Bagaimana HTML5 Mengubah Keamanan Web?

Google pengumuman yang mereka lakukan dengan flash adalah paku terakhir di peti mati Flash.


Bahkan sebelum itu, para teknokrat selebritas suka Steve Jobs secara terbuka berbicara melawan Flash.

Dengan matinya flash dan munculnya HTML5 era baru telah diantar ke dalam fitur situs web yang tampak lebih baik dan berfungsi lebih baik yang kompatibel dengan ponsel dan PC sama.

Mentransfer data dan menerimanya juga menjadi lebih mudah daripada sebelumnya.

Namun, ini menyajikan tantangan unik yang perlu dimenangkan.

Keuntungannya adalah html5 membawa dukungan dan fungsionalitas lintas-browser ke tingkat yang sama sekali baru.

Peramban tertentu tidak mendukung elemen situs individual, dan sangat frustasi harus mengubah elemen situs untuk mengikuti penampilan.

HTML5 membuang persyaratan itu karena semua browser modern mendukung.

Pembagian Sumber Daya Lintas Sumber

Cross-origin resource sharing (CORS) adalah salah satu fitur paling berpengaruh dari html5 dan juga salah satu yang menjadi pertanda kemungkinan terbesar untuk kesalahan dan serangan hacker.

CORS mendefinisikan header untuk membantu mengaktifkan situs untuk menentukan asal dan memfasilitasi interaksi kontekstual.

Dengan html5 CORS membisukan mekanisme keamanan mendasar pada browser yang disebut Aturan Asal yang Sama.

Di bawah kebijakan asal yang sama, browser dapat mengizinkan halaman web untuk mengakses data dari halaman web kedua hanya jika kedua halaman web memiliki asal yang sama.

Apa yang merupakan asal?

Asal adalah kombinasi skema URI, nama host, dan nomor port. Kebijakan ini mencegah skrip jahat mengeksekusi dan mengakses data dari halaman web.

CORS melonggarkan kebijakan ini dengan memungkinkan situs yang berbeda mengakses data untuk memungkinkan interaksi kontekstual.

Hal ini dapat menyebabkan seorang hacker mendapatkan data sensitif.

Contohnya,

Jika Anda masuk ke Facebook dan tetap masuk dan kemudian mengunjungi situs lain, maka mungkin para penyerang dapat mencuri informasi dan melakukan apa pun yang mereka inginkan ke akun Facebook Anda dengan mengambil keuntungan dari kebijakan lintas asal yang santai..

Pada catatan yang sedikit lebih hangat, jika pengguna masuk ke dalam rekening perbankannya dan lupa untuk keluar, peretas bisa mendapatkan akses ke kredensial pengguna, transaksinya atau bahkan membuat transaksi baru.

Browser dengan menyimpan detail pengguna membiarkan cookie sesi terbuka untuk dieksploitasi.

Peretas juga dapat ikut campur dengan tajuk untuk memicu arahan ulang yang tidak divalidasi.

Pengalihan tidak valid dapat terjadi ketika browser menerima input yang tidak dipercaya. Ini, pada gilirannya, meneruskan permintaan pengalihan. URL yang tidak dipercaya dapat dimodifikasi untuk menambahkan input ke situs jahat dan karenanya meluncurkan penipuan phishing dengan memberikan URL yang tampak identik dengan situs yang sebenarnya.

Serangan redirect dan forward yang tidak divalidasi juga dapat digunakan untuk secara jahat membuat URL yang akan melewati pemeriksaan kontrol akses aplikasi dan kemudian meneruskan penyerang ke fungsi-fungsi istimewa yang mereka biasanya tidak dapat mengakses.

Inilah yang harus diperhatikan oleh pengembang untuk mencegah hal-hal ini terjadi.

  • Pengembang harus memastikan bahwa URL diteruskan untuk membuka. Jika ini lintas-domain, maka rentan terhadap suntikan kode.
  • Juga, perhatikan apakah URL itu relatif atau jika mereka menentukan protokol. URL relatif tidak menentukan protokol, mis., Kami tidak akan tahu apakah itu dimulai dengan HTTP atau https. Peramban menganggap bahwa keduanya benar.
  • Jangan mengandalkan header Asal untuk kontrol Akses karena mereka dapat dengan mudah dipalsukan.

Bagaimana Anda tahu jika CORS diaktifkan pada domain tertentu?

Nah, Anda bisa menggunakan alat pengembang di browser untuk memeriksa header.

Perpesanan lintas domain

Pesan lintas-domain sebelumnya dilarang di browser untuk mencegah serangan lintas-situs scripting.

Ini juga mencegah terjadinya komunikasi yang sah antar situs web yang menjadikan sebagian besar pesan lintas domain sekarang.

Olahpesan web memungkinkan API berbeda untuk berinteraksi dengan mudah.

Untuk mencegah serangan lintas-skrip inilah yang harus dilakukan pengembang.

Mereka harus menyatakan asal usul pesan yang diharapkan

  • Atribut asal harus selalu diperiksa silang dan data diverifikasi.
  • Halaman penerima harus selalu memeriksa atribut asal pengirim. Ini membantu memverifikasi bahwa data yang diterima memang dikirim dari lokasi yang diharapkan.
  • Halaman penerima juga harus melakukan validasi input untuk memastikan data dalam format yang diperlukan.
  • Pesan yang dipertukarkan harus ditafsirkan sebagai data bukan kode.

Penyimpanan yang lebih baik

Fitur lain dari HTML5 adalah memungkinkan penyimpanan yang lebih baik. Alih-alih mengandalkan cookie untuk melacak data pengguna, browser ini diaktifkan untuk menyimpan data.

HTML5 memungkinkan untuk penyimpanan di beberapa jendela, memiliki keamanan yang lebih baik dan menyimpan data bahkan setelah menutup browser. Penyimpanan lokal dimungkinkan tanpa plugin browser.

Ini berarti berbagai jenis masalah.

Pengembang harus mengurus hal-hal berikut untuk mencegah penyerang mencuri informasi.

  • Jika situs menyimpan kata sandi pengguna dan informasi pribadi lainnya, maka itu dapat diakses oleh peretas. Kata sandi seperti itu jika tidak dienkripsi dapat dengan mudah dicuri melalui API penyimpanan web. Karenanya sangat disarankan agar semua data pengguna yang berharga dienkripsi dan disimpan.
  • Selain itu, banyak muatan malware sudah mulai memindai cache browser dan API penyimpanan untuk menemukan informasi tentang pengguna seperti informasi transaksional dan finansial.

Pikiran penutup

HTML5 menawarkan peluang luar biasa bagi pengembang web untuk memodifikasi dan membuat segalanya lebih aman.

Sebagian besar pekerjaan dalam menyediakan lingkungan yang aman jatuh di browser sekalipun.

Jika tertarik untuk mempelajari lebih lanjut maka periksa “Pelajari HTML5 dalam 1 jamTentu saja.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map