Diary of an IT Guy #AnakBinus

Build Bridges, not Walls. Collaboration Forever!

Archive for the ‘security’ Category

Perbedaan antara authentication dan authorization

leave a comment »

Dalam rangka melindungi data sensitif dan operasional dari akses yang tidak diinginkan oleh penyusup atau pelaku jahat, pihak pengembang aplikasi mengintegrasikan fitur otentikasi (authentication) dan otorisasi (authorization) pada aplikasnya. Dua faktor fungsionalistas ini berfungsi untuk melindungi aplikasi dari insiden keamanan.

Terrminologi authentication dan authorization ini sering dianggap sama oleh kalangan awam, padahal pada dasarnya adalah berbeda. Berikut adalah perbedaannya:

Apa itu Aunthentication:

Authentication adalah proses validasi identitas dari user yang terdaftar untuk mengakses sebuah layanan atau aplikasi.

Secara tradisional, applikasi menyediakan fitur halaman login yang mana user bisa memasukkan user ID (username, email dan nomor telepon) serta passwordnya. Jika user ID dan password cocok dengan recod yang tersimpan di database aplikasi, maka user diperbolehkan untuk mengakses aplikasi tersebut. Jika user berhasil terotentikasi, mereka biasaya mengeluarkan session token. Sessions token menjaga autheticated user untuk terus kontinu mengakses aplikasi dari perangkat yang digunakan sampai mereka logout atau sessionnya expire.

Password menjadi semakin rumit untuk dikelola dan sulit untuk dilindungi dari waktu ke waktu. Password memiliki kelemahan yang berbeda yang dapat membuat proses otentikasi dari suatu aplikasi rentan terhadap serangan cyber, seperti pencurian password, serangan brute-force, serangan man-in-the-middle dan kebocoran data.

Untuk alasan ini, pengembang aplikasi kini bisa memperkuat password dengan otentikasi dua faktor atau multifaktor (2FA / MFA), yang mengharuskan pengguna untuk membuktikan kepemilikan token tambahan (perangkat seluler, dongle fisik, alamat email) saat masuk ke layanan aplikasi.

Apa itu otorisasi?

Otorisasi adalah proses memastikan pengguna yang terautentikasi memiliki hak yang diperlukan untuk mengakses sumber daya (resource) atau operasi tertentu dalam suatu aplikasi. Misalnya, jika seorang staff keuangan menjalankan aplikasi akuntansi, maka otorisasi akses ke laporan keuangan yang sensitif hanya bisa didapatkan oleh manager keuangan bukan pengguna di level staff.

Otorisasi biasanya diimplementasikan lewat beberapa aspek:

  • Privileges: Privilege / hak istimewa memberikan akses ke operasi tertentu. Misalnya, administrator memiliki hak istimewa untuk membuat atau menonaktifkan akun pengguna lain, sementara pengguna biasa hanya akan diberikan hak istimewa untuk mengubah kata sandi dan informasi profil mereka sendiri.
  • Access Control Lists (ACL): ACLs menentukan pengguna mana yang memiliki akses ke sumber daya tertentu. Misalnya, pengguna harus dimasukkan dalam ACL file atau folder tertentu agar dapat mengakses atau memodifikasinya

Untuk menetapkan hak istimewa dan ACL kepada banyak pengguna, aplikasi mungkin menerapkan “roles” dan “group,” dua fitur yang memungkinkan untuk mengkategorikan pengguna dan menetapkan hak istimewa dan kontrol akses kepada mereka berdasarkan tanggung jawab atau kedudukan organisasi mereka.

example of authorization an authentication

Contoh dari authentication & authorization

Written by isal

4 Desember 2019 at 23:24

Tips melindungi komputer dari serangan jahat

leave a comment »

Menurut pandangan saya dengan menerapkan system keamanan yang terkini belum cukup untuk melindungi network dan komputer dari serangan. Karena serangan masih tetap akan terbuka untuk terjadi jika tidak didukung kebiasaan/habbits dan security awareness. Beberapa contoh security habbits yang perlu ditumbuhkan untuk meminimalisir serangan dan risiko keamanan:

  1. Selalu berpikir dua kali jika mau membuka atachment email. Pastikan email berasal dari legitimate user. Jangan membuka email yang berisi file yang bersifat executable seperti file yang berakhiran *.exe, *.scr, *.js, *msi, dll.
  2. Berhati-hati mengklik link dari pengirim email yang tidak dikenal. Bisa jadi ketika diklik itu berisi link yang menuju situs yang mengandung trojan. Atau jika email itu berisi dari orang dikenal tapi isinya mencurigakan maka sebaiknya mengkonfirmasi langsung kepada yang bersangkutan apakah benar mengirim email tersebut.
  3. Lindungi password kita. Salah satunya tidak menempelkan password di kertas pada sembarang tempat. Juga buatklah passsword yang kuat minimal 8 karakter dan berisi huruf kapital, angka dan karakter unik. Lakukanlah pergantian password minimal 2 bulan sekali. Hal ini akan membantu kita melindungi diri dari insiden keamanan
  4. Lindungi perangkat yang kita pakai seperti laptop dengan selalu menguncinya (lock) jika kita meninggalkan meja kerja. Hal ini juga berlaku untuk perangkat mobile.
  5. Setiap kali menjelajah internet, usahakan menggunakan browser yang terupdate. Selain itu pula aktifkan fitur Tracking Protection agar browser bisa memblock beberapa cookie yang bisa membahayakan privasi kita. Bersihkan cache dan cookie ketika browser ditutup.
  6. Selalu melakukan backup rutin pada file-file penting. Kita tidak tahu kapan serangan itu terjadi. Oleh karenanya backup adalah kebiasaan yang cukup penting.
  7. Hapus setiap informasi sensitif setiap kita sudah menggunakannya. Misal mengikuti policy yang mana setiap HDD bekas baik itu rusak maupun tidak wajib untuk dihancurkan.

Written by isal

4 Desember 2019 at 22:57

Apa itu Cookie dan Mengapa Bisa Berbahaya

leave a comment »

Cookie adalah data berukuran kecil yang digenerate oleh situs yang kita kunjungi kemudian diterima dan diproses oleh browser yang kita gunakan. Cookie biasanya berupa file teks yang disimpan pada komputer kita yang berlokasi di folder-subfolder aplikasi browser digunakan (Chrome, Firefox, Opera atau IE).

Ketika kita mengunjungi suatu situs web, data cookie yang diproses oleh browser akan disimpan di komputer kita sehingga pihak situs web bisa mengakses jejak informasi si pengunjung situs. Cookie bukanlah file yang berisi kode yang bisa dieksekusi. Jadi dia tidak bisa “hidup sendiri” karena hanya digunakan oleh website dari mana dia berasal.

Cookie umumnya banyak digunakan untuk keperluan sebagai berikut:

  1. Session management
    Proses login, shooping cart, game/poll/quiz score dan keperluan lainnya yang mana server harus selalu mengingat kedinamisan suatu halaman web yang user kunjungi.
  2. Personalisasi

Preferensi user, themes, lokalisasi bahasa, lokasi (negara), jenis operating sistem dan lain sebagainya

  1. Tracking

Merekam dan menganalisasi prilaku pengguna.

Ketika kita melakukan transaksi di suatu situs eCommerce maka sangat dimungkinkan cookie dapat menyimpan berbagai jenis informasi, termasuk di antaranya informasi username login dan password juga informasi pribadi seperti nama, alamat rumah, alamat email, atau nomor telepon. Akan tetapi informasi ini hanya akan disimpan jika kita pernah memberikan informasi ini kepada situs tersebut. Situs web tidak dapat mengakses informasi yang tidak pernah kita berikan kepada situs web tersebut.

Secara bawaan (default), aktivitas menyimpan dan mengirim cookie tidak pernah terlihat oleh pengguna. Akan tetapi, kita dapat mengubah pengaturan browser sehingga kita dapat mengizinkan atau menolak permintaan penyimpanan cookie, menghapus cookie yang tersimpan saat browser ditutup, dan lain sebagainya.

Meskipun cookie hanyalah file kecil yang tidak berbahaya yang membantu kemudahan dalam proses browsing di suatu situs, tapi ini tidak bebas dari kontroversi. Cookie dapat digunakan untuk melacak riwayat penjelajahan situs web yang pernah kita lakukan. Jika kita merasa ini mempengaruhi privasi kita, maka kita dapat mengubah pengaturan browser kita untuk membatasi penggunaan cookie di komputer. Hal ini untuk mengurangi kemampuannya dalam menyimpan catatan riwayat penjelajahan internet kita.

Berikut adalah contoh kiriman cookie jikalau kita mengunjungi situs www.liputan6.com via browser chrome. Tekan F12 kemudian masuk ke Application -> Cookies, maka akan terlihat beberapa cookie bukan hanya dari liputan6.com saja namun tracking cookie dari situs lainnya.

Koleksi cookies pada situs liputan6.com

Baca entri selengkapnya »

Written by isal

4 Desember 2019 at 22:14

%d blogger menyukai ini: