Diary of an IT Guy #AnakBinus

Build Bridges, not Walls. Collaboration Forever!

Apa itu Cookie dan Mengapa Bisa Berbahaya

leave a comment »

Cookie adalah data berukuran kecil yang digenerate oleh situs yang kita kunjungi kemudian diterima dan diproses oleh browser yang kita gunakan. Cookie biasanya berupa file teks yang disimpan pada komputer kita yang berlokasi di folder-subfolder aplikasi browser digunakan (Chrome, Firefox, Opera atau IE).

Ketika kita mengunjungi suatu situs web, data cookie yang diproses oleh browser akan disimpan di komputer kita sehingga pihak situs web bisa mengakses jejak informasi si pengunjung situs. Cookie bukanlah file yang berisi kode yang bisa dieksekusi. Jadi dia tidak bisa “hidup sendiri” karena hanya digunakan oleh website dari mana dia berasal.

Cookie umumnya banyak digunakan untuk keperluan sebagai berikut:

  1. Session management
    Proses login, shooping cart, game/poll/quiz score dan keperluan lainnya yang mana server harus selalu mengingat kedinamisan suatu halaman web yang user kunjungi.
  2. Personalisasi

Preferensi user, themes, lokalisasi bahasa, lokasi (negara), jenis operating sistem dan lain sebagainya

  1. Tracking

Merekam dan menganalisasi prilaku pengguna.

Ketika kita melakukan transaksi di suatu situs eCommerce maka sangat dimungkinkan cookie dapat menyimpan berbagai jenis informasi, termasuk di antaranya informasi username login dan password juga informasi pribadi seperti nama, alamat rumah, alamat email, atau nomor telepon. Akan tetapi informasi ini hanya akan disimpan jika kita pernah memberikan informasi ini kepada situs tersebut. Situs web tidak dapat mengakses informasi yang tidak pernah kita berikan kepada situs web tersebut.

Secara bawaan (default), aktivitas menyimpan dan mengirim cookie tidak pernah terlihat oleh pengguna. Akan tetapi, kita dapat mengubah pengaturan browser sehingga kita dapat mengizinkan atau menolak permintaan penyimpanan cookie, menghapus cookie yang tersimpan saat browser ditutup, dan lain sebagainya.

Meskipun cookie hanyalah file kecil yang tidak berbahaya yang membantu kemudahan dalam proses browsing di suatu situs, tapi ini tidak bebas dari kontroversi. Cookie dapat digunakan untuk melacak riwayat penjelajahan situs web yang pernah kita lakukan. Jika kita merasa ini mempengaruhi privasi kita, maka kita dapat mengubah pengaturan browser kita untuk membatasi penggunaan cookie di komputer. Hal ini untuk mengurangi kemampuannya dalam menyimpan catatan riwayat penjelajahan internet kita.

Berikut adalah contoh kiriman cookie jikalau kita mengunjungi situs www.liputan6.com via browser chrome. Tekan F12 kemudian masuk ke Application -> Cookies, maka akan terlihat beberapa cookie bukan hanya dari liputan6.com saja namun tracking cookie dari situs lainnya.

Koleksi cookies pada situs liputan6.com

Potensi Risiko untuk Konsumen Menggunakan Cookie.

Meskipun cookie memberikan berbagai manfaat bagi pengguna Web, cookie juga menghasilkan beberapa risiko yang cukup berbahaya sebagai berikut:

  1. Issue terhadap privasi

Situs web dapat menggunakan cookie untuk mengumpulkan dan menjual informasi pribadi pengguna kepada pihak ketiga. Menggunakan cookie adalah salah satu cara sebuah situs dapat mengumpulkan banyak informasi tentang seorang pengguna ke dalam bentuk profil yang kaya akan informasi. Misal sebuah situs eCommerce bisa menggunakan cookie untuk merekam prilaku pengguna misal item yang difavoritkan pengguna bisa secara dinamis dihubungkan dengan item dari vendor lain yang sejenis Selain itu juga prilaku pengguna terkait jeda waktu kunjungan sampai waktu eksekusi pembelian bisa ditrace melalui cookie. Selain itu pula penyedia jaringan periklanan seperti DoubleClick dapat menempatkan beberapa cookie di komputer pengguna lewat beberapa situs yang menempekan iklannya, memungkinkannya untuk melacak gerakan pengguna di beberapa situs Web. Data-data ini bisa saja dapat dikumpukan dan dianalisis dengan mudah untuk kemudian dijual kepada pihak ketiga untuk kepentingan komersil.

  1. Issue terkait dengan keamanan data berupa pencurian cookie dan session hijacking

Informasi rahasia atau sensitif sebenarnya tidak boleh disimpan atau dikirim dalam Cookie, karena seluruh mekanismenya tidak aman secara inheren. Sebagian besar situs web menggunakan cookie sebagai satu-satunya pengidentifikasi untuk sesi pengguna, karena metode lain untuk mengidentifikasi pengguna web memiliki keterbatasan dan kerentanan.

Jika sebuah situs web menggunakan cookie sebagai pengenal sesi, penyerang dapat meniru permintaan pengguna dengan mencuri serangkaian cookie korban. Dari sudut pandang web server, permintaan dari penyerang kemudian memiliki otentikasi yang sama dengan permintaan korban; sehingga permintaan dilakukan atas nama sesi korban.

Berikut ini tercantum berbagai skenario pencurian cookie dan pembajakan sesi pengguna yang bekerja pada situs web yang hanya mengandalkan cookie HTTP untuk identifikasi pengguna.

  1. Network eavesdropping (Pengupingan jaringan)

Penyerang dapat membaca komunikasi pengguna lain di jaringan wifi yang terbuka dan tidak terenkripsi, termasuk cookie HTTP serta seluruh konten percakapan, untuk tujuan serangan man-in-the-middle.

Seorang penyerang dapat menggunakan cookie yang disadap untuk meniru seorang pengguna dan melakukan tugas jahat, seperti mentransfer uang dari rekening bank korban.

Masalah ini dapat diatasi dengan mengamankan komunikasi antara komputer pengguna dan server dengan menggunakan Transport Layer Security (Protokol TLS) untuk mengenkripsi koneksi. Server dapat menentukan flag aman saat mengatur cookie, yang akan menyebabkan browser mengirim cookie hanya melalui saluran terenkripsi, seperti koneksi SSL

  1. DNS Poisoning

Jika penyerang sanggup meracuni DNS server dengan memasukkan cache DNS record yang palsu (DNS Poisoning), maka ini dapat memungkinkan penyerang untuk mendapatkan akses ke cookie pengguna. Misalnya, penyerang berhasil meracuni cache DNS dengan membuat entri DNS palsu misal fake.www.mandiri.co.id yang dibuat yang mengarah ke alamat IP server penyerang. Penyerang kemudian dapat memposting URL gambar dari servernya sendiri (misalnya, http://fake.www.mandiri.co.id/img_cookie.jpg). Korban yang membaca pesan penyerang akan mengunduh gambar ini dari http://fake.mandiri.co.id/img_cookie.jpg. Karena fake.www.mandiri.co.id adalah sub-domain dari http://www.mandiri.co.id, maka browser korban akan mengirimkan semua cookie yang terkait dengan mandiri.co.id ke server penyerang.

Jika penyerang mampu mencapai hal ini adalah biasanya diakibatkan kesalahan dari penyedia ISP karena tidak benar mengamankan server DNS mereka. Namun, tingkat keparahan serangan ini dapat dikurangi jika situs web target menggunakan secure cookie. Dalam hal ini, penyerang akan memiliki tantangan tambahan untuk memperoleh sertifikat SSL situs web target dari otoritas sertifikat, karena secure cookie hanya dapat ditransmisikan melalui koneksi terenkripsi. Tanpa sertifikat SSL yang cocok, browser korban akan menampilkan pesan peringatan tentang sertifikat tidak sah penyerang, yang akan membantu mencegah pengguna yang sah mengunjungi situs web penyerang.

  1. Cross-site scripting: pencurian cookie

Cookie juga dapat dicuri menggunakan teknik yang disebut scripting lintas situs (Cross-site scripting). Ini terjadi ketika penyerang mengambil keuntungan dari kerentanan dari situs web yang memungkinkan penggunanya untuk mengirim konten HTML dan JavaScript tanpa filter. Dengan memposting kode HTML dan JavaScript yang berbahaya, penyerang dapat menyebabkan browser web korban untuk mengirim cookie nya ke situs web yang dikontrol oleh penyerang.

Ini adalah tanggung jawab pengembang situs web untuk menyaring kode berbahaya tersebut.

Serangan semacam itu dapat dikurangi dengan menggunakan cookie HttpOnly. Cookie ini tidak akan dapat diakses oleh bahasa skrip sisi klien seperti JavaScript, dan oleh karena itu, penyerang tidak akan dapat mengumpulkan cookie ini.

Saran Terkait Cookie Untuk End User Untuk Mengurangi Resiko Keamanan

Kontroversi terkait cookie yang dianggap mengancam privasi ini memang telah membuat pihak regulator khususnya di Uni Eropa mengeluarkan undang-undang yang mewajibkan setiap pemilik situs web untuk memberikan informasi kepada pengunjung situs di Uni Eropa tentang cookie yang digunakan. Dalam hal ini, setiap situs wajib menampilkan informasi persetujuan kepada user apakah setuju jika situs webnya mengirimkan cookie ketika pengunjung berselacar di situs webnya. Jika ya maka tinggal klik OK.

Contoh notifikasi penggunaan cookie pada situs yang digunakan BBC

Adapun beberapa saran untuk end user agar kita terhindar dari penyalahgunaan cookie ini adalah sebagai berikut:

  • Jika kita menggunakan komputer di tempat public, maka sebaiknya ketika browsing dilakukan dalam mode secure atau incognito. Hal ini dimaksudkan agar supaya komputer tersebut tidak meninggalkan jejak rekam penjelajahan kita di Internet
  • Ketika kita berselancar di situs yang sudah HTTPS/SSL enable seperti situs gmail.com atau microsoft.com dan kemudian muncul notifikasi seperti di bawah ini, maka disarankan agar tidak meneruskan aktivitas browsing kita. Karena bisa jadi aktivitas browsing kita sedang di-sniff oleh pengguna lain di jaringan tersebut. Ini bisa menimbulkan kerentanan berupa pencurian cookie sebagaimana yang dijelaskan di atas. Umumnya kejadian ini banyak terjadi pada wifi umum yang terbuka atau juga di internet café/warnet.

Contoh notifikasi SSL tidak valid pada suatu situs

  • Usahakan mempunyai security habbits diantaranya berhati-hati tidak mengunjungi situs-situs yang illegal seperti pornograpy, situs warez/software bajakan serta situs-situs yang banyak mengadung iklan pop up. Umumnya situs-situs ini banyak mengirimkan cookie jahat untuk keperluan spyware dan bot iklan.
  • Lakukan setting pada browser yang kita gunakan agar ketika browser ditutup, maka ia secara otomatis membersihkan cache, cookie dan history penjelajahan internet kita. Hal ini untuk meminimalisir cookie yang bersifat tracking. Di Mozilla terbaru ada fitur tracking protection untuk memblok beberapa cookie yang bersifat tracking sehingga privasi kita bisa terjaga.

Written by isal

4 Desember 2019 pada 22:14

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogger menyukai ini: