• Tidak ada hasil yang ditemukan

Web Service Security

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "Web Service Security"

Copied!
6
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 6 Halaman )

Teks penuh

(1)

Web Service Security

Yosalia Sitompul

Nim. 110155201076

Jln.kijang lama, no.33, tanjungpinang, Kepri 29123, Indonesia

E-mail : lia_blue.girl@yahoo.com

Mahasiswa Program S1 Teknik Informatika, FT, UMRAH

ABSTRAK

Web service adalah suatu layanan yang diberikan oleh website yang dirancang untuk mendukung interoperabilitas dan interaksi antar sistem pada suatu jaringan. Web Service juga memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service.

ABSTRACT

Web service is a service provided by the website is designed to support interoperability and interaction between systems on a network . Web services also provide a new paradigm for implementing distributed systems over the Web by using a standard protocol SOAP , WSDL and UDDI XML -based . With the Web Service technology , the concept of distributed systems that are typically used on systems that are closed and proprietary ( DCOM , CORBA , RMI ) can be incorporated into a system that is open ( non - propriertary ) Web -based . Nevertheless , there are still many who hesitate to immediately implement a Web Service , particularly if used to support business transactions over the Internet ( global ) . The main reason of concern is the safety and vulnerability (vulnerability ) contained in the Web Service technology . Meanwhile security standard used to secure Web-based applications in general are not quite able to secure

a Web Service transactions

(2)

1.

PENDAHULUAN

Web service adalah sebuah software yang dirancang untuk mendukung interoperabilitas interaksi mesin-ke-mesin melalui sebuah jaringan.Web service secara teknis memiliki mekanisme interaksi antar sistem sebagai penunjang interoperabilitas, baik berupa agregasi (pengumpulan) maupun sindikasi (penyatuan). Web service memiliki layanan terbuka untuk kepentingan integrasi data dan kolaborasi informasi yang bisa diakses melalui internet oleh berbagai pihak menggunakan teknologi yang dimiliki oleh masingmasing pengguna.

Web services merupakan komponen yang independen terhadap platform ataupun bahasa. Web services menggunakan web protokol (HTTP) yang sangat mendukung heterogenoitas dan

interoperabilitas serta memudahkan integrasi [1]. Selain itu web services mendukung koneksi loosely coupled, sehingga sebuah perubahan pada satu aplikasi tidak akan memaksa perubahan pada aplikasi yang lain. Sebuah web services memiliki interface berupa web API (Application Programming Interface) yang dapat dipanggil oleh suatu aplikasi untuk mengakses aplikasi yang mengimplementasikan layanan web services

Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam mengintegrasikan aplikasi-aplikasi yang berbeda platform dengan menggunakan dokumen XML. XML (eXtensible Markup Language) adalah sebuah standar untuk mendefinisikan data dalam format yang sederhana dan fleksibel. Dimana web service mendukung komunikasi antar aplikasi dan integrasi aplikasi dengan menggunakan XML dan Web. Faktor keamanan pada jalur komunikasi antara client ke server web service itu belum sepenuhnya terjamin.

Keamanan selalu menjadi perhatian penting dalam pengembangan layanan web. Namun, metode pengembangan perangkat lunak saat ini hampir lalai [2].

Hal ini dibuktikan dengan banyaknya faktor yang menimbulkan celah-celah ancaman terhadap web service tersebut seperti yang telah dilakukan oleh penelitian terdahulu. Selain itu, pada kerahasiaan pesan yang dikirimkan melalui web service masih berupa data XML. Sehingga hal ini menyebabkan terjadinya data yang tidak asli ketika sampai di sisi penerima. Walaupun pesan telah di enkripsi menggunakan suatu algoritma maka bukan berarti bahwa pesan yang di terima oleh penerima benar-benar masih asli, karena bisa saja bahwa struktur pesan telah berubah ketika pesan dikirimkan atau ketika diterima [3].

Kemudian masalah keamanan

web service pada kasus-kasus sebelumnya kebanyakan penelitian dilakukan pada satu model keamanan atau standar keamanan untuk web service. Sehingga dengan adanya sistem keamanan yang seperti ini dirasakan masih kurang memberi suatu perlindungan yang maksimal terhadap ancaman keamanan web service antara client ke server service sendiri walaupun secara umum sudah mampu mencukupi. Masih adanya kendala mengenai web service yaitu beberapa pihak yang masih merasa ragu untuk menerapkan web service, khususnya mereka yang menggunakan jaringan internet pada transaksinya. Keraguan ini dilihat dari tingkat keamanan dari teknologi web service. Aspek keamanan menjadi sangat penting untuk menjaga data atau informasi agar tidak disalahgunakan ataupun diakses secara sembarangan.[4]

Mengatasi keamanan di tahap awal pengembangan layanan web selalu menjadi tren

(3)

rekayasa besar. Namun, untuk menjamin keamanan layanan web yang diperlukan untuk melakukan evaluasi keamanan secara ketat dan nyata. Hasil evaluasi yang jika dilakukan dalam tahap awal dari proses pembangunan dapat digunakan untuk meningkatkan kualitas layanan web sasaran. Di sisi lain, tidak mungkin untuk menghapus semua kesalahan keamanan selama analisis keamanan layanan web. Akibatnya, keamanan mutlak tidak pernah mungkin untuk mencapai dan kegagalan keamanan mungkin terjadi selama pelaksanaan layanan web. [5]

2.

WEB SERVICE SECURITY

Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam

mengintegrasi kan aplikasi-aplikasi yang berbeda platform [6].

Gambar 1 - Sebuah web service

Web services saat ini semakin banyak digunakan oleh enterprise untuk memudahkan akses pada produknya,meningkatkan layanan ke konsumen dan ke business partner melalui internet atau corporat extranet . Sebagai contoh mengintegrasi kan dan

mengotomasikan proses bisnis, supply chain, dan costumer relationship. Saat sebuah enterprise ingin mengintegrasikan system bisnis nya dengan partnernya menggunakan internet, informasi yang dialirkan harus dipastikan dalam kondisi aman [7]. Oleh karena itu keamanan menjadi isu yang sangat penting untuk keperluan tersebut. Dalam beberapa kasus, layanan keamanan berbasis Operating System dan Internet Information Services (IIS) dapat diandalkan. Akan tetapi lingkungan implementasi yang heterogen selalu menimbul kan celah-celah ancaman keamanan baru. Ancaman terhadap keamanan web services antara lain unauthorized access, parameter manipulation, network eaves dropping, disclosure of configuration data, dan message replay.

Bahkan dewasa ini banyak praktisi teknologi yang beralih pada Web service(WS) untuk alasan fleksibilitas dan skalabilitas yang lebih tinggi .Serupa dengan RPC pada protokol yang lain, pemanggilan layanan WS oleh sebuah sistem harus melaluit ahapan-tahapan keamanan untuk memastikan pemanggil dan fungsi yang dipanggilnya adalah valid. Sehubungan dengan ini, ada proses otentikasi dan otorisasi yang dilakukan oleh system penyedia layanan WS terhadap pemanggilnya untuk memastikan bahwa ia boleh dilayani. Tanpa mekanisme ini maka WS menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya,bahkan untuk pihak-pihak yang tidak berkepentingan [8].

Ini membuktikan Tantangan keamanan yang disajikan oleh Web service tidak dapat dihindari dan juga masih kurangnya pendekatan yang komprehensif yang menawarkan pengembangan metodis dalam pembangunan arsitektur keamanan [9].

(4)

Gambar 2

-

Ancaman keamanan web services

3.

JENIS-JENIS KEAMANAN WEB

SERVICE

Di dalam platform Windows, Web Service diaplikasikan melalui .NET Framework, Internet Information Services (IIS) dan tentunya sistem operasi Windows itu sendiri.

Jenis-jenis keamanan yang dapat diterapkan pada platform ini adalah:

1. Windows authentication 2. Forms authentication 3. Passport authentication 4. None

Pilihan jenis keamanan tersebut dapat dikonfigur melalui tag <authentication> di dalam file Web.config dari aplikasi Web Service yang bersangkutan. Berikut ini diperlihatkan potongan isi file tersebut:

...

<authentication mode="Windows | Forms | Passport | None">

...

</authentication> ...

3.1.Windows authentication

Sesuai dengan namanya, Windows

authentication adalah metoda otentikasi menggunakan akun Windows untuk memvalidasi credential pemanggil. Tipe ini sangat baik diterapkan pada lingkungan intranet dimana pemanggil Web Service berasal dari dalam jaringan lokal dan telah dikenal secara baik. Lebih lanjut, Windows authentication dibedakan menjadi:

_ Integrated Windows authentication _ Basic authentication

_ Digest authentication

_ Client Certificate authentication

Tipe-tipe otentikasi di atas sesuai dengan cara penanganan yang dilakukan oleh IIS. Pada dokumen ini tipe yang akan dibahas adalah Integrated Windows dan Basic authentication.

3.2.Forms authentication

Pada Forms authentication, pemanggil yang tidak terotentikasi akan dialihkan pada sebuah halaman web yang dikonfigur pada file Web.config. Halaman web tersebut umumnya berisi kolom User ID dan password yang harus dibuat oleh programmer. Pada otentikasi jenis ini, daftar User ID dan password-nya dapat disimpan di dalam file Web.config, file XML terpisah atau di dalam database.

Forms authentication dapat diaktifkan dengan:

1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi

“Forms”. Contoh: ...

<system.web>

<authentication mode="Forms"/> </system.web>

(5)

...

2. Tidak memperbolehkan anonymous users pada IIS.

Jenis otentikasi ini kurang cocok jika diterapkan pada Web Service karena ia akan mengalihkan pemanggil pada sebuah user interface sebelum layanan WS dapat dijalankan. Pemanggil sebetulnya mengharapkan sebuah pesan SOAP yang dikembalikan oleh WS bukan halaman HTML. Jika ini yang terjadi, maka masalah akan timbul.

3.3.Passport authentication

Pada Passport authentication, sebuah layanan terpusat dikelola oleh Microsoft menyediakan sebuah pusat login untuk WS client. Pemanggil yang tidak terotentikasi dialihkan ke situs Passport site. Serupa dengan Forms authentication, pengalihan ini akan menyebabkan masalah bagi pemanggilnya kecuali hal ini ditangani secara baik pada program pemanggilnya. Passport authentication dapat diaktifkan dengan:

1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi

“Passport”. Contoh: ... <system.web> <authentication mode="Passport"/> </system.web> ...

2. Tidak memperbolehkan anonymous users pada IIS.

3.4.None

Jika pilihan otentikasi adalah None, maka itu adalah kesempatan bagi programmer untuk melakukan otentikasi buatan sendiri (custom authentication). Custom authentication dapat diaktifkan dengan:

1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi

“None”. Contoh: ... <system.web> <authentication mode="none"/> </system.web> ...

2. Memperbolehkan anonymous users pada IIS [10].

4.

KESIMPULAN

Meskipun Webservice performansinya baik, namun dari segi security web service masih belum matang. Terdapat perbedaan implementasi keamanan web service pada berbagai platform sehingga masih diperlukan suatu standar baku dalam mengimplemen tasikan security pada webservice.

Selain itu, tanpa mekanisme yang tepat ini maka Web service menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya termasuk pihak-pihak yang tidak berkepentingan. Tentunya ini adalah sesuatu yang tidak diinginkan. Maka dari itu aspek keamanan menjadi seuatu yang sangat penting

(6)

5.

REFERENSI

[1] Adriansyah ,Arya, Arifand,Wahyudi, Wicaksono,Narenda, 2003 ‘Keamanan Web Service’ Departemen Teknik Informatika Institut Teknologi Bandung, No.1

[2] Mougouei, Davoud, Nurhayati, Wan, AB,Rahma, , M.A.,Mohammad 2012, ‘Measuring Security of Web Services in Requirement Engineering Phase’ International Journal of Cyber-Security and Digital

Forensics, No.1

[3] Muzakir,Ari 2013, ‘Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption’, No.1

[4] 2013, ‘Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption’, No.1

[5] 2012 ‘Measuring Security of Web Services in Requirement Engineering Phase’ International Journal of Cyber-Security and Digital Forensics, No.1

[6] 2005 ‘Keamanan Web Service’ Departemen Teknik Informatika Institut Teknologi Bandung, No.2

[7] 2005 ‘Keamanan Web Service’ Departemen Teknik Informatika Institut Teknologi Bandung, No.3

[8] Feri Djuandi 2012, ‘Web Service Security’ : www.tobuku.com, hal. 1

[9] Fareghzadeh , Nafise 2009 ‘Web Service Security Method To SOA Development’ World Academy of Science, Engineering and Technology, No.1

[10] 2012 ‘Web Service Security’ : www.tobuku.com, hal. 3-5

Gambar

Gambar 1 - Sebuah web service
Gambar 2 - Ancaman keamanan web services

Referensi

Unduh sekarang ( PDF - 6 Halaman - 350.14 KB )

Dokumen terkait

KARTU INVENTARIS BARANG (KIB) B PERALATAN DAN MESIN Tahun 1900 sd Tahun 2017

Kode Barang Asal-usul Cara Nomor Bahan Nomor Register Merk / Type Ukuran /cc Nama Barang /.

ANALISIS FAKTOR – FAKTOR YANG MEMPENGARUHI KEBIJAKAN DIVIDEN PADA PERUSAHAAN CONSUMER GOODS INDUSTRY YANG TERDAFTAR DI BURSA EFEK INDONESIA TAHUN 2009-2012

Kebijakan dividen perusahaan tergambar pada Dividend Payout Ratio- nya yaitu persentase laba yang dibagikan dalam bentuk dividen tunai, artinya besar kecilnya Dividen

Badan Kepegawaian dan Diklat - SOP 2017 - SOP BKPP 2017 SOP mutasi2 2017

4 Kabid segera menindaklanjuti dan membuatkan surat pengantar pengajuan penerbitan SK PWK kepada Kepala BKN yg diparaf oleh Sekretaris Berkas permo honan dan surat

Instrumentasi dan Sistem kontrol loop

Instrumentasi adalah peralatan yang digunakan dalam pengukuran dan pengendalian suatu proses agar nilai suatu variabel sesuai dengan yang

PENGARUH BUDAYA ORGANISASI DAN FUNGSI KEPEMIMPINAN TERHADAP KINERJA PERAWAT PELAKSANA DI RUMAH SAKIT UMUM SWADANA DAERAH TARUTUNG SKRIPSI

Penelitian ini merupakan penelitian survei dengan pendekatan eksplanatori yang bertujuan untuk menganalisis pengaruh budaya organisasi (disiplin, inisiatif, komunikasi,

PENGONTROLAN LAMPU UNTUK MENGHEMAT LISTRIK DENGAN MENGGUNAKAN PASSIVE INFRARED (PIR)

Maka dari itu, tujuan dari pembuatan skripsi yang berjudul pengontrol lampu untuk menghemat listrik dengan menggunakan passive infrared adalah merancang sistem

STUDI KELONGSORAN PADA LERENG TERBEBANI SILO DENGAN SSR-FEM PADA LOKASI SINAR MAS AGRO RESOURCE - SUNGAI BUAYA MILL LAMPUNG

Beban silo yang bekerja relatif dekat dengan tepi lereng telah menyebabkan arah pergerakan tanah pada Gambar 4, bergerak dari dasar pondasi langsung menuju ke lereng bagian

Standar Laboratorium KEPERAWATAN. Pendidikan Tenaga Kesehatan

Alat-alat seperti ini disimpan berkelompok berdasarkan jenis alat, seperti tabung reaksi, gelas kimia, labu (seperti Erlenmeyer dan labu didih), corong, buret dan pipet,

Image