Pendahuluan
Pada kesempatan kali ini saya akan
membahas tentang Aspek Hukum dan Keamanan Web, secara garis besar aspek humum
adalah peraturan dan undang-undang yang berkaitan tentang pengolaan indormasi
dan traksaksi elektronik sedangkan Keamanan Web berkaitan dengan keamanan dari
sisi aplikasi, dari sisi server dan keamanan dari sisi infrasuktur.
Aspek Hukum
Indonesia sebagai negara hukum
memiliki banyak sekali peraturan dan undang – undang. Salah satu undang –
undangnya adalah UU No. 11 Tahun 2008 Tentang Informasi dan Transaksi
Elektronik. Undang – undang tersebut biasa disebut dengan UU ITE. Undang – undang
ini mengatur tentang pengelolaan informasi dan transaksi elektronik. Website
yang berisi informasi (blog dan website) juga tak jarang pula yang berisi
dengan transaksi elektronik (e-commerce).
Berikut ini adalah pasal yang mengatur aspek hukum mengenai website :
NAMA DOMAIN, HAK
KEKAYAAN INTELEKTUAL
DAN PERLINDUNGAN HAK PRIBADI
|
|||||
Pasal 23
|
|||||
(1)
|
Setiap penyelenggara negara, Orang, Badan Usaha,
dan/atau masyarakat berhak memiliki Nama Domain berdasarkan prinsip pendaftar
pertama.
|
||||
(2)
|
Pemilikan dan penggunaan Nama Domain sebagaimana
dimaksud pada ayat (1) harus didasarkan pada iktikad baik, tidak melanggar
prinsip persaingan usaha secara sehat, dan tidak melanggar hak Orang lain.
|
||||
(3)
|
Setiap penyelenggara negara, Orang, Badan Usaha,
atau masyarakat yang dirugikan karena penggunaan Nama Domain secara tanpa hak
oleh Orang lain, berhak mengajukan gugatan pembatalan Nama Domain dimaksud.
|
||||
Pasal 24
|
|||||
(1)
|
Pengelola Nama Domain adalah Pemerintah dan/atau
masyarakat.
|
||||
(2)
|
Dalam hal terjadi perselisihan pengelolaan Nama
Domain oleh masyarakat, Pemerintah berhak mengambil alih sementara
pengelolaan Nama Domain yang diperselisihkan.
|
||||
(3)
|
Pengelola Nama Domain yang berada di luar wilayah
Indonesia dan Nama Domain yang diregistrasinya diakui keberadaannya sepanjang
tidak bertentangan dengan Peraturan Perundang-undangan.
|
||||
(4)
|
Ketentuan lebih lanjut mengenai pengelolaan Nama
Domain sebagaimana dimaksud pada ayat (1), ayat (2), dan ayat (3) diatur
dengan Peraturan Pemerintah.
|
||||
Pasal 25
|
|||||
Informasi Elektronik dan/atau Dokumen Elektronik
yang disusun menjacli karya intelektual, situs internet, dan karya
intelektual yang ada di dalamnya dilindungi sebagai Hak Kekayaan Intelektual
berdasarkan ketentuan Peraturan Perundang-undangan.
|
|||||
Pasal 26
|
|||||
(1)
|
Kecuali ditentukan lain oleh Peraturan
Perundang-undangan, penggunaan setiap informasi melalui media elektronik yang
menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang
bersangkutan.
|
||||
(2)
|
Setiap Orang yang dilanggar haknya sebagaimana
dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang
ditimbulkan berdasarkan Undang-Undang ini.
|
||||
BAB VII
PERBUATAN YANG DILARANG |
|||||
Pasal 27
|
|||||
(1)
|
Setiap Orang dengan sengaja dan tanpa hak
mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya
Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan yang
melanggar kesusilaan.
|
||||
(2)
|
Setiap Orang dengan sengaja dan tanpa hak
mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya
Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan
perjudian.
|
||||
(3)
|
Setiap Orang dengan sengaja dan tanpa hak
mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya
Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan
penghinaan dan/atau pencemaran nama baik.
|
||||
(4)
|
Setiap Orang dengan sengaja dan tanpa hak
mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya
Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan
pemerasan dan/atau pengancaman.
|
||||
Pasal 28
|
|||||
(1)
|
Setiap Orang dengan sengaja dan tanpa hak
menyebarkan berita bohong dan menyesatkan yang mengakibatkan kerugian
konsumen dalam Transaksi Elektronik.
|
||||
(2)
|
Setiap Orang dengan sengaja dan tanpa hak
menyebarkan informasi yang ditujukan untuk menimbulkan rasa kebencian
atau permusuhan individu dan/atau kelompok masyarakat tertentu berdasarkan
atas suku, agama, ras, dan antargolongan (SARA).
|
||||
Pasal 29
|
|||||
Setiap Orang dengan sengaja dan tanpa hak
mengirimkan Informasi Elektronik dan/atau Dokumen Elektronik yang berisi
ancaman kekerasan atau menakut-nakuti yang ditujukan secara pribadi.
|
|||||
Pasal 30
|
|||||
(1)
|
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum mengakses Komputer dan/atau. Sistem Elektronik milik Orang lain
dengan cara apa pun.
|
||||
(2)
|
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa
pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen
Elektronik.
|
||||
(3)
|
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa
pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.
|
||||
Pasal 31
|
|||||
(1)
|
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan intersepsi atau penyadapan atas Informasi Elektronik
dan/atau Dokumen Elektronik dalam suatu Komputer dan/atau Sistem Elektronik
tertentu milik Orang lain.
|
||||
(2)
|
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan intersepsi atas transmisi Informasi Elektronik
dan/atau Dokumen Elektronik yang tidak bersifat publik dari, ke, dan di dalam
suatu Komputer dan/atau Sistem Elektronik tertentu milik Orang lain, baik
yang tidak menyebabkan perubahan apa pun maupun yang menyebabkan adanya
perubahan, penghilangan, dan/atau penghentian Informasi Elektronik dan/atau
Dokumen Elektronik yang sedang ditransmisikan.
|
||||
(3)
|
Kecuali intersepsi sebagaimana dimaksud pada ayat
(1) dan ayat (2), intersepsi yang dilakukan dalam rangka penegakan hukum atas
permintaan kepolisian, kejaksaan, dan/atau institusi penegak hukum lainnya
yang ditetapkan berdasarkan undang-undang.
|
||||
(4)
|
Ketentuan lebih lanjut mengenai tata cara
intersepsi sebagaimana dimaksud pada ayat (3) diatur dengan Peraturan
Pemerintah.
|
||||
Pasal 32
|
|||||
(1)
|
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan
transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu
Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik
publik.
|
||||
(2)
|
Setiap Orang dengan sengaja dan tanpa hak atau melawan
hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik
dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak
berhak.
|
||||
(3)
|
Terhadap perbuatan sebagaimana dimaksud pada ayat
(1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen
Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan
keutuhan data yang tidak sebagaimana mestinya.
|
||||
Pasal 33
|
|||||
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan tindakan apa pun yang berakibat terganggunya Sistem
Elektronik dan/atau mengakibatkan Sistem Elektronik menjadi tidak bekerja
sebagaimana mestinya.
|
|||||
Pasal 34
|
|||||
(1)
|
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum memproduksi, menjual, mengadakan untuk digunakan, mengimpor,
mendistribusikan, menyediakan, atau memiliki:
|
||||
a.
|
perangkat keras atau perangkat lunak Komputer yang
dirancang atau secara khusus dikembangkan untuk memfasilitasi perbuatan
sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 33;
|
||||
b.
|
sandi lewat Komputer, Kode Akses, atau hal yang
sejenis dengan itu yang ditujukan agar Sistem Elektronik menjadi dapat
diakses dengan tujuan memfasilitasi perbuatan sebagaimana dimaksud dalam
Pasal 27 sampai dengan Pasal 33.
|
||||
(2)
|
Tindakan sebagaimana dimaksud pada ayat (1) bukan
tindak pidana jika ditujukan untuk melakukan kegiatan penelitian, pengujian
Sistem Elektronik, untuk perlindungan Sistem Elektronik itu sendiri secara
sah dan tidak melawan hukum.
|
||||
Pasal 35
|
|||||
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan,
pengrusakan Informasi Elektronik dan/atau Dokumen Elektronik dengan tujuan
agar Informasi Elektronik dan/atau Dokumen Elektronik tersebut dianggap
seolah-olah data yang otentik.
|
|||||
Pasal 36
|
|||||
Setiap Orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan perbuatan sebagaimana dimaksud dalam Pasal 27 sampai
dengan Pasal 34 yang mengakibatkan kerugian bagi Orang lain.
|
|||||
Pasal 37
|
|||||
Setiap Orang dengan sengaja melakukan perbuatan yang
dilarang sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 36 di luar
wilayah Indonesia terhadap Sistem Elektronik yang berada di wilayah
yurisdiksi Indonesia.
|
|||||
Jenis Keamanan WEB
Ada beberapa cara untuk
mengamankan web anda dari serangan. Disini saya akan membagi menjadi 3 sisi
keamanan untuk mengantisipasinya.
1. Keamanan dari sisi
Aplikasi
- Enkripsi Password Ada beberapa jenis enkripsi yang bisa di pakai yaitu MD2, MD4, MD5, SHA, RC4, Base64.
- Memaksa user menggunakan password dengan benar Aplikasi web mengharuskan penggunanya menggunakan password dengan benar yaitu, min panjang 9 karakter, kombinasi huruf angka dan simbol, kombinasi huruf besar dan kecil.
- Kali percobaan User didisable Untuk menghidari brute force bisa digunakan dengan cara apabila sudah 3 kali percobaan input password maka user aja di disable. Peggunaan Captca Captca digunakan jika yang menginput password tersebut merupakan manusia bukan komputer.
- Keyboard Virtual Penggunaan virtual untuk menghindari ada keylogger- Sanitasi Input User Untuk menghindari ada input kode-kode HTML maupun JavaScipt yang dapat membahayakan aplikasi web.
2. Keamanan dari sisi
Server
- Update Server Hal ini sangatlah penting karena server-server lama sudah memiliki celah yang sudah tersebar di internet sehingga harus dilakukan update terbaru yang telah menambal celah yang ada.
- HTTPS Mengarahkan semua ke http ke https karena https menjamin autentukasi server, kerahasiaan data, dan integritas data.
3. Keamanan dari sisi
Infrastruktur
- Firewall Traffic jaringan yang dianggap tidak aman dapat langsung diblok di level ini sehingga dapat menghindari serangan sampai level aplikasi. sumber : http://en.wikipedia.org/wiki/Firewall_(computing) .
Poin-poin penting dalam keamanan web
1. Remote File Inklusi (RFI)
Remote File Inklusi (RFI) adalah jenis
kerentanan paling sering ditemukan di situs Web, memungkinkan penyerang untuk
menyertakan file jarak jauh yang biasanya melalui sebuah script di server web.
Kerentanan terjadi karena penggunaan input yang diberikan pengguna tanpa
validasi yang tepat. Hal ini dapat mengakibatkan sesuatu yang minimal keluaran
isi file, tetapi tergantung pada beratnya, untuk daftar beberapa itu bisa
mengarah pada: * Kode eksekusi pada server web
* Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan lain seperti situs cross scripting (XSS).
* Denial of Service (DoS)
* Pencurian Data / Manipulasi
Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem, yang paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian besar kerentanan dapat dikaitkan dengan programmer pemula tidak akrab dengan semua kemampuan bahasa pemrograman PHP. Bahasa PHP memiliki direktif allow_url_fopen dan jika diaktifkan memungkinkan fungsi filesystem untuk menggunakan URL yang memungkinkan mereka untuk mengambil data dari lokasi terpencil. Seorang penyerang akan mengubah variabel yang dilewatkan ke salah satu fungsi-fungsi ini menyebabkan itu untuk memasukkan kode berbahaya dari sumber daya remote. Untuk mengatasi ini, semua input pengguna harus divalidasi sebelum digunakan.
2. Local File Inclusion (LFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
3. SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL.
4. Cross Site Scripting (XSS)
Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien ke dalam halaman web dilihat oleh pengguna lain. Sebuah kerentanan dieksploitasi scripting lintas situs dapat digunakan oleh penyerang untuk mem-bypass akses kontrol seperti kebijakan asal-usul yang sama. Cross-site scripting dilakukan di situs Web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan oleh Symantec pada 2007. Dampak beragam, mulai dari gangguan kecil dengan risiko keamanan yang signifikan, tergantung pada kepekaan data ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan dilaksanakan oleh pemilik situs.
lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada konten web oleh browser modern. Dengan mencari cara suntik script jahat ke dalam halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas nama pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus injeksi kode.
Daftar Pustaka :
- Republik Indonesia, UU No. 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik.
- Huda, Muhammad K.2014.Tips Keamanan Aplikasi Web PHP & MySQL.
- http://mkhuda.com/web/tips-keamanan-aplikasi-web-php-mysql/.
- Satriadi, Bayu Aji.2012.Keamanan WEB. http://www.unpas.ac.id/keamanan-web/.
- http://www.sentranet.co.id/component/content/article/45-tips-a-trik/123-poin-poin-penting-dalam-keamanan-web.html
