsi yang digunakan oleh Julius Caesar, yaitu dengan mengganti masing-masing huruf dengan 3 huruf selanjutnya (disebut juga Additive atau Substitution Cipher). Dengan key yang digunakan sama untuk kedua proses diatas. Penggunaan key yang sama untuk kedua proses enkripsi dan dekripsi ini disebut juga dengan Secret Key, Shared Key atau Symetric Key Cryptosystems.

Dekripsi (Decryption)

Deskripsi merupakan proses kebalikan dari enkripsi dimana proses ini akan mengubah ciphertext menjadi plaintext dengan menggunakan algoritma "pembalik" dan key yang sama contoh :

Ciphertext Plaintext

suhor mobil

enkripsi

Keterangan :

Pada baris pertama huruf pertama di awali dengan huruf A, untuk baris keduanya huruf pertama diawali sesuai dengan "nilai key", jika pada contoh nilai key adalah 7, maka huruf pertama diawali dengan huruf "G", karena huruf "G" merupakan urutan ke-7 dari urutan huruf (Alfabet).

Sertifikate Digital

Digital certificate (Sertifikat digital) adalah “kata sandi” elektronik yang memungkinkan seseorang, organisasi untuk bertukar data secara aman melalui Internet menggunakan public key infrastructure (PKI). Sertifikat Digital juga dikenal sebagai sertifikat kunci publik atau sertifikat identitas. Sertifikat digital berbagi kunci publik yang akan digunakan untuk enkripsi dan otentikasi.

Sertifikat digital mencakup kunci publik yang disertifikasi, mengidentifikasi informasi tentang entitas yang memiliki kunci publik, metadata yang berkaitan dengan sertifikat digital, dan tanda tangan digital kunci publik yang dibuat oleh penerbit sertifikat. Kriptografi kunci publik bergantung pada pasangan kunci: satu kunci pribadi untuk dipegang oleh pemilik dan digunakan untuk menandatangani dan mendekripsi, dan satu kunci publik yang dapat digunakan untuk enkripsi data yang dikirim ke pemilik kunci publik atau otentikasi pemegang sertifikat. Sertifikat digital memungkinkan entitas untuk membagikan kunci publik mereka dengan cara yang dapat diautentikasi. Sertifikat digital juga digunakan oleh semua browser web dan server web untuk memberikan jaminan bahwa konten yang diterbitkan belum dimodifikasi oleh pelaku yang tidak sah, dan untuk berbagi kunci untuk mengenkripsi dan mendekripsi konten website. Sertifikat digital juga digunakan dalam konteks lain, baik online maupun offline, untuk memberikan jaminan kriptografis dan privasi data.

Meskipun dimungkinkan bagi suatu entitas untuk membuat PKI sendiri dan mengeluarkan sertifikat digitalnya sendiri – dan dalam beberapa kasus pendekatan ini mungkin terjadi, misalnya ketika organisasi mempertahankan PKI sendiri untuk mengeluarkan sertifikat untuk penggunaan internalnya- sebagian besar sertifikat digital dikeluarkan oleh certificate authority (CA). CA dianggap pihak ketiga yang tepercaya dalam konteks PKI, menggunakan pihak ketiga yang tepercaya untuk menerbitkan sertifikat digital memungkinkan individu untuk memperluas kepercayaan mereka pada CA dan dapat dipercayanya sertifikat digital yang dikeluarkannya.

Kriptografi kunci publik memungkinkan sejumlah fungsi yang berbeda, termasuk enkripsi dan otentikasi. Tanda tangan digital (digital signature) adalah salah satu dari fungsi yang diaktifkan oleh kriptografi kunci publik; tanda tangan digital dihasilkan menggunakan algoritma untuk penandatanganan data, dengan hasil bahwa penerima dapat mengkonfirmasi bahwa data tersebut ditandatangani oleh pemegang kunci publik tertentu.

Tanda tangan digital dihasilkan dengan hashing data yang akan ditandatangani dengan hash kriptografi satu arah, hasilnya kemudian dienkripsi dengan kunci pribadi penandatangan. Tanda tangan digital menggabungkan hash terenkripsi ini, yang hanya dapat diotentikasi (diverifikasi) dengan menggunakan kunci publik pengirim untuk mendekripsi tanda tangan digital, dan kemudian menjalankan algoritma hashing satu arah yang sama pada konten yang ditandatangani. Kedua hash kemudian dapat dibandingkan, dan jika cocok, itu membuktikan bahwa data tidak berubah dari saat ditandatangani – dan bahwa pengirim adalah pemilik pasangan kunci publik yang digunakan untuk menandatanganinya.

Secara umum, tanda tangan digital dapat bergantung pada distribusi kunci publik dalam bentuk sertifikat digital – tetapi kunci publik tidak wajib ditransmisikan dalam bentuk tersebut. Namun, sertifikat digital sendiri ditandatangani secara digital, dan mereka tidak boleh dipercaya sampai signature (tanda tangan) pesan dapat diverifikasi.

gambar scripting

Jenis Sertifikat Digital

Ada 3 jenis sertifikat digital yang digunakan oleh server web dan browser web untuk mengotentikasi melalui internet. Sertifikat digital ini digunakan untuk menautkan server web untuk domain ke individu atau organisasi yang memiliki domain.

Sertifikat ini biasanya disebut sebagai sertifikat SSL meskipun protokol SSL telah digantikan oleh protokol Transport Layer Security (TLS).

Domain Validated (DV SSL)

Menawarkan jumlah jaminan paling sedikit tentang pemegang sertifikat. Pelamar untuk sertifikat SSL DV hanya perlu menunjukkan bahwa mereka memiliki hak untuk menggunakan nama domain. Meskipun sertifikat ini dapat memberikan jaminan bahwa data sedang dikirim dan diterima oleh pemegang sertifikat, mereka tidak memberikan jaminan tentang siapa entitas tersebut.

Organization Validated (OV SSL)

Memberikan jaminan tambahan tentang pemegang sertifikat; selain mengonfirmasi bahwa pemohon memiliki hak untuk menggunakan domain, pemohon sertifikat OV SSL menjalani konfirmasi tambahan selain kepemilikan mereka atas domain. Konfirmasi tambahan bisa berupa panggilan telepon dari penerbit sertifikat atau menunjukkan dokumen kepemilikan organisasi dll.

Extended Validation (EV SSL)

Dikeluarkan hanya setelah pemohon mampu membuktikan identitas mereka hingga CA merasa cukup. Proses pemeriksaan meliputi verifikasi keberadaan entitas yang mengajukan sertifikat, memverifikasi bahwa identitas cocok dengan catatan resmi, memverifikasi bahwa entitas berwenang untuk menggunakan domain dan mengonfirmasi bahwa pemilik domain telah mengesahkan penerbitan sertifikat.

Jenis sertifikat SSL ini tersedia dari CA untuk domain web, meskipun metode dan kriteria yang tepat untuk sertifikat ini berkembang karena industri CA beradaptasi dengan kondisi dan aplikasi baru. Selain sertifikat SSL, ada jenis sertifikat digital lain yang digunakan untuk tujuan lain. Sertifikat penandatanganan kode dapat dikeluarkan untuk organisasi atau individu yang menerbitkan perangkat lunak. Sertifikat ini digunakan untuk membagikan kunci publik yang menandatangani kode perangkat lunak, termasuk tambalan dan pembaruan perangkat lunak. Sertifikat penandatanganan kode ini dapat menyatakan keaslian kode yang ditandatangani. Sertifikat klien, juga disebut ID digital, dikeluarkan untuk individu untuk mengikat identitas mereka ke kunci publik dalam sertifikat. Individu dapat menggunakan sertifikat ini untuk menandatangani pesan atau data lain secara digital; individu juga dapat menggunakan kunci pribadi mereka untuk mengenkripsi data yang penerima dapat mendekripsi menggunakan kunci publik di sertifikat klien.

Pengertian Tanda Tangan Digital

Tanda tangan digital adalah suatu tanda tangan biasa yang dibuat secara elektronik yang berfungsi sama dengan tanda tangan biasa pada dokumen kertas biasa. Tanda tangan adalah data yang apabila tidak dipalsukan, dapat berfungsi untuk menyatakan bahwa orang yang namanya tertera pada suatu dokumen setuju dengan apa yang tercantum pada dokumen yang ditandatanganinya. Tanda tangan digital dapat memberikan jaminan yang lebih terhadap keamanan dokumen dibandingkan dengan tanda tangan biasa. Penerima pesan yang dibubuhi tanda tangan digital dapat memeriksa mengenai apakah pesan tersebut benar-benar dating dari pengirim yang benar dan apakah pesan tersebut telah diubah setelah ditanda tangani, baik secara sengaja atau tidak sengaja. Tanda tangan digital yang aman tidak dapat diingkari oleh penanda tangan di kemudian hari dengan menyatakan bahwa tanda tangan itu dipalsukan. Dengan kata lain, tanda tangan digital dapat memberikan jaminan keaslian dokumen yang dikirim secara digital, baik jaminan tentang identitas pengirim dan kebenaran dari dokumen tersebut.

Pengertian SSL

SSL (Secure Socket Layer) adalah cara untuk sebuah website untuk membangun koneksi yang aman (terenkripsi) antara webserver (website) dengan client (Browser) atau antara mail server dengan mail client. Sehingga koneksi antara client dan server dapat berjalan secara aman dari pihak lain yang tidak berkepentingan.

Setiap kali seorang pengunjung web mengunjungi situs yang menggunakan teknologi SSL, website akan menciptakan sebuah link yang terenkripsi antara sesi browser mereka dan web server. SSL adalah standar industry atau protokol untuk komunikasi web yang aman dan digunakan untuk melindungi jutaan transaksi online setiap hari.

SSL memungkinkan informasi sensitif seperti data kartu kredit, username, password dan informasi penting ditransmisikan cari server ke client atau sebaliknya dengan aman karena data yang dikirim akan diaca (dienkripsi). Web server harus memiliki sertifikat SSL sebelum dapat membuat koneksi SSL. Ketika seseorang mengaktifkan protokol SSL di server web mereka, mereka diminta untuk menjawab pertanyaan yang akan membangun identitas mereka. Pertanyaan meminta informasi tentang kedua situs dan perusahaan. Setelah sertifikat SSL yang diminta, server web menciptakan 2 kunci kriptografi, yaitu public key dan private key.

Public key

Akan diberikan ke browser bersama dengan certificate ketika koneksi terenkripsi (secure connection) antara browser dan server terbentuk, publilc key ini akan digunakan oleh browser untuk mengenkripsi data yang yang akan dikirim ke server.

Private Key

Akan digunakan oleh server untuk mendecrypt informasi terenkripsi dari browser, private key ini sifatnya sangat rahasia dan tidak ada yang boleh tau (bocor) karena kunci ini yang digunakan untuk membongkar enkripsi data dari dan ke server.

Sertifikat SSL dapat dibedakan menjadi 2 berdasarkan pemberi otorisasi yaitu :

Self Signed Certificate SSL

Self Signed Certificate dapat diperoleh dengan gratis karena yang membuat dan pula yang menandatanginya. Jika suatu website atau aplikasi menggunakan protocol SSL dengan Self signed certificate biasanya pada aplikasi client (browser) akan muncul peringatan jika certificate tidak dipercaya. Ini hal yang wajar karena didalam browser terdapat daftar root CA yang dijadikan acuan oleh browser untuk menentukan kepercayaan terdapat suatu certificate.

Hal ini dilakukan untuk memastikan bahwa certificate yang digunakan valid dan tidak sedang diacak-acak oleh hacker (Man In The Midle Attack).

gma

Trusted Certificate Authority (Very-Signed SSL)

Jenis certificate ini harus didapatkan dengan cara membayar ke pihak CA ataupun menggunakan layanan open source seperti Lets Encrypt yang memberikan certificate secara gratis dan terpercaya (Sudah terdaftar dan diakui resmi di dunia internet). Untuk mendapatkan trusted certificate authority harus membuat certificate signing request (CSR) di webserver yang digunakan, dalam proses pembuatan certificate ini akan dihasilkan private key dan public key. Agar certificate yang dibuat dipercaya oleh browser maka ceritificate yang berisi public key harus dikirim dan di tandatangi oleh organisasi terpercaya pemberi certificate (Certificate Authority atau CA) seperti Comodo, symantec, GoDaddy, GlobalSign, Verizone dll. dalam proses ini CA tidak tau private key yang digunakan karena yang dikirim adalah certificate yang berisi public key. Setelah certificate yang dibuat telah ditandatangani oleh CA maka harus memasang sertifikat tersebut di web server yang digunakan (CA’s Root Certificate). Oleh karena itulah SSL certificate mempunyai masa berlaku dan untuk mendapatkan nya harus membeli ke pihak Certificate Authority (CA) ketika akan membuat website dengan protocol HTTPS.

Proses enkripsi menggunakan SSL:

Client atau Browser meminta koneksi SSL (SSL Hello).

Server membalas permintaan dengan mengirimkan SSL certificate yang berisi public key.

Client menerima dan memfalidasi keabsahan certificate tersebut (ngecek pihak CA yang menandatangi,masa berlaku,owner dll).

Client membuat Symmetric Encryption key (sering disebut session key) dan meng enkripsi session key dengan public key yang ada di dalam certificate lalu mengirimkan nya ke server.

Server medekripsi dengan private key data dari client yang berisi symmetric session key, dan menggukanan key tersebut untuk mengirim data dari server ke client koneksi SSL pun terbentuk.

Alasan utama mengapa menggunakan SSL adalah untuk menjaga informasi sensitif selama dalam proses pengiriman melalui Internet dengan cara dienkripsi, sehingga hanya penerima pesan yang dapat memahami dari hasil enkripsi tersebut. Hal ini sangat penting, karena informasi yang dikirimkan di internet membutuhkan proses perjalanan dari komputer ke komputer sampai mencapai server tujuan. Komputer lain yang ada diantara user dan server dapat melihat nomor kartu kredit, username dan passwords, dan informasi sensitive lainnya bila hal ini tidak dienkripsi dengan Sertifikat SSL.

Ketika sertifikat SSL digunakan, informasi menjadi tidak dapat terbaca oleh siapapun kecuali ke server yang memang dituju saat mengirim informasi tersebut. Hal ini melindungi informasi tersebut dari hackers dan pencuri identitas. Dengan memasang SSL pada website bisnis, maka konsumen akan merasa aman karena informasi yang dikirim dari dan ke server sudah diacak dan hanya server yang bisa membaca informasi tersebut. Sehingga akan terjalin kepercayaan konsumen terhadap website.

Tujuan dari SSL Certificate:

SSL certificate melindungi informasi sensitif seperti informasi kartu kredit, nama pengguna, kata sandi, dll. Benefit yang diterima meliputi:

Menjaga keamanan data antar server

Meningkatkan Google Ranking website

Membangun atau Meningkatkan kepercayaan terhadap pelanggan

Memperbaiki tingkat konversi traffic

Beberapa jenis domain:

SSL Single Domain

Gambar 2.8 ilustrasi SSl single domain

Sesuai dengan namanya, SSL single domain adalah salah satu jenis SSL yang hanya melindungi satu site dalam satu domain saja. SSL jenis ini hanya berlaku untuk main domain atau satu sub domain saja. Apabila ingin membeli SSL jenis ini, user harus memilih SSL single domain ini akan diinstall di main domain atau sub domain yang mana. Misal, SSL sudah di konfigurasi di main domain jagoanhosting.com, maka sudah tidak dapat digunakan di sub domain blog.jagoanhosting.com, begitu pula sebaliknya.

2. SSL Wildcard Domain

Berbeda dengan SSL single Domain, SSL Wildcard adalah SSL yang dapat melindungi site main domain dan banyak sub domain sekaligus. Bahkan, meskipun terdapat banyak sub domain didalamnya. Apabila ingin membeli SSL jenis ini dan memasangnya di site. Misal, didalam website domain jagoanhosting.com terdapat banyak sub domain didalamnya seperti blog.jagoanhosting.com, karir.jagoanhosting.com, dll. Maka, baik main domain jagoanhosting.com dan semua sub domain didalamnya akan terlindungi oleh SSL.

SSL greenbar

Gambar 2.9 ilustasi SSL greenbar

Pengertian SSL Greenbar sendiri adalah jenis SSL yang dilengkapi dengan keterangan nama perusahaan didepan protokol https, hal ini dimaksudkan untuk meningkatkan kepercayaan pengunjung website terhadap perusahaan pemilik website. Untuk membeli SSL jenis ini, diperlukan pengajuan khusus yang prosesnya sedikit lebih banyak daripada membeli SSL biasa, antara lain,

Perusahaan harus terdaftar di yellowpages.co.id dan ahu.go.id

Memiliki legalitas usaha (SIUP)

Verifikasi via telepon

Validasi domain

SSL jenis ini akan menambah prestiusnya website, terutama untuk perusahaan dan toko online.

2.9 Serangan Keamanan Terhadap Website

Beberapa serangan yang mungkin terjadi terhadap website :

2.9.1 Injection

Serangan injection biasa terjadi jika ada data yang tidak terpercaya dikirim ke sebuah code interpreter melalui sebuah formulir input atau cara input data ke website lainnya. Misalnya, seorang hacker bisa memasukkan kode database SQL melalui sebuah formulir yang sebenarnya hanya meminta data plaintext. Kalau formulir input ini tidak diamankan dengan baik maka kode SQL nya bisa saja dijalankan. Ini adalah contoh serangan injection SQL. Nah, serangan injection ini bisa dicegah dengan memvalidasi dan membersihkan data yang dimasukkan oleh user. Validasi yang dimaksud disini adalah menolak data-data yang terlihat mencurigakan. Membersihkan data berarti menghapus semua data-data mencurigakan tersebut. Tidak hanya itu, admin database juga bisa meminimalkan jumlah informasi yang mungkin terexpose ke serangan injection.

2.9.2 Broken Authentication

Kelemahan pada sistem login bisa memberi hacker akses ke akun user. Tidak hanya itu mereka bisa menguasai seluruh sistem dengan meng-hack akun admin. Untuk memitigasi kelemahan authentication, user bisa menggunakan 2-factor authentication (2FA).

2.9.3 Sensitive Data Exposure

Jika sebuah website menyimpan data-data sensitive penggunanya, tentunya akan bahaya jika para user tidak menjaga keamanannya. Untuk mengurangi kemungkinan pencurian data, user bisa mengenskripsi data-data sensitifnya. Developer juga harus memastikan bahwa website tidak menyimpan data-data sensitive yang sebenarnya tidak dibutuhkan.

2.9.4 XML External Entities

Ini adalah serangan ke website dan aplikasi yang menganalisa input XML. Input ini bisa mereferensikan entity external untuk mengetahui kelemahan yang ada pada input XMLnya. Entiti external yang dimaksud disini biasanya berupa unit penyimpanan, seperti misalnya hard drive. Analisa input XML bisa dibuat seakan-akan mengirim data ke entity external yang tidak dipercaya, dimana bisa mengirim data-data sensitive ke hackernya langsung. Cara terbaik untuk mengatasi XEE ini adalah dengan memiliki web app yang mengandung jenis data yang tidak terlalu kompleks.

2.9.5 Broken Access Control

Access control pada poin ini mengacu kepada sistem control yang mengakses informasi dan fungsionalitasnya. Access control yang rusak memungkinkan penyerang untuk melewati proses autorisasi dan melakukan hal-hal yang biasanya hanya bisa dilakukan oleh admin.

2.9.6 Security Misconfiguration

Kesalahan konfigurasi keamanan adalah kelemahan yang paling sering terjadi di antara kelemahan lain di daftar ini. Biasanya kesalahan terjadi jika hanya menggunakan default konfigurasi tanpa melihat kebutuhan website.

2.9.7 Cross Site Scripting

Kelemahan cross site scripting akan terjadi pada web app jika web app tersebut menginjinkan user untuk menambahkan kode custom ke sebuah path URL atau ke website yang dilihat oleh user lain. Kelemahan ini biasa dimanfaatkan untuk menjalankan kode Javascript yang berbahaya pada browser korban. Contohnya, jika seorang hacker mengirim email ke korban dengan mengatas namakan nama bank tersebut dan menyertakan link ke website bank tersebut, mereka bisa saja menaruh kode JavaScript berbahaya ke dalamnya. Kalau website bank tidak terlindungi dengan baik, nasabah akan menjadi korban.

2.9.8 Insecure Deserialization

Untuk mengerti apa masalah dari kelemahan ini, user harus mengerti dulu apa arti dari serialisasi dan deserialisasi. Serialisasi adalah proses dimana object diambil dari kode aplikasi dan di-convert ke format lain sehingga bisa digunakan untuk keperluan lain, misalnya menyimpan data ke sebuah disk. Deserialisasi berarti sebaliknya; meng-convert data yang sudah diserialisasi kembali object yang digunakan oleh aplikasinya. Insecure deserialization atau deserialisasi yang kurang aman bisa saja diserang dengan memanfaatkan data dari asal yang tidak dipercaya. Ini bisa menyebabkan terjadinya serangan DDoS. Untuk mencegah ini terjadi, user perlu melarang deserialisasi dari data yang tidak dipercaya.

2.9.9 Using Components with Known Vulnerabilities

Kebanyakan web developer menggunakan komponen seperti libraries dan frameworks di web app mereka. Komponen-komponen ini adalah kumpulan software yang menolong developers untuk bekerja dengan lebih efisien. Beberapa hacker biasa mencari kelemahan yang ada pada komponen-komponen ini agar bisa melakukan serangan. Oleh karena itu, developer harus selalu memastikan bahwa komponen-komponen ini sudah diupdate agar tetap aman.

2.9.10 Insufficient Logging and Monitoring

Kebanyakan web app tidak mengambil langkah yang cukup untuk mendeteksi penembusan data. Rata-rata orang baru sadar kalau terjadi penembusan di website mereka setelah 200 hari. Ini tentunya memberikan penyerang banyak waktu untuk melakukan penyerangan. OWASP merekomendasikan developer untuk mengimplementasi logging dan monitoring serta rencana response insiden agar mereka tahu jika ada penyerangan yang terjadi pada aplikasi mereka.

BAB III

PENUTUP

3.1 Kesimpulan

Inti dari keamanan web adalah melindungi web dengan tujuan mengamankan informasi yang berada di dalamnya. Mencegah terjadinya suatu serangan terhadap web seperti hacker. Dengan demikian perlu memperhatikan desain dari sistem, aplikasi yang dipakai, dan human (admin). Ketiga faktor tersebut merupakan cara yang baik untuk mencegah terjadinya kebocoran sistem, serangan, dan lain-lain. Password digunakan untuk memproteksi hal-hal yang sifatnya confidential. Beberapa orang sudah membuat password dengan menggabungkan beberapa jenis karakter sehingga sulit untuk ditebak. Ini membuktikan bahwa mereka tidak ingin informasi yang tersimpan didalamnya di-hack oleh pihak lain. Keamanan yang mereka punya juga tidak ditulis disembarang tempat atau diberikan kepada sembarang orang. Bentuk apa pun yang membutuhkan validasi (login) untuk mengaksesnya, tidak akan dibiarkan terbuka jika ingin ditinggalkan. Hanya pembatasan saja yang masih jarang ditemukan. Namun, tanpa mengerti policy password, orang sudah mengerti bagaimana cara membuat password yang baik sehingga otentikasinya kuat.

3.2 Saran

Begitu banyak teknik dalam mengamankan data dan informasi yang tersimpan pada sebuah media penyimpanan di komputer. Teknik tersebut patut diterapkan apabila user tidak menginginkan terjadinya resiko kehilangan data penting. Namun, pemilihan teknik tersebut perlu dilakukan dengan cermat. Untuk yang mempunyai password dalam jumlah yang banyak, lebih baik memakai password management daripada ditulis disuatu tempat.

DAFTAR PUSTAKA

https://pengertiandefinisi.com/pengertian-web-dan-jenis-jenisnya/

https://faqihshofyan.blogspot.com/2014/05/prinsip-keaman-web .html?m=0

http://bursa-netword.blogspot.com/2016/04/pengertian-plantext-dan-chipper-text.html?m=1

https://www.it-jurnal.com/pengertian-dan-sejarah-kriptografi/

http://ryokumoro.blogspot.com/2015/05/pengertian-dan-contoh-kriptografi.html

https://www.beritabebas.com/definisi/digital-certificate/

https://www.hestanto.web.id/tanda-tangan-digital/

https://www.jagoanhosting.com/pengertian-ssl/

https://sis.binus.ac.id/2019/06/04/pengertian-dan-fungsi-secure-socket-layer-ssl/

Makalah keamanan Web Tugasku

0 Response to "Makalah keamanan Web Tugasku"