Pengamanan Situs WebKelompok II

David kadi :09220029Santi Sari :09220041Milson :09220059Putu agus angga :10220070Hepy fanus :09220013Ari Umar F. :10220045

Keamanan Informasi (Information Security) Web akan selalu berhubungan dengan informasi.

Keberadaan web hanyalah sebagai alternatif yang berfungsi sebagai salah satu alat bantu dalam proses pengolahan informasi. Sedangkan proses pengolahan informasi itu sendiri selalu berkaitan dengan keamanan.

Keamanan informasi memiliki sasaran untuk memelihara kerahasiaan(confidentiality), integritas (integrity)dan ketersediaan informasi (availability) dalam suatu organisasi, dan dicapai dengan kombinasi komponen yang baik, desain arsitektural yang baik, serta perlakuan yang teliti dalam pusat pengelolaannya.

Keamanan informasi bertanggung jawab pada tiga hal, yaitu:ConfidentialityIntegrityAvailability

Mekanisme Keamanan Informasi

Dikarenakan tidak ada peralatan tunggal yang dapat memelihara integritas informasi, maka penting untuk menempatkan empat mekanisme keamanan dalam struktur kinerja yang berlapis. Empat mekanisme tersebut adalah:

Otentikasi user Enkripsi data Penyaringan paket jaringan Kendali akses fisik

Prinsip keamanan yang baik adalah pertahanan yang sungguh-sungguh mendalam. Jangan pernah bersandar pada mekanisme keamanan tunggal dan meletakkannya dalam desain berlapis sehingga seorang hacker dapat masuk melalui salah satu lapisan dan melakukan serangannya.

Sebagai contoh, penyaringan paket yang menghalangi akses dari alamat jaringan luar dapat mencegah akses dari seorang penyerang yang telah mencuri password otentikasi. Enkripsi data dapat melindungi kerahasiaan informasi bahkan ketika penyerang menyadap kabel jaringan dengan cara mengalahkan mekanisme kendali akses fisik.

Langkah-langkah untuk menaikkan tingkat keamanan browserSelalu mengupdate web browser

menggunakan patch terbaruMencegah virusMenggunakan situs yang aman untuk

transaksi finansial dan sensitifMenggunakan secure proxyMengamankan lingkungan jaringanTidak menggunakan informasi pribadiHati-hati ketika merubah setting

browser

Keamanan sistemSistem jika pengguna memasukkan data

yang benar,maka sistem mengeluarkan hasil yang diinginkan.

Keamanan System Jika attacker memberikan data

yang tidak diinginkan ,sistem tidak akan gagal dalam beberapa keadaan.

Aspek-Aspek Keamanan SystemKerahasiaaan Informasi sistem (dan user) tidak boleh

dapat diambil oleh attacker. Integritas sistem harus terus berjalan normal

meski terjadi serangan dari attacker. Ketersediaan Saat Serangan oleh attacker terjadi tidak

akan membuat user kesulitan mengakses system.

Ada 2 alternatif tempat untuk meletakkan data informasi otentikasi pesan SOAP, yaitu pada elemen header atau pada elemen body. Apabila proses penyusunan suatu pesan SOAP membutuhkan mekanisme pengkodean isi (misalnya enkripsi ataupun kompresi) terhadap pesan yang terdapat dalam elemen body, maka tidak mungkin meletakkan data otentikasi ke dalam elemen body SOAP.

Sebagai contoh, jika suatu server menerima pesan SOAP yang elemen body-nya telah dienkripsi atau dikompresi, nantinya server perlu mengetahui data informasi otentikasi yang dipakai untuk menentukan status ke otentikan pesan SOAP tersebut.

Tidak mungkin menanam informasi mengenai ke otentikan suatu pesan SOAP ke dalam elemen body karena isinya sendiri akan dienkripsi atau dikompresi. Maka solusinya adalah lebih tepat untuk menempatkan informasi otentikasi ke dalam elemen header pesan SOAP.

Terdapat beberapa penggunaan terhadap elemen header SOAP, beberapa di antaranya adalah Otentikasi. Server dapat meminta pengirim untuk

mengotentikkan dirinya sendiri sebelum pesan diproses.

Informasi pernyataan keamanan. Jika penerima memerlukan jaminan bahwa isi pesan belum berubah, pengirim dapat menandatangani tubuh pesan secara digital dan menempatkan hasilnya ke dalam header.

Informasi routing. Jika pesan tersebut perlu dirunut ke banyak tujuan, tujuan dan urutannya dapat dimasukkan ke dalam header.

Transaksi. Penerima mungkin menjalankan sejumlah aksi dalam lingkup transaksi pengirim.

Informasi pembayaran. Jika penerima pesan menyediakan layanan ke client berdasarkan biaya per pemakaian, informasi yang diperlukan untuk menarik pembayaran dapat ditanamkan dalam header-nya

Enkripsi SOAP

Web service sebagai tool alternatif dalam sistem terdistribusi melakukan kinerjanya dengan menggunakan SOAP dalam mekanisme HTTP GET dan HTTP POST. Pada prinsipnya SOAP merupakan sebuah teks murni dalam format XML yang seringkali berisikan informasi-informasi yang sensitif yang harus dilindungi. Satu-satunya cara untuk melindungi data tersebut adalah dengan melakukan penyandian (enkripsi) terhadap informasi tersebut.

Implementasi Keamanan Web Service

Setelah memahami konsep rancangan mekanisme pengamanan web service yang akan kita bangun, langkah terakhir adalah mengimplementasikan hasil rancangan tersebut ke dalam tahap pemrograman. Dalam mengimplementasiakan konsep rancangan ini, kita akan akan menambahkan beberapa class security pada class NuSOAP.