Kelompok 3
Puput Supriadi
Arion Samosir
Mira depi putri
Reza susantra
Lidia Oktaviani
Budiyono
Yustina Situmeang
Bab 8 PERANCANGAN SITUS WEB UNTUK
PERDAGANGAN ELEKTRONIK
Kita
akan membicarakan bagaimana langkah-langkah perencanaan dan perancangan yang
sebaiknya dilakukan untuk membuat suatu
situs web yang aman. Tentu saja kita tidak bisa mengatakan bahwa jika mengikuti
semua langkah, kita akan mendapatkan situs-situs yang tidak mungkin ditembus.
Bagaimanapun juga Hacker sejati suatu saat akan menemukan jalan untuk menembus
sistem kita. Namun minimal kita membuat hal itu tidak dapat dilakukan dengan
mudah.
Membuat
suatu situs yang aman lebih daripada sekedar merencanakan dan
mengimplementasikan arsitektur jaringan yang aman. Melindungi situs kita dari
serangan bebrbasis web harus dimulai sejak awal. Mulai dengan perencanaan dan
perancangan situs itu sendiri. Pemilihan serta instalasi pemilihan perangkat
lunak server web yang sesuai harus diikuti dengan teknik-teknik konfigurasi web
yang diaplikasikan untuk setiap situs yang kita rancang. Modifikasi dan
pembaharuan perangkat lunak memiliki imbas pada langkah-langkah pengamanan
situs-situs sehingga juga perlu dipertimbangkan dengan seksama.
Langkah
pertama yang harus kita lakukan dalam merancang situs adalah memilih perangkat
lunak server web yang paling sesuai
dengan kebutuhan organisasi/perusahaan kita. Hal ini menuntut kita meninjau
sepintas beberapa jenis perangkat lunak server web yang ada. Dua server yang
paling populer didunia saat ini adalah Apache Web Server serta ISS ( Internet
Information Server , selain Netcape Enterprise Server yang sering digunakan
pada perusahaan/organisasi yang berskala sangat besar).
Setelah
menginstal server Web yang sesuai selanjutnya
kita harus menggunakan skrip-skrip serta applet-applet yang aman dalam dokumen-
dokumen HTML sehingga situs web kita lebih menarik, atraktif serta interaktif.
Hal yang terakhir ini menuntut kita untuk meninjau prosedur yang aman serta
melakukan analisa applet-applet serta
skrip-skrip yang diprogramkan sehingga kelak tidak mengganggu keamanan situs
web yang sedang dikembangkan. Setelah semuanya itu kita juga harus
memperhatikan keamanan sistem basisi data yang digunakan karena banyak serangan
oleh para hacker dilakukan langsung ke sumber informasi yang sangat penting
ini.
1.1
MEMILIH PERANGKAT LUNAK SERVER WEB
Langkah pertama yang harus dilakukan untuk memilih
situs web yang abik dan aman adalah memilih perangkat lunak server web yang
sesuai. Jenis perangkat lunak server web yang akan kita pilih sangat bergantung
pada biaya, sensitivitas data, platform perangkat keras dan lunak yang
digunakan, siapa yang akan mengakses dan pilihan keamanan yang diinginkan.
Memilih perangkat lunak server web yang sesuai untuk
organisasi/perusahaan kita merupakan faktor yang subyektif. Melakukan perbandingan
dengan apa yang terinstal dengan perusahaan lain yang hampir sama cukup
membantu namun pemilihan server web yang sesuai merupakan pilihan yang mandiri
dan bersifat sangat individual.
Dalam pemilihan server web, kita harus mengindentifikasi
data-data apa yang akan diakses melalui server web serta seberapa peka data
yang akan diakses itu. Contohnya, kita mau semua pengunjung kita dapat
mengakses halaman web default Serta
mengakses daftar harga barang-barang yang ditawarkan, namun tidak mengizinkan
mereka secara langsung mengakses basis data pengguna serta nomor-nomor kartu
kredit mereka. Atau, kita mungkin mengizinkan semua pengguna mengakses ini pada
server web itu sendiri, tetapi tidak menginginkan mereka mengakses
berkas-berkas yang berada dalam jaringan internal perusahaan. Dengan mengindentifikasi
spesifikasi-spesifikasi kebutuhan keamanan, kemudian kita dapat mengambil
keputusan dalam memilih server yang baik .
8.1
Server Web Versus Layanan Web
Web server merupakan software yang
memberikan layanan data yang berfungsi menerima permintaan HTTP atau HTTPS dari
klien yang dikenal dengan browser web dan mengirimkan kembali hasilnya dalam
bentuk halaman - halaman web yang umumnya berbentuk dokumen HTM
Beberapa organisasi/peurusahaan mungkin ingin hadir dalam
bentuk Web, namun ada juga organisasi tersebut yang merasa tidak perlu untuk melindungi data-data
sensitive mereka. Hal ini dimungkinkan tidak adanya area yang bersifat sangat
pribadi dan yang perlu di amankan, dan tidak adanya penjualan atau
transaksi-transaksi bisnis yang dapat di lakukan melalui situs-situs mereka. Di
contohkan suatu hotel yang menggunakan situs Web, yang hanya mengiklankan keberadaannya. \
Akan tetapi apabila hotel
tersebut melakukan proses-proses
pemasaran lewat web, maka di perlukan tingkat keamana yang tinggi agar tidak di
bobol oleh hacker , seperti menyusupkan iklan , merusak halaman berkas, ataupun
memasukakan gambar-gambar.
Untuk mengantisipasi hal
tersebut maka di sarankan untuk memberikan tambahan ruang di server milik ISP ( Internet Sevice Provider) yang ke gunaannya untuk
menyimpan salinan berkas-berkas HTML. Karena server web terpisah dari jaringan
bisnis.
Biaya pemilikan server web
akan jauh lebih besar dari pada menyewa ruang tertentu di server milik ISP
(Internet Sevice Provider).
Namun menyewa ruang di ISP
akan kehilangan beberapa keuntungan
antaralain mengenai Fitur fitur keamanan, layanan-layanan yang bersifat
khusus, perangkat lunak yang terinstal akan sangat bergantung dan di tentukan
oleh pihak-pihak lain.
8.3
Pemilihan Server Web Berdasarkan Biaya dan Sistem Operasinya
Pemilihan sistem operasi yang baik harus memiliki
fitur-fitur keamanan yang memadai,selain
itu memilih sistem operasi yang familiar akan mengurangi biaya-biaya pelatihan
bagi staf IT.Biaya merupakan pertimbangan utama saat mempersiapkan anggaran
proyek.
Berikut ini
adalah tabel perbandingan berbagai perangkat lunak server web,biaya
perolehan dan plat form yang didukung:
8.4 Membandingkan Fitur-fitur
Keamanan yang Dimiliki Server Web
Meski firewall, aplikasi
Anti virus, serta sistem operasi, merupakan hal-hal yang sangat penting
saat kita melakukan perancangan situs web yang aman, hal ini tidak mengurangi
peran server web itu sendiri. server web adalah landasan
bagi situs situs perdagangan elektronik (e-commerce) dimana aplikasi aplikasi
web kelak akan berkerja dan di mana isi dari situs web dapat dilihat melalui
jaringan internet. Ini berarti kita perlu menemukan server web yang aman,
sesuai dengan kebutuhan organisasi perusahaan.
Setelah kita
berhasil mengidentifikasikan kebutuhan keamanan untuk situs organisasi
perusahaan kita, dana yang tersedia , dan platform perangkat keras dan
perangkat lunak yang akan digunakan, maka langkah selanjutnya adalah
membandingkan fitur-fitur yang dimiliki berbagai server web yang berbeda. Dalam
membandingkan beberapa server web, kita harus memberi perhatian lebih pada
otentikasi, terutama pengunaan otetikasi melalui protocol SET (Secure
Electronic Transaction), pengaturan-pengaturan hak dan izin, serta
aplikasi-aplikasi CGI (Common Gateway Interface) yang akan digunakan.
8.5
Otentikasi
8.5.1 Kata sandi
Otentikasi
diperlukan pada halaman Web yang dibatasi untuk para pengguna tertentu.
Otentikasi adalah verifikasi apakah seseorang itu adalah orang yang berhak.
Biasanya melibatkan username dan password, tapi dapat menyertakan metode lain
yang menunjukan identitas, seperti kartu pintar, sidik jari, dll.
Contoh beberapa metode yang tersedia untuk melakukan
otentikasi meliputi:
-
Kata sandi (Password)
-
SSL (Secure socket layer)
-
Jendela pertanyaan
-
Tanda tangan digital (digital signature) serta
sertifikat digital (digital certificates)
-
Kartu pintar (smart card)
-
Metode biometrika (biometrics)
-
Cookies
-
Kata sandi
Adalah bentuk otentikasi yang paling sederhana dan paling
umum digunakan dalan kontek jaringan computer.
Penggunaan username dan password merupakan metode otentikasi
yang paling umum digunakan. Secara teknis, password atau kata sandi merupakan
kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sistem
operasi yang mendukung banyak pengguna untuk memverifikasi identitas dirinya
kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut. Sistem
keamanan akan membadingkan kode-kode yang dimasukkan (baik username dan
password) oleh pengguna dengan daftar atau database yang disimpan oleh sistem
keamanan sistem atau jaringan tersebut dengan metode otentikasi tertentu
seperti kriptografi atau hash. Jika kode cocok, pengguna akan diizinkan untuk
mengakses layanan.
Jenis otentikasi yang berbeda,yang bertindak seperti kata
sandi dan jenis otentikasi mana yang digunakan bergantung pada server web serta
sistem operasi yan digunakan yaitu:
-
Anonymous
Memungkinkan para pengguna bertindak seperti tamu (guest)
dan mengizinkanya mangakses bagian tertentu dari sistem tanpa harus memasukkan
nama pengguna dan kata sandi terlebih dahulu.
-
Teks tidak terenkripsi
Adalah metode yan
tingkatannya lebih aman dari anonymous.
-
SSL (secure socket layer)
Adalah protocol utama yan gsring digunakan untuk menyandikan
data-data yang dikirimkan melalui jaringan internet.
-
Jendela pertanyaan/tanggapan
Adalah metode keamanan yang ada
pada windows NT dan windows 2000 dimana pada kedua sistem operasi ini ada IIS
(internet information server) versi 4.0 dan 5.0,dimana keduanya bermanfaat
dengan teknologi yang digunakan untuk memeriksa kesesuaian antara apa yang
pengguna masukkan pada jendela pertanyaan dengan apa yang ada pada basis data
pengguna yang ada di server.
-
Tanda Tangan Digital (Digital
Signature)
Penggunaan
digital signature berawal dari penggunaan teknik kriptografi yang digunakan
untuk mengamankan informasi yang hendak ditransmisikan/disampaikan kepada orang
yang lain yang sudah digunakan sejak ratusan tahun yang lalu. Dengan demikian
sebenarnya tanda tangan digital merupakan sesuatu yang telah dikenal, sedangkan
sekarang ini tanda tangan digital lebih mengacu pada teknik penyandiaanya yang
cenderung lebih variatif.
-
Sertifikat digital
Adalah suatu bentuk otentikasi
dimana keaslian dokumen,berkas,serta pesan,diperiksa oleh pihak yang kompeten
sehingga penerima dapat merasa yakin apa yang diu terimanya.
-
Kartu pintar
Merupaka salah satu variasi dari
sertifikat digital dimana pada metode ini sertifikat disimpan
Sebagai pola magnet pada kartu
plastic yang memiliki chip di dalamnya.
Metode biometrika
Biometrik merupakan studi tentang
metode otomatis untuk mengenali atau megindentifikasi manusia berdasarkan
satu atau lebih bagian tubuh manusia atau kelakukan dari manusia itu sendiri.
Dalam dunia teknologi informasi, biometrik relevan dengan teknologi yang
menganalisa fisik manusia yaitu dengan pengenalan sidik jari, retina, iris
mata, pola dari wajah (facial patterns ), tanda tangan dan cara mengetik
(typing patterns) serta suara.
8.5 Otentikasi
8.5.4 COKIES
Cookie, juga dikenal sebagai cookie HTTP, cookie web, atau browser cookie, biasanya sepotong kecil data yang dikirim dari sebuah situs web dan disimpan di web browser pengguna sementara pengguna adalah browsing website. Ketika pengguna menelusuri situs yang sama di masa depan, data yang disimpan dalam
cookie dapat diambil oleh situs web untuk memberitahu website aktivitas sebelumnya pengguna.
[1] Cookie dirancang untuk menjadi sebuah mekanisme yang dapat diandalkan untuk situs web untuk mengingat negara dari situs web atau aktivitas pengguna telah diambil di masa lalu. Hal ini dapat mencakup mengklik tombol tertentu, log in, atau catatan dari halaman mana yang dikunjungi oleh pengguna bahkan bulan atau tahun yang lalu.
Meskipun cookie tidak dapat membawa virus, dan tidak dapat menginstal malware pada komputer host,
Meskipun cookie tidak dapat membawa virus, dan tidak dapat menginstal malware pada komputer host,
[2] pelacakan cookie dan terutama pihak ketiga cookie pelacakan biasanya digunakan sebagai cara untuk mengkompilasi jangka panjang catatan sejarah individu 'browsing - masalah privasi utama yang memiliki diminta Eropa dan pembuat hukum AS untuk mengambil tindakan. [3] [4]
Jenis lain dari cookie melakukan fungsi penting dalam Web modern. Mungkin yang paling penting, cookie otentikasi adalah metode yang paling umum digunakan oleh web server untuk mengetahui apakah pengguna masuk log atau tidak, dan yang account mereka login di bawah. Tanpa mekanisme seperti ini, situs tidak akan tahu apakah akan mengirim halaman yang berisi informasi sensitif, atau mengharuskan pengguna untuk mengotentikasi dirinya dengan log-in. Keamanan sebuah cookie otentikasi umumnya tergantung pada keamanan situs web penerbit dan web browser pengguna. Jika tidak diterapkan dengan benar, data cookie itu dapat dicegat oleh seorang hacker untuk mendapatkan akses tidak disetujui untuk data pengguna dan mungkin ke website berasal
Jenis lain dari cookie melakukan fungsi penting dalam Web modern. Mungkin yang paling penting, cookie otentikasi adalah metode yang paling umum digunakan oleh web server untuk mengetahui apakah pengguna masuk log atau tidak, dan yang account mereka login di bawah. Tanpa mekanisme seperti ini, situs tidak akan tahu apakah akan mengirim halaman yang berisi informasi sensitif, atau mengharuskan pengguna untuk mengotentikasi dirinya dengan log-in. Keamanan sebuah cookie otentikasi umumnya tergantung pada keamanan situs web penerbit dan web browser pengguna. Jika tidak diterapkan dengan benar, data cookie itu dapat dicegat oleh seorang hacker untuk mendapatkan akses tidak disetujui untuk data pengguna dan mungkin ke website berasal
