Pengantar Teknologi WEB 12

KEAMANAN DAN KEAMANAN WEB

Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan.

Menurut Garfinkel dan Spafford, ahli dalam computer security, komputer dikatakan aman jika bisa diandalkan dan perangkat lunaknya bekerja sesuai dengan yang diharapkan. Keamanan komputer memiliki 5 tujuan, yaitu:

1. Availability
2. Confidentiality
3. Data Integrity
4. Control
5. Audit

Keamanan komputer memberikan persyaratan terhadap komputer yang berbeda dari kebanyakan persyaratan sistem karena sering kali berbentuk pembatasan terhadap apa yang tidak boleh dilakukan komputer. Ini membuat keamanan komputer menjadi lebih menantang karena sudah cukup sulit untuk membuat program komputer melakukan segala apa yang sudah dirancang untuk dilakukan dengan benar. Persyaratan negatif juga sukar untuk dipenuhi dan membutuhkan pengujian mendalam untuk verifikasinya, yang tidak praktis bagi kebanyakan program komputer. Keamanan komputer memberikan strategi teknis untuk mengubah persyaratan negatif menjadi aturan positif yang dapat ditegakkan.

Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi untuk keamanan komputer, serta membuat strategi pemrograman untuk menghasilkan program komputer yang dapat diandalkan.

Pembahasan tentang web programming belum lengkap apabila belum mempelajari tentang keamanan dalam aplikasi. Fasilitas yang melimpah, fungsi yang sangat banyak tidak akan berarti apabila aplikasi kita gagal dalam hal pengamanan data.
Pada bab ini, kita akan mempelajari bagaimana mengamankan komunikasi antara server dan client melalui SSL. Kita juga akan mempelajari tentang 10 celah keamanan pada aplikasi web dan mempelajari bagaimana cara menanggulanginya.

SSL

SSL telah menjadi standar de facto pada komunitas untuk mengamankan komunikasi antara client dan server. Kepanjangan dari SSL adalah Secure Socket Layer; SSL adalah sebuah layer protocol yang berada antara layer TCP/IP standar dengan protocol di atasnya yaitu application-level protocol seperti HTTP. SSL mengijinkan server untuk melakukan autentikasi dengan client dan selanjutnya mengenkripsi komunikasi.
Pembahasan tentang operasi SSL pada bab ini bertujuan agar kita mengetahui penggunaan teknologi ini untuk mengamankan komunikasi antara server dengan client.

Mengaktifkan SSL pada aplikasi.

Untuk mengetahui keuntungan SSL pada aplikasi, kita perlu melakukan konfigurasi server untuk menerima koneksi SSL. Pada servlet container yang berbeda akan berbeda pula cara untuk melakukannya. Disini kita akan belajar tentang melakukan konfigurasi Sun Application Server 8.1

Certificates

Salah satu bagian yang perlu kita konfigurasi untuk membangun komunikasi SSL pada server adalah sebuah security certificate. Bisa kita bayangkan sebuah certificate dalam hal ini seperti sebuah pasport : dimana memiliki informasi-informasi penting pemilik yang bisa diketahui oleh orang lain. Sertifikat tersebut biasanya disebarkan oleh Certification Authorities (CA). Sebuah CA mirip seperti passport office : dimana CA bertugas untuk melakukan validasi sertifikat pemilik dan menandai sertifikat agar tidak dapat dipalsukan.
Sampai saat ini sudah banyak Certification Authorities yang cukup terkenal, salah satunya adalah Verisign. Menentukan pemilihan CA adalah tanggung jawab atau wewenang dari seorang admin untuk memberikan sebuah sertifikat keamanan yang berlaku pada server.
Keamanan Web 1
J.E.N.I
Apabila pada suatu kasus ditemukan tidak adanya certificate dari CA, sebuah certificate temporer
(sementara) dapat dibuat menggunakan tools dari Java 1.4 SDK. Perlu Anda catat bahwa client
biasanya tidak melanjutkan transaksi yang memerlukan tingkat kemanan yang tinggi dan
menemukan bahwa certificate yang digunakan adalah certificate yang kita buat.
11.2.3 Membuat certificate private key
Untuk menyederhanakan permasalahan ini, akan lebih mudah bila dengan melakukan operasi
dimana certificate disimpan. Hal ini dapat ditemukan do direktori
%APP_SERVER_HOME%/domains/domain1/config.
Buka directory menggunakan command line. Selanjutanya panggil command berikut ini:
keytool -genkey -alias keyAlias
-keyalg RSA -keypass keypassword
-storepass storepassword
-keystore keystore.jks
• keyAlias – adalah alias atau ID dimana certificate ini akan menunjuk kepada siapa.
• keypassword – adalah password untuk private key yang digunakan dalam proses
enkripsi.
• storepassword – adalah password yang digunakan untuk keystore.
Dalam hal ini mungkin sedikit membingungkan dimana dibutuhkan dua password untuk membuat
sebuah certificate. Untuk mengatasinya, bisa kita ingat bahwa key yang dimasukkan disebut juga
keystore. Keystore dapat menyimpan satu atau beberapa key. Keypassword merupakan password
dari private key yang akan digunakan pada certificate, sedangkan storepassword merupakan
password dari key yang ada di dalam keystore. Pada direktori yang sedang kita operasikan sudah
memiliki sebuah keystore file dengan sebuah password, sehingga kita perlu menset nilai storepass
menjadi : changeit.
Password ini dapat diganti menggunakan keytool seperti ini:
keytool -keystore keystore.jks -storepass newPassword
11.2.4 Membuat cerificate
Setelah kita selesai membuat key yang akan digunakan oleh ceritificate sekarang kita dapat
membuat file certificate itu sendiri:
keytool -export -alias keyAlias
-storepass storepassword
-file certificateFileName
-keystore keystore.jks
Pada baris diatas dijelaskan bahwa keytool digunakan untuk membuat certificate file
menggunakan private key yang disebut juga keyAlias yang berada pada keystore.
Keamanan Web 2
J.E.N.I
11.2.5 Mengatur certificate
Agar aplikasi server dapat mengenali certificate yang sudah kita buat, kita perlu menambahkannya pada daftar dari trusted certificates. Server memiliki file bernama cacerts.jks yang di dalamnya terdapat certificates. Kita dapat menambahkan certificate kita dengan menggunakan keytool berikut ini:
keytool -import -v -trustcacerts -alias keyAlias -file certificateFileName -keystore cacerts.jks -keypass keypassword
11.2.6 Membuat secure HTTP listener
Setelah kita sudah berhasil membuat certificate dan meregisternya untuk aplikasi server, sekarang kita akan membuat sebuah HTTP listener yang dapat digunakan untuk membuat komunikasi yang aman.
SUMBER : Disini