Find Us On Facebook

BREAKING

22 April 2014

Protocol HTTP Secure

Protokol transfer hiperteks adalah versi aman dari HTTP, protokol komunikasi dari World Wide Web. Ditemukan oleh Netscape Communications Corporation untuk menyediakan autentikasi dan komunikasi tersandi dan penggunaan dalam komersi elektris.

Selain menggunakan komunikasi plain text, HTTPS menyandikan data sesi menggunakan protokol SSL (Secure Socket layer) atau protokol TLS (Transport Layer Security). Kedua protokol tersebut memberikan perlindungan yang memadai dari serangan eavesdroppers, dan man in the middle attacks. Pada umumnya port HTTPS adalah 443.

Tingkat keamanan tergantung pada ketepatan dalam mengimplementasikan pada browser web dan perangkat lunak server dan didukung oleh algorithma

Oleh karena itu, pada halaman web digunakan HTTPS, dan URL yang digunakan dimulai dengan ‘https://’ bukan dengan ‘http://’

Kesalahpahaman yang sering terjadi pada pengguna kartu kredit di web ialah dengan menganggap HTTPS “sepenuhnya” melindungi transaksi mereka. Sedangkan pada kenyataannya, HTTPS hanya melakukan enkripsi informasi dari kartu mereka antara browser mereka dengan web server yang menerima informasi. Pada web server, informasi kartu mereka secara tipikal tersimpan di database server (kadang-kadang tidak langsung dikirimkan ke menjadi sasaran penyerangan oleh pihak-pihak yang tidak berkepentingan.

HTTPS menjamin tiga keamanan berikut:

  • Autentikasi server memungkinkan peramban dan pengguna memiliki kepercayaan bahwa mereka sedang berbicara kepada server aplikasi sesungguhnya.


  • Kerahasiaan data berarti eavesdropper tidak dapat mengerti komunikasi antara peramban pengguna dan server web, karena data tersandi.


  • Integritas data berarti penyerang jaringan tidak dapat merusak atau mengubah isi komunikasi antara peramban pengguna dengan server web,

Heartbleed Ancaman Serius Internet

Beberapa hari terakhir ini kita digemparkan dengan merebaknya kabar seputar bug di OpenSSL yang dinamakan Heartbleed. Bug ini begitu ganas dan berbahaya hingga setiap pengguna maupun pengelola website sebaiknya tidak mengabaikannya begitu saja. Bahkan banyak orang menyebut Heartbleed sebagai ancaman keamanan online terbesar yang pernah ada. Tetapi apa itu Heartbleed? Bagaimana cara mengatasinya? Dan apa saja kabar sesat mengenainya?


APA ITU HEARTBLEED?

Perlu diketahui bahwa Heartbleed bukanlah virus. Heartbleed adalah celah keamanan di salah satu ekstensi OpenSSL yang disebut Heartbeat. Celah keamanan ini memungkinkan attacker untuk membaca memory dari server yang diproteksi oleh OpenSSL. Hasilnya mereka bisa mencuri password, username, dan informasi sensitif lainnya.


KAPAN HEARTBLEED PERTAMA KALI MUNCUL?

Karena Heartbleed merupakan bug di ekstensi Heartbeat, maka bug ini muncul ketika Heartbeat diimplementasikan di OpenSSL. Ekstensi Heartbeat dibuat oleh Dr. Robin Seggelmann pada tahun 2011. Ekstensi ini kemudian direview oleh Dr. Stephen N. Henson (salah satu dari empat core developer OpenSSL) yang ternyata gagal menyadari adanya bug di ekstensi tersebut. Heartbeat pun akhirnya dijadikan sebagai ekstensi OpenSSL yang aktif secara default dan mulai diadopsi oleh banyak pengelola website sejak dirilisnya OpenSSL versi 1.0.1 pada 14 Maret 2012.


SEBERAPA LUAS PENYEBARAN HEARTBLEED

Setidaknya 2/3 website di dunia menggunakan proteksi OpenSSL, sehingga sebanyak itu pula penyebarannya. Website besar seperti Google, Gmail, Facebook, Dropbox, Yahoo, Flickr, Instagram, Pinterest, dan berbagai website populer lainnya juga tidak terhindarkan dari Heartbleed ini.


Beruntung sudah mulai banyak pengelola website yang mengupdate OpenSSL di server mereka sehingga tidak perlu khawatir dengan Heartbleed lagi.


CARA MENGETAHUI WEBSITE YANG TERKENA HEARTBLEED
Dari sisi pengguna

Kamu bisa melakukan pengecekan dengan menggunakan Heartbleed Test dari Filippo ataupun dari McAfee. Masukkan saja URL website yang ingin kamu cek. Jika hasilnya vulnerable maka website tersebut masih belum kebal terhadap Heartbleed. Kamu juga bisa menggunakan addon browser untuk semakin memudahkan melihat apakah website yang kamu kunjungi sudah kebal terhadap Heartbleed atau belum.

Dari sisi pengelola website

Silahkan cek versi OpenSSL di server yang kamu gunakan. Jika versi OpenSSL di server kamu adalah 1.0.1 hingga 1.0.1f, maka server kamu belum kebal terhadap Heartbleed.

CARA MENGATASI HEARTBLEED
Bagi pengguna

Beberapa orang menyarankan kamu untuk segera mengganti password setelah Heartbleed ditemukan. Hal ini salah dan kurang tepat! Jangan buru-buru mengganti password sebelum website tersebut kebal terhadap Heartbleed. Jika situs yang kamu gunakan belum kebal terhadap Heartbleed, tunggu dulu hingga si pengelola website melakukan patch terhadap OpenSSL di servernya. Setelah situs tersebut kebal terhadap Heartbleed, barulah ganti password kamu.

Mengganti password saat situs tersebut belum kebal terhadap Heartbleed cukup berbahaya. Si attacker masih bisa mencuri lagi detail password baru yang kamu masukkan. Mereka baru tidak bisa mengambil detail password baru kamu jika OpenSSL di server situs tersebut sudah di patch oleh pengelolanya.

Solusi lainnya adalah dengan menggunakan satu password untuk satu situs. Dengan begitu jika kamu tanpa sengaja menggunakan layanan website yang belum kebal terhadap Heartbleed, dan si attacker berhasil mengambil detail akun kamu, maka dia tidak bisa membobol akun kamu di layanan-layanan lainnya. Tentu saja untuk memudahkan kamu dalam mengingat password, kamu bisa menggunakan Password Manager seperti KeePass maupun LastPass.

Untuk semakin mengamankan akun kamu, pastikan kamu mengaktifkan Two-Factor Authentication jika memang fitur tersebut tersedia. Saat ini berbagai situs besar dan populer sudah menerapkan teknologi ini. Dengan begini attacker tidak akan bisa bebas keluar masuk ke akun kamu meskipun dia sudah mengantongi username dan passwordnya.

Bagi Pengelola Situs

Jika server kamu masih menggunakan OpenSSL 1.0.1 hingga 1.0.1f, segera update OpenSSL tersebut ke versi 1.01g. Cara mengupdatenya bervariasi tergantung dari OS apa yang kamu gunakan di server kamu. Jangan lupa juga ingatkan user untuk mengganti password mereka. Kamu juga bisa “sedikit memaksa” dengan melakukan reset password semua user. Ini semua demi keamanan pengguna layanan di situs kamu.

BEBERAPA MITOS YANG SALAH SEPUTAR HEARTBLEED
  • Heartbleed itu virus: Salah. Heartbleed bukanlah virus. Dia adalah bug di ekstensi Heartbeat OpenSSL versi 1.0.1 sampai 1.0.1f
  • Segera update antivirus biar kebal Heartbleed: Salah. Update antivirus tidak akan berpengaruh terhadap kebal atau tidaknya PC terhadap Heartbleed. Sekali lagi Heartbleed bukanlah virus dan dia tidak menyebar atau menginfeksi PC kita.
  • Jika situs yang kamu gunakan belum kebal terhadap Heartbleed, segera ganti password kamu: Salah. Ganti password kamu setelah situs tersebut di patch dan kebal terhadap Heartbleed. Mengganti password sebelum situs tersebut kebal terhadap Heartbleed sama artinya dengan memberikan kesempatan kepada sang attacker untuk mencuri detail password baru kamu.
Itulah penjelasan seputar Heartbleed, cara mengatasinya, dan beberapa kabar sesat mengenainya. Sekali lagi jangan takut komputer kamu terinfeksi Heartbleed karena Heartbleed bukanlah virus.  (http://winpoin.com/)
Langganan: Postingan (Atom)
 
Copyright © 2013 Blog Komputer Internet dan Motivasi
Design by FBTemplates | BTT