CHAPTER 5 WEB BROWSER SECURITY

PENGENALAN
 Browser ialah program yang membolehkan kita melayari web.
 Setiap kali kita membuka satu tapak web, browser akan meminta fail dari web server
dan web server akan menghantar webpage.
 Oleh kerana web browser seringkali digunakan maka adalah kemestian bagi kita
untuk melindunginya.
 Ketiadaan perlindungan ke atas web browser boleh membawa kepada berbagai
masalah komputer.
 Penggunaan Berbagai perisian untuk perlindungan web browser seperti ActiveX,
Java, Scripting Java, dan VBScript membantu meminimakan peluang-peluang
kelemahan dalam web browser, website, ataupun perisian berkaitan yang digunakan
dalam mengendalikan maklumat yang sensitive.

CIRI-CIRI DAN RISIKO WEB BROWSER

 Kini, web browser seperti Internet Explorer, Mozilla Firefox, Apple Safari telah sedia
diinstal pada komputer.
 Oleh kerana kekerapan penggunaannya, maka adalah perlu untuk web browser ini
dilindungi.
 Ketiadaan perlindungan ke atas web browser akan membawa kepada pelbagai
permasalahan komputer yang disebabkan oleh spyware yang diinstal tanpa
pengetahuan anda oleh penceroboh yang ingin mengawal komputer anda.
 Penyerang (attackers) mengeksploitasi sistem client-side melalui Berbagai
kelemahan.
 Mereka menggunakan kelemahan ini untuk mencari maklumat, memusnahkan fail,
dan menyerang komputer yang lain.
 Beberapa ciri web browser dan risiko berkaitan adalah seperti berikut. Pengetahuan
tentang perbezaan ciri akan menyedarkan kita bagaimana mereka memberi kesan
kepada fungsi web browser dan keselamatan komputer:
o Plug-ins
 Boleh mengandungi kelemahan pengaturcaraan atau kecacatan
rekabentuk.
o Cookies
 Cookies adalah fail yang diletakkan di sistem untuk menyimpan data
berkaitan website tertentu. Cookie menyimpan maklumat berkaitan
site yang dilawati. Cookie boleh digunakan untuk mengenalpasti
pelawat sesuatu tapak web. Sekiranya tapak web menggunakan
cookie untuk pengesahan pelawat, maka attacker juga boleh
mendapatkan maklumat dari site itu melalui cookie. Persistent cookie
lebih berisiko berbanding session cookie kerana ia berada lebih lama
dalam komputer.
o ActiveX
 ActiveX ialah teknologi yang digunakan oleh IE pada Windows yang
membenarkan aplikasi atau sebahagian aplikasi digunakan di web
browser. Namun, penggunaan ActiveX akan meninggikan risiko
sistem diserang.
o Java
 Java ialah bahasa pengaturcaraan berorientasikan objek yang
digunakan untuk membina kandungan aktif dalam web.
 JVM (Java Virtual Machine) digunakan untuk melaksanakan kod java
di website.
 Namun, pelbagai cara implementasi JVN membolehkan kod java
merentasi kawasan atau bahagian yang tidak sepatutnya yang
sekaligus mengancam keselamatan komputer.
o JavaScript
 Javascript ialah kod aturcara yang digunakan untuk menjadikan
website lebih interaktif.
  Terdapat spesifikasi tertentu dalam JavaScript yang meghalang dari
mencapai fail local.
o VBScript
 VBScript mirip JavaScript tetapi tidak digunakan meluas kerana
limitasi kesesuaian dengan browser selain Internet Explorer.

KEBOCORON MAKLUMAT MELALUI HTTP

 Kebocoran maklumat berlaku apabila website memdedahkan maklumat sensitive
yang boleh digunakan oleh attacker untuk eksploitasi sistem.
 Maklumat sensitive boleh terdapat pada komen HTML, mesej ralat, source code, dan
sebagainya.
 Walaupun kebocoran tidak bermaksud berlaku penerobosan keselamatan tetapi ia
memberi attacker maklumat berguna untuk eksploitasi di masa hadapan.
 Kebocoran data sensitive boleh berada pada Berbagai tahap risiko dan ia perlu
dibendung sebaik mungkin.
 Terdapat berbagai cara maklumat sensitive boleh dibawa keluar dari rangkaian,
Contohnya dari salinan cd, telefon bimbit, thumbdrive dan sebagainya.
 Attacker kini mula gemar menyerang aplikasi web yang dibenarkan melalui firewall.
 Serangan peringkat aplikasi adalah paling popular di kalangan hacker.
 Adalah sukar untuk melindungi web server dan memastikan data dalaman tidak
didapati di web. Ini kerana web server berhubung dengan perimeter rangkaian dan
internet luaran.ini sekaligus membolehkan attacker luaran mendapat maklumat
rangkaian dalaman dan fail dalaman.

Penilaian Kebocoran Web Data

 Hanya dengan menggunakan search engine seperti Google, data sensitive atau sulit
boleh dicari dengan mudah.
 Terdapat juga penyataan carian spesifik yang membolehkan attacker mensasarkan
jenis data atau fail spesifik yang mungkin mengandungi maklumat sulit.

Kesan dari Kebocoran Maklumat

 Terdapat pelbagai teknologi yang dibangunkan untuk tujuan ini seperti perisian anti
virus, firewall, anti spam dan banyak lagi.

Menghalang Kebocoran Maklumat melalui Web

 Web server tidak sepatiutnya digunakan untuk menyimpan data.

COOKIES
 Cookies ialah sekumpulan teks yang dihantar oleh server kepada web browser dan di
hantar semula oleh browser setiap kali ia mencapai server tersebut.
 Cookies digunakan untuk mengesahkan, menjejaki, dan mengekalkan maklumat
spesifik tentang pengguna; Contohnya keutamaan site, atau kandungan bakul
elektronik.
 Cookie menimbulkan isu privasi di internet kerana keupayaannya yang dapat
menjejaki tingkahlaku browsing pengguna.
 Cookie sebenarnya merupakan secebis data yang tidak berupaya melakukan apa
operasi atau fungsi.

Sejarah Cookies
 Lou Montulli mendapat idea menggunakan cookie dalam komunikasi web pada
Jun1994. Beliau dan John Giannandrea menulis spesifikasi cookie untuk Netscape
pada tahun yang sama.
 Cookies yang pertama dihasilkan digunakan untuk memeriksa sama ada pelawat
yang melawat website Netscape pernah melawat website tersebut atau tidak.
 Kehadiran cookies pada awanya tidak disedari oleh pengguna dan hanya disedari
kewujudannya selepas diterbitkan dalam Financial Times pada 1 Febuari 1996.
Tujuan Cookies

 Tujuan utama cookies ialah untuk mengenalpasti pengguna dan menyediakan web
page yang disesuaikan dengan kehendak pengguna.
 Apabila kita melawat tapak web yang mengandungi cookie, kita akan diminta untuk
mengisi borang yang mengkehendaki maklumat seperti nama, dan kegemaran.
 Maklumat ini akan dipakejkan beserta cookies dan setiap kali anda melayari website
berkenaan maklumat tersebut akan digunakan untuk menyesuaikan tapak web
mengikut kecenderungan atau pilihan pengguna.
 Cookies juga diperkenalkan untuk menyediakan dan memudahkan penggunaan
“shopping cart” atau bakul maya yang digunakan pengguna dalam meletakkan item
yang hendak dibeli semasa navigasi website sebelum disahkan pembelian.
 Satu lagi kegunaan cookie ialah membolehkan pengguna log in ke website.
Pengguna akan memasukkan maklumat mereka semasa login dan cookie
membenarkan server mengesahkan kewujudan pengguna dan seterusnya
membolehkan pengguna mencapai servis yang hanya dihadkan kepada pengguna
logged in sahaja.
 Cookie juga digunakan untuk menjejaki pengguna merentasi website. Maklumat ini
digunakan untuk tujuan pengiklanan.

Tetapan Browser untuk cookies

 Cookie tidak mengancam sistem komputer kerana ia hanya fail teks yang boleh
dihapuskan atau dipadma pada bila-bila masa.
 Cookies tidak boleh digunakan untuk menyebarkan virus dan mencapai cakera keras
komputer pengguna.
 Kebanyakan browser menyokong atau mempunyai fungsi cookie.
Walaubagaimanapun, pengguna boleh memilih untuk menggunakannya atau tidak
dengan cara:
o Enable atau disable cookies.
o Mengusulkan atau prompt pengguna untuk cookie sindividu dan menyimpan
jawapannya.
o Mengenalpasti sama ada cookie tersebut dari pihak pertama atau pihak
ketiga.
o Meletakkan cookies pada 2 jenis berbeza sama ada black listed atau white
listed
o Meletakkan tarikh luput pada cookies.
o Menggunakan cookies berdasarkan polisi keselamatan P3P.
 Browser boleh memberi pilihan kepada pengguna sama ada mahu meneriam cookies
atau tidak.
 Kebanyakan browser menyokong JavaScript yang membolehkan pengguna melihat
cookies pada webpage dengan hanya menaip
javascript:alert(”cookies:”=document.cookie) pada ruang URL browser.
 Cookies hanya mengancam privasi pengguna kerana menyimpan maklumat yang
dimasukkan pengguna untuk website tertentu.
 Cookies boleh dipadam dari komputer anda dan adalah disyorkan kepada pengguna
untuk mengosongkan file sementara web browser.
o Hapuskan semua cookies:
 Buka Internet Explorer, klik Toools dan pilih Internet Options;
 Klik Delete cookies
 Klik OK
o Hapuskan cookies tertentu
 Buka Internet Explorer, klik Toools dan pilih Internet Options;
 Klik Setting
 Klik View Files
 Klik View Menu dan pilih Details
 Klik Internet Address dan cari cookie yang dikehendaki.
 Highlight cookies yang hendak dipadamkan dan klik OK.

BAHASA PENGATURCARAAN UNTUK CLIENT-SIDE

 Client-side scripting merujuk kepada program komputer pada web yang dilaksanakan
pada web browser pengguna.
 Pengaturcaraan sebegini adalah bahagian penting dalam DHTML yang
membolehkan webpage mempunyai kandungan berbeza mengikut input pengguna,
keadaan persekitaran (Contohnya masa) dan lain-lain pembolehubah. Client-side
scripting ini ditulis menggunakan JavaScript atau VBScript.
 Client-side scripting Selalunya dibenamkan dengan dokumen HTML, tetapi boleh
juga disimpan oleh fail berasingan.
 Apabila diminta, fail tertentu akan dihantar kepada pengguna oleh web server dan
pengguna kemudian melaksanakan (execute) skrip tersebut dan seterusnya
memaparkan dokumen tersebut berserta output yang terhasil dari skrip.
 Client-side script mempunyai lebih capaian terhadap maklumat dan fungsi pada
browser pengguna, manakala server-side script mempunyai lebih capai terhadap
maklumat dan fungsi yang Terdapat pada server.
 Untuk tujuan keselamatan, client-side script tidak dibenarkan untuk mencapai
komputer pengguna melebihi aplikasi browser.
 Teknik seperti ActiveX digunakan untuk mengawalnya.

PLUG-INS DAN HELPER

 Plug-ins adalah program yang diintegrasikan ke dalam aplikasi browser yang
Selalunya menyediakan fungsi Tambahan. Plug-ins juga dikenali sebagai add-ons
atau extensions.
 Internet Explorer dibangunkan kepada keadaan di mana cirinya boleh diubah atau
diperbaiki dengan sokongan program lain dengan cara tertentu. Internet explorer
tidak mempunyai ciri yang berbagai tetapi boleh ditambah dan di customise dengan
bantuan IE plug-ins – iaitu program lain yang menambah ciri baru kepada web
browser untuk menjadi lebih produktif dan sesuai untuk memenuhi keperluan individu
atau perniagaan.
 IE plug-ins membolehkan penambahan ciri kepada browser untuk menjadikan
persekitarannya memenuhi keperluan pengguna.
 Tujuan IE plug-ins adalah berbagai-bagai. Contohnya untuk aspek keselamatan,
plug-ins digunakan untuk mengawal proses browsing iaitu dengan mencegah
kandungan tidak selamat (ad pop-ups, spam , virus) dan melindungi privasi anda
(Kecurian identity, jejak aktiviti online, dan sebagainya).
 Website juga boleh menyediakan pengguna dengan sokongan berterusan melalui
online alerts yang disokong oleh IE plug-in yang telah diintegrasikan ke dalam web
browser pengguna.
 Walaubagaimanapun, terjadi masalah apabila sesetengah web browser
menggunakan plug-ins yang sama ataupun plug-ins memerlukan web browser versi
lebih tinggi untuk dilaksanakan. Dalam situasi normal, bila ActiveX diperlukan, akan
terdapat paparan ActiveX pada bahagian atas web browser, tetapi tanpa plug-ins
anda tidak dapat melihat kandungan page atau tidak dibenarkan akses sama sekali.

~ cik baity