Rabu, 20 Maret 2013

Tips Keamanan Website


Tips Keamanan Website

Tips Keamanan Website
Website pada umunya merupakan sebuah media informasi yang bisa secara bebas diakses siapa saja terlepas dari website tersebut memiliki data informasi yang penting atau hanya sekedar informasi biasa, jika Anda merasa bahwa keseluruhan isi webiste Anda merupakan hal yang peka maka sebaiknya Anda harus sudah mulai memikirkan untuk menjaganya dari hal-hal yang tidak Anda inginkan.
Berikut adalah tips keamanan website sederhana yang bisa Anda praktekan secara mudah.
* Selalu lakukan Update, melakukan update Web dengan versi terbaru adalah salah satu cara paling sederhana dan merupakan satu langkah didepan bagi para hacker, dengan men-download versi terbaru dari Windows, Linux, WordPress, joomla dan platform antivirus dll akan membuat aplikasi atau website Anda cukup tangguh, dengan begitu, hacker tidak akan repot-repot dengan situs Anda dan ada kemungkinan beralih ke beberapa situs lain yang pemiliknya belum sewaspada seperti Anda.
* Gunakan password yang kuat, sudah waktunya Anda kini membuat password gabungan dari huruf dan angka serta karkater spesial jangan lagi menggunakan password nama pasangan atau tanggal lahir seperti jaman dulu jangan juga mengambil password dengan kata-kata yang ada dikamus.
* Periksa file atau folder permision, Apakah Anda tahu file dan folder permissions website Anda mempunyai permision seperti apa ? terkadang beberapa aplikasi ketika menginstall memerlukan file permision 777, segera rubah permision tersebut ke maksimal 777 untuk folder dan 644 untuk file.
* Periksa link yang Ada di situs Web Anda, apakah Anda benar-benar tahu persis link situs yang terhubung ke situs Web Anda sendiri? menurut para ahli, apa yang disebut “pengalihan terbuka” adalah penyebab utama untuk serangan yang dilakukan melalui browser.
* Gunakan SSL ( Secure Socket Layer ) yang merupakan authentikasi akhir dan privasi komunikasi di Internet menggunakan cryptography sehingga transfer file lebih aman karena di encrypt.
Pastikan Web Host Anda Berjalan di suPHP, adalah alat untuk mengeksekusi script PHP dengan izin dari pemiliknya, Ini terdiri dari sebuah modul Apache (mod_suphp) dan akar setuid biner (suPHP) yang disebut oleh modul Apache untuk mengubah uid dari proses menjalankan interpreter PHP.
* Jika situs Web Anda adalah sama seperti kehidupan Anda coba pertimbangkan menggunakan minimal VPS, sebuah VPS secara inheren lebih aman karena terpisah dari situs lain, dan Anda dapat membuat custom firewall dan menginstal berapa langkah-langkah keamanan lain yang tidak diberikan pihak penyedia hosting untuk shraed hosting, pada dasarnya, VPS memungkinkan Anda untuk mengambil peran lebih aktif dalam keamanan situs Web AndaBAB 11
Keamanan WEB
11.1 Pendahuluan
Pembahasan tentang web programming belum lengkap apabila belum mempelajari tentang keamanan dalam aplikasi. Fasilitas yang melimpah, fungsi yang sangat banyak tidak akan berarti apabila aplikasi kita gagal dalam hal pengamanan data.
Pada bab ini, kita akan mempelajari bagaimana mengamankan komunikasi antara server dan client melalui SSL. Kita juga akan mempelajari tentang 10 celah keamanan pada aplikasi web dan mempelajari bagaimana cara menanggulanginya.
11.2 SSL
SSL telah menjadi standar de facto pada komunitas untuk mengamankan komunikasi antara client dan server. Kepanjangan dari SSL adalah Secure Socket Layer; SSL adalah sebuah layer protocol yang berada antara layer TCP/IP standar dengan protocol di atasnya yaitu application-level protocol seperti HTTP. SSL mengijinkan server untuk melakukan autentikasi dengan client dan selanjutnya mengenkripsi komunikasi.
Pembahasan tentang operasi SSL pada bab ini bertujuan agar kita mengetahui penggunaan teknologi ini untuk mengamankan komunikasi antara server dengan client.
11.2.1 Mengaktifkan SSL pada aplikasi.
Untuk mengetahui keuntungan SSL pada aplikasi, kita perlu melakukan konfigurasi server untuk menerima koneksi SSL. Pada servlet container yang berbeda akan berbeda pula cara untuk melakukannya. Disini kita akan belajar tentang melakukan konfigurasi Sun Application Server 8.1
11.2.2 Certificates
Salah satu bagian yang perlu kita konfigurasi untuk membangun komunikasi SSL pada server adalah sebuah security certificate. Bisa kita bayangkan sebuah certificate dalam hal ini seperti sebuah pasport : dimana memiliki informasi-informasi penting pemilik yang bisa diketahui oleh orang lain. Sertifikat tersebut biasanya disebarkan oleh Certification Authorities (CA). Sebuah CA mirip seperti passport office : dimana CA bertugas untuk melakukan validasi sertifikat pemilik dan menandai sertifikat agar tidak dapat dipalsukan.
Sampai saat ini sudah banyak Certification Authorities yang cukup terkenal, salah satunya adalah Verisign. Menentukan pemilihan CA adalah tanggung jawab atau wewenang dari seorang admin untuk memberikan sebuah sertifikat keamanan yang berlaku pada server.
Keamanan Web 1
J.E.N.I
Apabila pada suatu kasus ditemukan tidak adanya certificate dari CA, sebuah certificate temporer (sementara) dapat dibuat menggunakan tools dari Java 1.4 SDK. Perlu Anda catat bahwa client biasanya tidak melanjutkan transaksi yang memerlukan tingkat kemanan yang tinggi dan menemukan bahwa certificate yang digunakan adalah certificate yang kita buat.
11.2.3 Membuat certificate private key
Untuk menyederhanakan permasalahan ini, akan lebih mudah bila dengan melakukan operasi dimana certificate disimpan. Hal ini dapat ditemukan do direktori %APP_SERVER_HOME%/domains/domain1/config.
Buka directory menggunakan command line. Selanjutanya panggil command berikut ini:
keytool -genkey -alias keyAlias
-keyalg RSA -keypass keypassword
-storepass storepassword
-keystore keystore.jks
• keyAlias – adalah alias atau ID dimana certificate ini akan menunjuk kepada siapa.
• keypassword – adalah password untuk private key yang digunakan dalam proses enkripsi.
• storepassword – adalah password yang digunakan untuk keystore.
Dalam hal ini mungkin sedikit membingungkan dimana dibutuhkan dua password untuk membuat sebuah certificate. Untuk mengatasinya, bisa kita ingat bahwa key yang dimasukkan disebut juga keystore. Keystore dapat menyimpan satu atau beberapa key. Keypassword merupakan password dari private key yang akan digunakan pada certificate, sedangkan storepassword merupakan password dari key yang ada di dalam keystore. Pada direktori yang sedang kita operasikan sudah memiliki sebuah keystore file dengan sebuah password, sehingga kita perlu menset nilai storepass menjadi : changeit.
Password ini dapat diganti menggunakan keytool seperti ini:
keytool -keystore keystore.jks -storepass newPassword
11.2.4 Membuat cerificate
Setelah kita selesai membuat key yang akan digunakan oleh ceritificate sekarang kita dapat membuat file certificate itu sendiri:
keytool -export -alias keyAlias
-storepass storepassword
-file certificateFileName
-keystore keystore.jks
Pada baris diatas dijelaskan bahwa keytool digunakan untuk membuat certificate file menggunakan private key yang disebut juga keyAlias yang berada pada keystore.
Keamanan Web 2
J.E.N.I
11.2.5 Mengatur certificate
Agar aplikasi server dapat mengenali certificate yang sudah kita buat, kita perlu menambahkannya pada daftar dari trusted certificates. Server memiliki file bernama cacerts.jks yang di dalamnya terdapat certificates. Kita dapat menambahkan certificate kita dengan menggunakan keytool berikut ini:
keytool -import -v -trustcacerts -alias keyAlias -file certificateFileName -keystore cacerts.jks -keypass keypassword
11.2.6 Membuat secure HTTP listener
Setelah kita sudah berhasil membuat certificate dan meregisternya untuk aplikasi server, sekarang kita akan membuat sebuah HTTP listener yang dapat digunakan untuk membuat komunikasi yang aman.
Untuk melakukannya, langkah pertama login ke administration console. Selanjutnya klik tab Configuration dan buka HTTP Service :
Keamanan Web 3
J.E.N.I
Selanjutnya, klik pada HTTP Listener, dan pada kolom kanan klik tombol New.
Keamanan Web 4
J.E.N.I
Pada screen diatas merupakan hasil dari klik dari New button dengan disertai contoh nilai yang sudah terisi.
Lakukan restart pada server. Konfigurasi baru kita dapat kita coba dengan mengakases alamat :
https://serverAddress:listenerPort/index.html
Untuk dapat menggunakan komunikasi yang aman antara client dan server, lakukan redirect pada user ke secure listener port ketika mengakses aplikasi Anda. Keamanan Web 5
J.E.N.I
11.3 10 Celah keamanan pada aplikasi web
Open Web Application Security Project (OWASP) adalah project open source yang dibangun untuk menemukan penyebab dari tidak amannya sebuah software dan menemukan cara menanganinya. Ada 10 celah kemanan aplikasi web yang ditemukan dan rekomendasi mereka tentang menanganinya sebagai sebuah standard keamanan minimal dari aplikasi web.
Berikut ini adalah 10 celah tersebut dan cara agar kita dapat mengatasi masalah tersebut.
I. Unvalidated input
Semua aplikasi web menampilkan data dari HTTP request yang dibuat oleh user dan menggunakan data tersebut untuk melakukan operasinya. Hacker dapat memanipulasi bagian-bagian pada request (query string, cookie information, header) untuk membypass mekanisme keamanan.
Berikut ini tiga jenis penyerangan yang berhubungan dengan masalah ini:
• Cross site scripting
• Buffer overflows
• Injection flaws
Ada beberapa hal yang dapat dicatat ketika menangani validasi pada aplikasi kita. Pertama, adalah tidak baik pada aplikasi web untuk percaya pada client side scripting. Script tersebut biasanya menghentikan form submission apabila terdapat sebuah input yang salah. Akan tetapi, script tersebut tidak dapat mencegah hacker untuk membuat HTTP requestnya sendiri yang terbebas dari form. Menggunakan client side validation masih bisa membuat aplikasi web yang mudah diserang.
Kedua, beberapa aplikasi menggunakan pendekatan "negative" (negative approach) pada validasinya : Aplikasi mencoba mendeteksi jika terdapat elemen yang berbahaya pada request parameter. Masalah dari jenis pendekatan ini adalah hanya bisa melindungi dari beberapa serangan yaitu : hanya serangan yang dikenali oleh validation code yang dicegah. Ada banyak cara dimana hacker dapat membypass keamanan dari unvalidated input; Masih ada kemungkinan dimana cara yang baru tidak dikenali oleh aplikasi dapat membypass validasi dan melakukan perusakan. Adalah cara yang lebih baik untuk menggunakan pendekatan "positive" (positive approach) yaitu : membatasi sebuah format atau pola untuk nilai yang diijinkan dan memastikan input tersebut sesuai dengan format tersebut.
II. Broken Access Control
Banyak aplikasi yang mengkategorikan user-usernya ke dalam role yang berbeda dan level yang berbeda untuk berinteraksi dengan content yang dibedakan dari kategori-kategori tersebut. Salah satu contohnya, banyak aplikasi yang terdapat user role dan admin role : hanya admin role yang diijinkan untuk mengakses halaman khusus atau melakukan action administration.
Masalahnya adalah beberapa aplikasi tidak efektif untuk memaksa agar otorisasi ini bekerja. Contohnya, beberapa program hanya menggunakan sebuah checkpoint dimana hanya user yang terpilih yang dapat mengakses : untuk proses lebih lanjut, user harus membuktikan dirinya terotorisasi dengan menggunakan user name dan password. Akan tetapi, Mereka tidak menjalankan pengecekan dari checkpoint sebelumnya : dimana apabila user berhasil melewati halaman login, mereka dapat bebas menjalankan operasi.
Keamanan Web 6
J.E.N.I
Masalah lain yang berhubungan dengan access control adalah:
• Insecure Ids – Beberapa site menggunakan id atau kunci yang menunjuk kepada user atau fungsi. ID dapat juga ditebak, dan jika hacker dapat mudah menebak ID dari user yang terautorisasi, maka site akan mudah diserang.
• File permissions – Kebanyakan web dan aplikasi server percaya kepada external file yang menyimpan daftar dari user yang terotorisasi dan resources mana saja yang dapat dan/atau tidak dapat diakses. Apabila file ini dapat dibaca dari luar, maka hacker dapat memodifikasi dengan mudah untuk menambahkan dirinya pada daftar user yang diijinkan.
Langkah-langkah apa saja yang dapat dilakukan untuk mengatasinya? Pada contoh-contoh tadi, kita dapat mengembangkan filter atau komponen yang dapat dijalankan pada sensitive resources. Filter atau komponen tadi dapat menjamin hanya user yang terotorisasi dapat mengakases. Untuk melindungi dari insecure Ids, kita harus mengembangkan aplikasi kita agar tidak percaya pada kerahasiaan dari Ids yang dapat memberi access control. Pada masalah file permission, file-file tersebut harus berada pada lokasi yang tidak dapat diakses oleh web browser dan hanya role tertentu saja yang dapat mengaksesnya.
III. Broken Authentication dan Session Management
Authentication dan session management menunjuk kepada semua aspek dari pengaturan user authentikasi dan management of active session. Berikut ini beberapa hal yang perlu diperhatikan :
• Password strength – Aplikasi kita harus memberikan level minimal dari keamanan sebuah password, dimana dapat dilihat dengan cara melihat panjang dari password dan kompleksitasnya. Contohnya sebuah aplikasi dimana terdapat user baru yang akan mendaftar : aplikasi tidak mengijinkan password dengan panjang 3-4 karakter atau kata-kata simpel yang dapat mudah ditebak oleh hacker.
• Password use – Aplikasi kita harus membatasi user yang mengakses aplikasi melakukan login kembali ke sistem pada tenggang waktu tertentu. Dengan cara ini aplikasi dapat dilindungi dari serangan brute force dimana hacker bisa menyerang berulang kali untuk berhasil login ke sistem. Selain itu, log in yang gagal sebaiknya dicatat sebagai informasi kepada administrator untuk mengindikasikan kemungkinan serangan yang terjadi.
• Password storage – password tidak boleh disimpan di dalam aplikasi. Password harus disimpan dalam format terenkripsi dan disimpan di file lain seperti file database atau file password. Hal ini dapat memastikan bahwa informasi yang sensitif seperti password tidak disebarkan ke dalam aplikasi.
Issue lain yang berhubungan : password tidak boleh dalam bentuk hardcoded di dalam source code.
• Session ID Protection – server biasanya menggunakan session Id untuk mengidentifikasi user yang masuk ke dalam session. Akan tetapi jika session ID ini dapat dilihat oleh seseorang pada jaringan yang sama, orang tersebut dapat menjadi seorang client.
Salah satu cara yang dapat digunakan untuk mencegah terlihatnya session ID oleh seseorang pada suatu jaringan yang sama adalah menghubungkan komunikasi antara sever dan client pada sebuah SSL-protected channel.
Keamanan Web 7
J.E.N.I
IV.Cross site scripting
Cross site scripting terjadi ketika seseorang membuat aplikasi web melalui script ke user lain. Hal ini dilakukan oleh penyerang dengan menambahkan content (seperti JavaScript, ActiveX, Flash) pada request yang dapat membuat HTML output yang dapat dilihat oleh user lain. Apabila ada user lain yang mengakses content tersebut, browser tidak mengetahui bahwa halaman tersebut tidak dapat dipercaya.
Cara yang bisa digunakan untuk mencegah serangan cross site scripting adalah dengan melakukan validasi data masuk dari user request (seperti header, cookie, user parameter, ...). Cara negative approach tidak digunakan : mencoba untuk memfilter active content merupakan cara yang tidak efektif.
V. Buffer overflows
Penyerang dapat menggunakan buffer overflows untuk merusak aplikasi web. Hal ini dilakukan karena penyerang mengirimkan request yang membuat server menjalankan kode-kode yang dikirimkan oleh penyerang.
Kelemahan buffer overflow biasanya sulit dideteksi dan sulit dilakukan oleh hacker. Akan tetapi penyerang masih bisa mencari kelemahan ini dan melakukan buffer overflow pada sebagian aplikasi web.
Terima kasih atas desain dari Java environment, dimana aplikasi yang berjalan pada J2EE server aman dari jenis serangan ini.
Untuk memastikan keamanan, cara yang paling baik adalah melakukan pengawasan apabila terdapat patch atau bug report dari produk server yang digunakan.
VI. Injection flaws
Salah satu kelemahan yang populer adalah injection flaw, dimana hacker dapat mengirimkan atau menginject request ke operating system atau ke external sumber seperti database.
Salah satu bentuknya adalah SQL injection. Berikut ini salah satu contoh dari SQL injection :
http://someServer/someApp/someAction?searchString=jedi
URL diatas akan memproses pencarian dengan kata kunci 'jedi'. Implementasi dimana tidak ada validasi input adalah seperti SQL code berikut ini :
select * from someTable where someField='value'
dimana value adalah nilai dari parameter searchString yang ada pada HTTP request.
Bagaimana jika, hacker melakukan input dari URL seperti ini :
http://someServer/someApp/someAction?searchString=jedi'%20AND%20true;
%20DROP%20DATABASE;'
Keamanan Web 8
J.E.N.I
SQL query yang terbentuk adalah seperti ini :
select * from someTable where someField='jedi' AND true; DROP DATABASE;''
Statement awal pasti akan diterima dimana terdapat klausa AND TRUE. Dan statement selanjutnya yaitu DROP DATABASE juga akan diekseskusi yang akan memberikan kerusakan pada aplikasi.
Serangan ini bisa mungkin terjadi karena input yang tidak divalidasi. Ada dua cara yang bisa dilakukan untuk mencegah serangan ini yaitu:
• Daripada menggunakan statement SELECT, INSERT, UPDATE dan DELETE statement, bisa dibuat fungsi yang melakukan hal serupa. Dengan menggunakan fungsi diharapkan ada pengamanan terhadap parameter. Selain itu dengan adanya fungsi, parameter yang masuk harus sama dengan tipe data dari parameter yang dideklarasikan.
• Hak akses dalam aplikasi juga harus dibatasi. Contohnya, jika aplikasi hanya bertujuan untuk melihat data, tidak perlu diberikan hak akses untuk melakukan INSERT, UPDATE atau DELETE. Jangan menggunakan account admin pada aplikasi web untuk mengakases database. Hal ini juga dapat meminimailkan serangan dari hacker.
VIII. Insecure storage
Aplikasi web biasanya perlu menyimpan informasi yang sensitif seperti password, informasi kartu kredit, dan yang lain. Dikarenakan item-item tersebut bersifat sensitif item-item tersebut perlu dienkripsi untuk menghindari pengaksesan secara langsung. Akan tetapi beberapa metode enkripsi masih lemah dan masih bisa diserang.
Berikut ini beberapa kesalahan yang sering terjadi :
• Kesalahan untuk mengenkripsi data penting
• Tidak amannya kunci, certificate, dan password
• Kurang amannya lokasi penyimpanan data
• Kurangnya penghitungan dari randomisasi
• Kesalahan pemilihan algoritma
• Mencoba untuk menciptakan algoritma enkripsi yang baru
Berdasarkan skenario berikut ini : Terdapat sebuah aplikasi, dimana terdapat password pada user object. Akan tetapi, aplikasi menyimpan user object ke dalam session setelah user login. Permasalahan yang akan muncul pada skenario ini adalah password dapat dilihat oleh seseorang yang dapat melihat session dari user tersebut.
Salah satu cara yang dilakukan untuk menghindari kesalahan penyimpanan informasi yang sensitif adalah : tidak membuat password sebagai atribut dari kelas yang mewakili informasi user; Daripada mengenkripsi nomor kartu kredit dari user, akan lebih baik untuk menanyakannya setiap kali dibutuhkan.
Selain itu, menggunakan algoritma enkripsi yang sudah ada akan lebih baik daripada membuat algoritma sendiri. Anda cukup memastikan algoritma yang akan digunakan telah diakui oleh public dan benar-benar dapat diandalkan. Keamanan Web 9
J.E.N.I
IX. Denial of Service
Denial of Service merupakan serangan yang dibuat oleh hacker yang mengirimkan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan. Dikarenakan request-request tersebut, server menjadi kelebihan beban dan tidak bisa melayani user lainnya.
Serangan DoS mampu menghabiskan bandwidth yang ada pada server. Selain itu dapat juga menghabiskan memory, koneksi database, dan sumber yang lain.
Pada umumnya sangat sulit untuk melindungi aplikasi dari serangan ini. Akan tetapi masih ada cara yang dapat dilakukan seperti membatasi resource yang dapat diakses user dalam jumlah yang minimal. Merupakan ide / cara yang bagus untuk membuat load quota yang membatasi jumlah load data yang akan diakses user dari sistem.
Salah satu contoh adalah pada implementasi bulletin board : adanya pembatasan user pada saat melakukan search, dimana operasi ini hanya dapat dilakukan setiap 20 detik. Dengan cara ini dapat dipastikan bahwa user tidak bisa menghabiskan koneksi dari database.
Solusi yang lain adalah mendesain aplikasi web dimana user yang belum terotorisasi hanya memiliki akses yang sedikit atau tidak memiliki akses ke content web yang berhubungan dengan database.
X. Insecure Configuration Management
Biasanya kelompok (group) yang mengembangkan aplikasi berbeda dengan kelompok yang mengatur hosting dari aplikasi. Hal ini bisa menjadi berbahaya, dikarenakan keamanan yang diandalkan hanya dari segi aplikasi : sedangakan dari segi server juga memiliki aspek keamanan yang perlu diperhatikan. Adanya kesalahan dari konfigurasi server dapat melewati aspek keamanan dari segi aplikasi.
Berikut ini adalah kesalahan konfigurasi server yang bisa menimbulkan masalah :
• Celah keamanan yang belum dipatch dari software yang ada pada server – administrator tidak melakukan patch software yang ada pada server.
• Celah keamanan server dimana bisa menampilkan list dari direktori atau juga serangan berupa directory traversal.
• File-file backup atau file contoh (sample file), file-file script, file konfigurasi yang tertinggal / tidak perlu.
• Hak akses direktori atau file yang salah.
• Adanya service yang seperti remote administration dan content management yang masih aktif.
• Penggunaan default account dan default password.
• Fungsi administrative atau fungsi debug yang bisa diakses.
• Adanya pesan error yang informatif dari segi teknis.
• Kesalahan konfigurasi SSL certificate dan setting enkripsi.
• Penggunaan self-signet certificates untuk melakukan autentikasi.
• Penggunaan default certificate.
• Kesalahan autentikasi dengan sistem eksternal. Keamanan Web 10BAB 11
Keamanan WEB
11.1 Pendahuluan
Pembahasan tentang web programming belum lengkap apabila belum mempelajari tentang keamanan dalam aplikasi. Fasilitas yang melimpah, fungsi yang sangat banyak tidak akan berarti apabila aplikasi kita gagal dalam hal pengamanan data.
Pada bab ini, kita akan mempelajari bagaimana mengamankan komunikasi antara server dan client melalui SSL. Kita juga akan mempelajari tentang 10 celah keamanan pada aplikasi web dan mempelajari bagaimana cara menanggulanginya.
11.2 SSL
SSL telah menjadi standar de facto pada komunitas untuk mengamankan komunikasi antara client dan server. Kepanjangan dari SSL adalah Secure Socket Layer; SSL adalah sebuah layer protocol yang berada antara layer TCP/IP standar dengan protocol di atasnya yaitu application-level protocol seperti HTTP. SSL mengijinkan server untuk melakukan autentikasi dengan client dan selanjutnya mengenkripsi komunikasi.
Pembahasan tentang operasi SSL pada bab ini bertujuan agar kita mengetahui penggunaan teknologi ini untuk mengamankan komunikasi antara server dengan client.
11.2.1 Mengaktifkan SSL pada aplikasi.
Untuk mengetahui keuntungan SSL pada aplikasi, kita perlu melakukan konfigurasi server untuk menerima koneksi SSL. Pada servlet container yang berbeda akan berbeda pula cara untuk melakukannya. Disini kita akan belajar tentang melakukan konfigurasi Sun Application Server 8.1
11.2.2 Certificates
Salah satu bagian yang perlu kita konfigurasi untuk membangun komunikasi SSL pada server adalah sebuah security certificate. Bisa kita bayangkan sebuah certificate dalam hal ini seperti sebuah pasport : dimana memiliki informasi-informasi penting pemilik yang bisa diketahui oleh orang lain. Sertifikat tersebut biasanya disebarkan oleh Certification Authorities (CA). Sebuah CA mirip seperti passport office : dimana CA bertugas untuk melakukan validasi sertifikat pemilik dan menandai sertifikat agar tidak dapat dipalsukan.
Sampai saat ini sudah banyak Certification Authorities yang cukup terkenal, salah satunya adalah Verisign. Menentukan pemilihan CA adalah tanggung jawab atau wewenang dari seorang admin untuk memberikan sebuah sertifikat keamanan yang berlaku pada server.
Keamanan Web 1
J.E.N.I
Apabila pada suatu kasus ditemukan tidak adanya certificate dari CA, sebuah certificate temporer (sementara) dapat dibuat menggunakan tools dari Java 1.4 SDK. Perlu Anda catat bahwa client biasanya tidak melanjutkan transaksi yang memerlukan tingkat kemanan yang tinggi dan menemukan bahwa certificate yang digunakan adalah certificate yang kita buat.
11.2.3 Membuat certificate private key
Untuk menyederhanakan permasalahan ini, akan lebih mudah bila dengan melakukan operasi dimana certificate disimpan. Hal ini dapat ditemukan do direktori %APP_SERVER_HOME%/domains/domain1/config.
Buka directory menggunakan command line. Selanjutanya panggil command berikut ini:
keytool -genkey -alias keyAlias
-keyalg RSA -keypass keypassword
-storepass storepassword
-keystore keystore.jks
• keyAlias – adalah alias atau ID dimana certificate ini akan menunjuk kepada siapa.
• keypassword – adalah password untuk private key yang digunakan dalam proses enkripsi.
• storepassword – adalah password yang digunakan untuk keystore.
Dalam hal ini mungkin sedikit membingungkan dimana dibutuhkan dua password untuk membuat sebuah certificate. Untuk mengatasinya, bisa kita ingat bahwa key yang dimasukkan disebut juga keystore. Keystore dapat menyimpan satu atau beberapa key. Keypassword merupakan password dari private key yang akan digunakan pada certificate, sedangkan storepassword merupakan password dari key yang ada di dalam keystore. Pada direktori yang sedang kita operasikan sudah memiliki sebuah keystore file dengan sebuah password, sehingga kita perlu menset nilai storepass menjadi : changeit.
Password ini dapat diganti menggunakan keytool seperti ini:
keytool -keystore keystore.jks -storepass newPassword
11.2.4 Membuat cerificate
Setelah kita selesai membuat key yang akan digunakan oleh ceritificate sekarang kita dapat membuat file certificate itu sendiri:
keytool -export -alias keyAlias
-storepass storepassword
-file certificateFileName
-keystore keystore.jks
Pada baris diatas dijelaskan bahwa keytool digunakan untuk membuat certificate file menggunakan private key yang disebut juga keyAlias yang berada pada keystore.
Keamanan Web 2
J.E.N.I
11.2.5 Mengatur certificate
Agar aplikasi server dapat mengenali certificate yang sudah kita buat, kita perlu menambahkannya pada daftar dari trusted certificates. Server memiliki file bernama cacerts.jks yang di dalamnya terdapat certificates. Kita dapat menambahkan certificate kita dengan menggunakan keytool berikut ini:
keytool -import -v -trustcacerts -alias keyAlias -file certificateFileName -keystore cacerts.jks -keypass keypassword
11.2.6 Membuat secure HTTP listener
Setelah kita sudah berhasil membuat certificate dan meregisternya untuk aplikasi server, sekarang kita akan membuat sebuah HTTP listener yang dapat digunakan untuk membuat komunikasi yang aman.
Untuk melakukannya, langkah pertama login ke administration console. Selanjutnya klik tab Configuration dan buka HTTP Service :
Keamanan Web 3
J.E.N.I
Selanjutnya, klik pada HTTP Listener, dan pada kolom kanan klik tombol New.
Keamanan Web 4
J.E.N.I
Pada screen diatas merupakan hasil dari klik dari New button dengan disertai contoh nilai yang sudah terisi.
Lakukan restart pada server. Konfigurasi baru kita dapat kita coba dengan mengakases alamat :
https://serverAddress:listenerPort/index.html
Untuk dapat menggunakan komunikasi yang aman antara client dan server, lakukan redirect pada user ke secure listener port ketika mengakses aplikasi Anda. Keamanan Web 5
J.E.N.I
11.3 10 Celah keamanan pada aplikasi web
Open Web Application Security Project (OWASP) adalah project open source yang dibangun untuk menemukan penyebab dari tidak amannya sebuah software dan menemukan cara menanganinya. Ada 10 celah kemanan aplikasi web yang ditemukan dan rekomendasi mereka tentang menanganinya sebagai sebuah standard keamanan minimal dari aplikasi web.
Berikut ini adalah 10 celah tersebut dan cara agar kita dapat mengatasi masalah tersebut.
I. Unvalidated input
Semua aplikasi web menampilkan data dari HTTP request yang dibuat oleh user dan menggunakan data tersebut untuk melakukan operasinya. Hacker dapat memanipulasi bagian-bagian pada request (query string, cookie information, header) untuk membypass mekanisme keamanan.
Berikut ini tiga jenis penyerangan yang berhubungan dengan masalah ini:
• Cross site scripting
• Buffer overflows
• Injection flaws
Ada beberapa hal yang dapat dicatat ketika menangani validasi pada aplikasi kita. Pertama, adalah tidak baik pada aplikasi web untuk percaya pada client side scripting. Script tersebut biasanya menghentikan form submission apabila terdapat sebuah input yang salah. Akan tetapi, script tersebut tidak dapat mencegah hacker untuk membuat HTTP requestnya sendiri yang terbebas dari form. Menggunakan client side validation masih bisa membuat aplikasi web yang mudah diserang.
Kedua, beberapa aplikasi menggunakan pendekatan "negative" (negative approach) pada validasinya : Aplikasi mencoba mendeteksi jika terdapat elemen yang berbahaya pada request parameter. Masalah dari jenis pendekatan ini adalah hanya bisa melindungi dari beberapa serangan yaitu : hanya serangan yang dikenali oleh validation code yang dicegah. Ada banyak cara dimana hacker dapat membypass keamanan dari unvalidated input; Masih ada kemungkinan dimana cara yang baru tidak dikenali oleh aplikasi dapat membypass validasi dan melakukan perusakan. Adalah cara yang lebih baik untuk menggunakan pendekatan "positive" (positive approach) yaitu : membatasi sebuah format atau pola untuk nilai yang diijinkan dan memastikan input tersebut sesuai dengan format tersebut.
II. Broken Access Control
Banyak aplikasi yang mengkategorikan user-usernya ke dalam role yang berbeda dan level yang berbeda untuk berinteraksi dengan content yang dibedakan dari kategori-kategori tersebut. Salah satu contohnya, banyak aplikasi yang terdapat user role dan admin role : hanya admin role yang diijinkan untuk mengakses halaman khusus atau melakukan action administration.
Masalahnya adalah beberapa aplikasi tidak efektif untuk memaksa agar otorisasi ini bekerja. Contohnya, beberapa program hanya menggunakan sebuah checkpoint dimana hanya user yang terpilih yang dapat mengakses : untuk proses lebih lanjut, user harus membuktikan dirinya terotorisasi dengan menggunakan user name dan password. Akan tetapi, Mereka tidak menjalankan pengecekan dari checkpoint sebelumnya : dimana apabila user berhasil melewati halaman login, mereka dapat bebas menjalankan operasi.
Keamanan Web 6
J.E.N.I
Masalah lain yang berhubungan dengan access control adalah:
• Insecure Ids – Beberapa site menggunakan id atau kunci yang menunjuk kepada user atau fungsi. ID dapat juga ditebak, dan jika hacker dapat mudah menebak ID dari user yang terautorisasi, maka site akan mudah diserang.
• File permissions – Kebanyakan web dan aplikasi server percaya kepada external file yang menyimpan daftar dari user yang terotorisasi dan resources mana saja yang dapat dan/atau tidak dapat diakses. Apabila file ini dapat dibaca dari luar, maka hacker dapat memodifikasi dengan mudah untuk menambahkan dirinya pada daftar user yang diijinkan.
Langkah-langkah apa saja yang dapat dilakukan untuk mengatasinya? Pada contoh-contoh tadi, kita dapat mengembangkan filter atau komponen yang dapat dijalankan pada sensitive resources. Filter atau komponen tadi dapat menjamin hanya user yang terotorisasi dapat mengakases. Untuk melindungi dari insecure Ids, kita harus mengembangkan aplikasi kita agar tidak percaya pada kerahasiaan dari Ids yang dapat memberi access control. Pada masalah file permission, file-file tersebut harus berada pada lokasi yang tidak dapat diakses oleh web browser dan hanya role tertentu saja yang dapat mengaksesnya.
III. Broken Authentication dan Session Management
Authentication dan session management menunjuk kepada semua aspek dari pengaturan user authentikasi dan management of active session. Berikut ini beberapa hal yang perlu diperhatikan :
• Password strength – Aplikasi kita harus memberikan level minimal dari keamanan sebuah password, dimana dapat dilihat dengan cara melihat panjang dari password dan kompleksitasnya. Contohnya sebuah aplikasi dimana terdapat user baru yang akan mendaftar : aplikasi tidak mengijinkan password dengan panjang 3-4 karakter atau kata-kata simpel yang dapat mudah ditebak oleh hacker.
• Password use – Aplikasi kita harus membatasi user yang mengakses aplikasi melakukan login kembali ke sistem pada tenggang waktu tertentu. Dengan cara ini aplikasi dapat dilindungi dari serangan brute force dimana hacker bisa menyerang berulang kali untuk berhasil login ke sistem. Selain itu, log in yang gagal sebaiknya dicatat sebagai informasi kepada administrator untuk mengindikasikan kemungkinan serangan yang terjadi.
• Password storage – password tidak boleh disimpan di dalam aplikasi. Password harus disimpan dalam format terenkripsi dan disimpan di file lain seperti file database atau file password. Hal ini dapat memastikan bahwa informasi yang sensitif seperti password tidak disebarkan ke dalam aplikasi.
Issue lain yang berhubungan : password tidak boleh dalam bentuk hardcoded di dalam source code.
• Session ID Protection – server biasanya menggunakan session Id untuk mengidentifikasi user yang masuk ke dalam session. Akan tetapi jika session ID ini dapat dilihat oleh seseorang pada jaringan yang sama, orang tersebut dapat menjadi seorang client.
Salah satu cara yang dapat digunakan untuk mencegah terlihatnya session ID oleh seseorang pada suatu jaringan yang sama adalah menghubungkan komunikasi antara sever dan client pada sebuah SSL-protected channel.
Keamanan Web 7
J.E.N.I
IV.Cross site scripting
Cross site scripting terjadi ketika seseorang membuat aplikasi web melalui script ke user lain. Hal ini dilakukan oleh penyerang dengan menambahkan content (seperti JavaScript, ActiveX, Flash) pada request yang dapat membuat HTML output yang dapat dilihat oleh user lain. Apabila ada user lain yang mengakses content tersebut, browser tidak mengetahui bahwa halaman tersebut tidak dapat dipercaya.
Cara yang bisa digunakan untuk mencegah serangan cross site scripting adalah dengan melakukan validasi data masuk dari user request (seperti header, cookie, user parameter, ...). Cara negative approach tidak digunakan : mencoba untuk memfilter active content merupakan cara yang tidak efektif.
V. Buffer overflows
Penyerang dapat menggunakan buffer overflows untuk merusak aplikasi web. Hal ini dilakukan karena penyerang mengirimkan request yang membuat server menjalankan kode-kode yang dikirimkan oleh penyerang.
Kelemahan buffer overflow biasanya sulit dideteksi dan sulit dilakukan oleh hacker. Akan tetapi penyerang masih bisa mencari kelemahan ini dan melakukan buffer overflow pada sebagian aplikasi web.
Terima kasih atas desain dari Java environment, dimana aplikasi yang berjalan pada J2EE server aman dari jenis serangan ini.
Untuk memastikan keamanan, cara yang paling baik adalah melakukan pengawasan apabila terdapat patch atau bug report dari produk server yang digunakan.
VI. Injection flaws
Salah satu kelemahan yang populer adalah injection flaw, dimana hacker dapat mengirimkan atau menginject request ke operating system atau ke external sumber seperti database.
Salah satu bentuknya adalah SQL injection. Berikut ini salah satu contoh dari SQL injection :
http://someServer/someApp/someAction?searchString=jedi
URL diatas akan memproses pencarian dengan kata kunci 'jedi'. Implementasi dimana tidak ada validasi input adalah seperti SQL code berikut ini :
select * from someTable where someField='value'
dimana value adalah nilai dari parameter searchString yang ada pada HTTP request.
Bagaimana jika, hacker melakukan input dari URL seperti ini :
http://someServer/someApp/someAction?searchString=jedi'%20AND%20true;
%20DROP%20DATABASE;'
Keamanan Web 8
J.E.N.I
SQL query yang terbentuk adalah seperti ini :
select * from someTable where someField='jedi' AND true; DROP DATABASE;''
Statement awal pasti akan diterima dimana terdapat klausa AND TRUE. Dan statement selanjutnya yaitu DROP DATABASE juga akan diekseskusi yang akan memberikan kerusakan pada aplikasi.
Serangan ini bisa mungkin terjadi karena input yang tidak divalidasi. Ada dua cara yang bisa dilakukan untuk mencegah serangan ini yaitu:
• Daripada menggunakan statement SELECT, INSERT, UPDATE dan DELETE statement, bisa dibuat fungsi yang melakukan hal serupa. Dengan menggunakan fungsi diharapkan ada pengamanan terhadap parameter. Selain itu dengan adanya fungsi, parameter yang masuk harus sama dengan tipe data dari parameter yang dideklarasikan.
• Hak akses dalam aplikasi juga harus dibatasi. Contohnya, jika aplikasi hanya bertujuan untuk melihat data, tidak perlu diberikan hak akses untuk melakukan INSERT, UPDATE atau DELETE. Jangan menggunakan account admin pada aplikasi web untuk mengakases database. Hal ini juga dapat meminimailkan serangan dari hacker.
VIII. Insecure storage
Aplikasi web biasanya perlu menyimpan informasi yang sensitif seperti password, informasi kartu kredit, dan yang lain. Dikarenakan item-item tersebut bersifat sensitif item-item tersebut perlu dienkripsi untuk menghindari pengaksesan secara langsung. Akan tetapi beberapa metode enkripsi masih lemah dan masih bisa diserang.
Berikut ini beberapa kesalahan yang sering terjadi :
• Kesalahan untuk mengenkripsi data penting
• Tidak amannya kunci, certificate, dan password
• Kurang amannya lokasi penyimpanan data
• Kurangnya penghitungan dari randomisasi
• Kesalahan pemilihan algoritma
• Mencoba untuk menciptakan algoritma enkripsi yang baru
Berdasarkan skenario berikut ini : Terdapat sebuah aplikasi, dimana terdapat password pada user object. Akan tetapi, aplikasi menyimpan user object ke dalam session setelah user login. Permasalahan yang akan muncul pada skenario ini adalah password dapat dilihat oleh seseorang yang dapat melihat session dari user tersebut.
Salah satu cara yang dilakukan untuk menghindari kesalahan penyimpanan informasi yang sensitif adalah : tidak membuat password sebagai atribut dari kelas yang mewakili informasi user; Daripada mengenkripsi nomor kartu kredit dari user, akan lebih baik untuk menanyakannya setiap kali dibutuhkan.
Selain itu, menggunakan algoritma enkripsi yang sudah ada akan lebih baik daripada membuat algoritma sendiri. Anda cukup memastikan algoritma yang akan digunakan telah diakui oleh public dan benar-benar dapat diandalkan. Keamanan Web 9
J.E.N.I
IX. Denial of Service
Denial of Service merupakan serangan yang dibuat oleh hacker yang mengirimkan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan. Dikarenakan request-request tersebut, server menjadi kelebihan beban dan tidak bisa melayani user lainnya.
Serangan DoS mampu menghabiskan bandwidth yang ada pada server. Selain itu dapat juga menghabiskan memory, koneksi database, dan sumber yang lain.
Pada umumnya sangat sulit untuk melindungi aplikasi dari serangan ini. Akan tetapi masih ada cara yang dapat dilakukan seperti membatasi resource yang dapat diakses user dalam jumlah yang minimal. Merupakan ide / cara yang bagus untuk membuat load quota yang membatasi jumlah load data yang akan diakses user dari sistem.
Salah satu contoh adalah pada implementasi bulletin board : adanya pembatasan user pada saat melakukan search, dimana operasi ini hanya dapat dilakukan setiap 20 detik. Dengan cara ini dapat dipastikan bahwa user tidak bisa menghabiskan koneksi dari database.
Solusi yang lain adalah mendesain aplikasi web dimana user yang belum terotorisasi hanya memiliki akses yang sedikit atau tidak memiliki akses ke content web yang berhubungan dengan database.
X. Insecure Configuration Management
Biasanya kelompok (group) yang mengembangkan aplikasi berbeda dengan kelompok yang mengatur hosting dari aplikasi. Hal ini bisa menjadi berbahaya, dikarenakan keamanan yang diandalkan hanya dari segi aplikasi : sedangakan dari segi server juga memiliki aspek keamanan yang perlu diperhatikan. Adanya kesalahan dari konfigurasi server dapat melewati aspek keamanan dari segi aplikasi.
Berikut ini adalah kesalahan konfigurasi server yang bisa menimbulkan masalah :
• Celah keamanan yang belum dipatch dari software yang ada pada server – administrator tidak melakukan patch software yang ada pada server.
• Celah keamanan server dimana bisa menampilkan list dari direktori atau juga serangan berupa directory traversal.
• File-file backup atau file contoh (sample file), file-file script, file konfigurasi yang tertinggal / tidak perlu.
• Hak akses direktori atau file yang salah.
• Adanya service yang seperti remote administration dan content management yang masih aktif.
• Penggunaan default account dan default password.
• Fungsi administrative atau fungsi debug yang bisa diakses.
• Adanya pesan error yang informatif dari segi teknis.
• Kesalahan konfigurasi SSL certificate dan setting enkripsi.
• Penggunaan self-signet certificates untuk melakukan autentikasi.
• Penggunaan default certificate.
• Kesalahan autentikasi dengan sistem eksternal. Keamanan Web 10v

Kamis, 14 Maret 2013

PENGGUNAAN WEBSITE


Penggunaan Website Sebagai Media Pemasaran

               Perkembangan zaman yang semakin hari semakin maju turut serta membawa berbagai perubahan dalam kehidupan kita. Penggunaan berbagai karya ilmu pengetahuan teknologi amat kita butuhkan di zaman modern seperti ini. Tidak dapat di pungkiti, kehadiran berbagai Gadget elekrtonik amat memudahkan kita dalam berbagai hal. Salah satunya adalah pemasaran suatu produk atau marketing. Dahulu, proses marketing dilakukan melalui media brosur, spanduk, dan berbagai media lainnya. Namun kemajuan teknologi menghadirkan solusi baru yang amat efisien yaitu adalah web marketing.  

                Menurut George E. Belch dan Michael A. Belch, dalam buku Advertising & Promotion: an IMC Perspective, 2007:8  mengemukakan definisi konsep pemasaran sebagai fungsi organisasi dan seperangkat proses untuk kreasi, komunikasi dan penyampaian nilai kepada para pelanggan dan mengelola hubungan pelanggan yang memberikan manfaat bagi organisasi dan para pemangku kepentingan (stakeholders) yang memiliki hubungan erat dengan organisasi.  Jadi, tujuan dari marketing sendiri adalah bagaimana cara memberikan penyampaian bagi pelanggan mengenai apa yang mereka butuhkan sebaik – baiknya. Media web marketing menyediakan semua yang dibutuhkan, mulai dari akses yang mudah, jangkauan yang tidak terbatas bahkan antar Negara, berbagai tampilan yang bias kita atur sedemkian rupa untuk menarik pelanggan, dll..  hal ini merupakan salah satu metode yang amat efisien dan bagus untuk dunia marketing. 


 
                Sekarang ini, mulai marak penggunaan web marketing ini.  Hal ini disebabkan oleh berbagai keuntungan yang telah disebutkan tadi. Untuk membuat web pemasaran sendiri juga tidaklah sulit. Sekarang ini banyak aplikasi – aplikasi yang amat memudahkan kita dalam membuat dan men-design website. Atau ada pula website yang memang menyediakan layanan untuk kita memasarkan produk kita (ex : E-bay, dll) sehingga dapat membantu kita dalam memeasarkan produk kita.

MANFAAT PENGGUNAAN INTERNET


APA ITU INTERNET . . . . . ?.?
Internet adalah jaringan komputer yang saling terhubung secara global yang memungkinkan pengguna internet saling bertukar informasi/data melalui jaringan tersebut. Internet adalah sistem komunikasi data berskala global, suatu infrastruktur yang terdiri dari hardware dan software yang menghubungkan komputer yang berada di jaringannya.

So, internet berbicara mengenai jaringan komputer yang terhubung dan saling berinteraksi satu sama lain dalam skala global.


APA DAMPAK POSITIF & NEGATIFNYA???
Apa sih dampak positif internet itu ??
1. Dapat menambah wawasan :
Kenapa sih dapat menambah wawasan ? karena dengan adanya internet ini kita dapat mencari informasi yang berkaitan dengan pelajaran-pelajaran yang ada di sekolah maupun dikampus yang kita tidak dapat mengetahui melalui guru maupun dosen. Dengan internet juga dapat membuka jalan pikiran kita agar lenih luas memandang dunia ini .
2. Mendapatkan banyak ide :
Kenapa banyak mendapatkan ide ? karena dengan internet kita dapat melihat profil-profil orang yang berhasil sehingga menimbulkan motivasi untuk kita menjadi seperti itu, sehingga timbullah ide untuk melakukan hal yang lebih dari orang tersebut.
3. Sarana komunikasi,
Kenapa sebagai sarana komunikasi ? karena dengan internet memungkinkan kita untuk saling berkomunikasi secara tak terbatas. Tidak terbatas ruang dan tempat, mungkin ini juga bisa dilakukan dengan handphone. Tentu saja, tetapi dengan jejaring sosial seperti Facebook, twitter di internet, memungkinkan kita untuk menemukan teman lama yang tidak pernah bertemu karena masalah tempat, menemukan teman-teman baru dari berbagai wilayah, bahkan menemukan informasi orang-orang kita ingin ketahui keberadaanya. Semua bisa dan mungkin dilakukan
di jejaring sosial, dan tanpa harus beranjak tempat.
4. Dapat menambah uang
Kenapa dapat menambah uang ? untuk sebagian kalangan muda ataupun tua banyak yang berbisnis melalui internet sehingga memudahkan usaha tanpa harus berpanas-panasan diluar rumah, atau bertatap muka secara langsung untuk terjadinya komunikasi antara pembeli dan penjual.
5. Harapan kedepan untuk internet
Semakin maju dan semakin luas saja cakupannya, semakin mudah lagi untuk diaksesnya , lebih bermanfaat ilmu pengetahuannya, lebih aman lagi untuk di akses anak-anak agar tidak terjadi penyalahgunaan internet .

Dan Apa dampak negatife internet???? . . .

  1. Pornografi Anggapan yang mengatakan bahwa internet identik dengan parnografi, memang tidak salah. Dengan kemampuan penyampaian informasi yang dimiliki internet, pornografi pun merajalela.Untuk mengantisipasi hal ini, para produsen ‘browser’ melengkapi program mereka dengan kemampuan untuk memilih jenis home-page yang dapat di-akses.Di internet terdapat gambar-gambar pornografi dan kekerasan yang bisa mengakibatkan dorongan kepada seseorang untuk bertindak kriminal
  2. Penipuan Hal ini memang merajalela di bidang manapun. Internet pun tidak luput dari serangan penipu.terutama pada bisnis online yang kadang merugikan konsumen karna barang yang di dapat tidak sesuai dengan permintaan. Cara yang terbaik adalah tidak mengindahkan hal ini atau mengkonfirmasi informasi yang Anda dapatkan pada penyedia informasi tersebut.
  3. Perjudian Dampak lainnya adalah meluasnya perjudian. Dengan jaringan yang tersedia, para penjudi tidak perlu pergi ke tempat khusus untuk memenuhi keinginannya. Anda hanya perlu menghindari situs seperti ini, karena umumnya situs perjudian tidak agresif dan memerlukan banyak persetujuan dari pengunjungnya.
  4. Mengurangi sifat sosial manusia karena cenderung lebih suka berhubungan lewat internet daripada bertemu secara langsung (face to face). Dari sifat sosial yang berubah dapat mengakibatkan perubahan pola masyarakat dalam berinteraksi.Kejahatan seperti menipu dan mencuri dapat dilakukan di internet (kejahatan juga ikut berkembang). Bisa membuat seseorang kecanduan, terutama yang menyangkut parnografi dan dapat menghabiskan uang karena hanya untuk melayani kecanduan t

                Tentu hal ini harus dilandasi dengan rasa tanggung jawab antara pemasar dengan konsumen agar segala hal yang di inginkan bisa berjalan sesuai dengan keinginan bersama. Agar tidak ada pihak yang merasa dirugikan.   Dengan begitu, tentu hal ini akan sangat berguna dan membantu anda dalam memeasarkan produk anda..

Langkah membuat website


4 LANGKAH MUDAH UNTUK MEMILIKI WEBSITE ANDA SENDIRI DI INTERNET
Website kami dirancang untuk Anda yang telah mengenal dunia Internet maupun yang baru mengenali dunia Internet. Dengan demikian kami akan menjelaskan seluruh langkah tersebut secara detail. Halaman ini sangat cocok untuk Anda yang baru memulai.
LANGKAH KE 1: DAFTARKAN NAMA DOMAIN ANDA
Pertama Anda akan membutuhkan sebuah Alamat Website (domain/URL) yang mudah diingat, agar pengguna Internet dapat dengan mudah menemukan Website Anda. Untuk itulah Anda akan membutuhkan "Nama Domain" (misalnya alamat domain berupa "www.PerusahaanAnda.com" atau "www.PerusahaanAnda.co.id").
Dengan membeli Nama Domain tersebut, pengguna Internet cukup mengetik "www.PerusahaanAnda.com"
di Internet Explorer/Firefox (browser) mereka untuk mengunjungi Website Anda. Sebagai contoh: untuk membuka Website Yahoo!, Anda cukup mengetik "www.yahoo.com" atau "yahoo.com" ke Internet Explorer/Firefox Anda (tanpa www dan dengan www sama saja, nama domain bahkan tak mengenal huruf besar dan kecil). Nama Domain tersebutlah yang akan mengantarkan pengguna internet ke Website Anda!
TechScape merupakan salah satu perusahaan Web Hosting pertama Indonesia yang dapat menawarkan beraneka Nama Domain dengan harga yang terjangkau dengan Control Panel tercanggih!
Anda dapat mencari nama domain yang anda inginkan di form Search Domain yang terletak di kanan atas halaman ini
Atau jika anda sulit menemukan nama domain yang anda inginkan, silakan manfaatkan Domain Maker kami untuk menemukan domain 2 kata dengan berbagai kombinasi.
LANGKAH KE 2: SEDIAKAN SPACE UTK WEBSITE ANDA!
Setelah Anda mendapatkan alamat Website/Nama Domain Anda, kini Anda akan membutuhkan sebuah layanan yang dinamakan Web Hosting.
Untuk memiliki sebuah Website, Anda akan memerlukan "Tempat" (umumnya disebut "Space") berupa Hard Disk di sebuah komputer/server untuk meletakkan halaman-halaman (file) Website Anda. Halaman-halaman tersebutlah yang akan diakses oleh seluruh pemakai Internet di dunia kapan saja.
Bayangkan, tanpa layanan Web Hosting.. website Anda tidak akan dapat online non-stop 24 jam!
Sejak itulah perusahaan Web Hosting eksis dan dibutuhkan. Perusahaan Web Hosting menyediakan perlengkapan Hardware, Software, Bandwidth, Data Center dan Layanan Teknis yang Anda butuhkan tanpa harus Anda yang melakukannya sendiri.
Perusahaan Web Hosting bagaikan seorang Pemilik Gedung. Pemilik gedung menyewakan toko-toko kepada pelaku bisnis. Setiap pelaku bisnis mendekorasi dan menjalankan tokonya dengan cara yang berbeda tanpa harus khawatir dengan masalah perawatan gedung. Dengan cara yang sama perusahaan Web Hosting menyewakan Tempat/Space di sebuah komputer/web server kepada pelaku bisnis internet. Setiap pelaku bisnis membangun Websitenya masing-masing tanpa harus khawatir dengan perawatan web server.
Kesimpulannya, perusahaan Web Hosting menyediakan tempat di Internet di mana Website Anda akan tinggal. Itu jauh lebih murah dibanding Anda harus membeli sebuah web server. Dan Anda tidak perlu menggaji Teknisi untuk meng-instalasi dan merawat server Anda.
Mengapa pilih TechScape sebagai perusahaan Web Hosting Anda? Karena kami merupakan yang pertama dan terbaik. Silakan baca ulasan berikut ini.
Paket hosting kami cukup terjangkau dan paling lengkap. Mulai dari Rp.5.000/bulan Anda sudah dapat memesan Paket Hosting kami. Untuk mendaftarkan nama domain dan memilih Paket hosting kami, silakan kunjungi halaman Web Hosting kami
LANGKAH 3: SIAPKAN BAHAN, DESIGN & LENGKAPI WEBSITE ANDA!
Anda harus mengumpulkan bahan-bahan yang akan anda muat di Website Anda, dapat berupa text dan gambar/foto. Atau segala sesuatu yang dapat Anda scan melalui scanner Anda.
Untuk gambar/foto, Anda harus merubahnya ke dalam file yang berformat JPEG atau GIF (biasanya berakhiran .jpg dan .gif) agar dapat dibaca oleh program Internet Explorer (browser Anda). Anda dapat membuatnya dengan program gambar seperti Paint yang telah tersedia di Windows 98/2000/XP/Vista anda atau dengan software gratis yang lebih baik seperti GIMP atau software komersil seperti: Photo ShopFireworksCorel Draw/Photo Paint,
Paint Shop Pro
, atau software grafik lainnya.
Untuk mengisi konten website anda, ada 2 cara:
1. CARA INSTANT: Agar anda mudah me-manage website anda, manfaatkan
software/scripts yg telah kami sediakan: Joomla (CMS), OS Commerce (Shopping Cart), WordPress (blog), PHPbb (Forum) & masih banyak lagi. Hanya di TechScape, anda bisa mendapatkan 250 scripts auto-install
GRATIS ini. Cara instalasinya mudah, anda cukup login ke Control Panel kami dan 1 kali click script langsung terinstall di website anda. Anda akan diberikan "akses admin" untuk mengkonfigurasi layout website anda, menambah/menghapus item produk-produk anda, beserta foto produk, detail dan lain sebagainya. Hasilnya langsung dapat dipreview di website anda. Anda pun sudah dapat mulai jualan.
2. CARA MANUAL: Apabila anda lebih prefer membangun website anda secara manual, maka baca ulasan berikut ini: untuk text Anda harus merubahnya ke dalam file yang berformat HTML (umumnya berakhiran .htm atau .html) agar dapat dibaca oleh program Internet Explorer/Firefox (browser Anda). Apabila Anda belum mempelajari bahasa HTML, Anda dapat membuatnya dengan menggunakan software HTML Editor gratis seperti HTML Kit, Kompozer, dll. Silakan download secara gratis di: TechScape Download Page. Atau dapat juga Anda menggunakan software komersil seperti: Dreamweaver. File text & gambar tersebutlah akan diakses oleh pengunjung Website anda. Selanjutnya Anda cukup meng-upload file tersebut ke server Anda
dengan software FTP. Software FTP dapat Anda download gratis di: TechScape Download Page

LANGKAH KE 4: PROMOSI & ANALISA WEBSITE ANDA!
Salah satu kunci keberhasilan sebuah website adalah mempromosikannya. Sungguh sayang apabila Anda memiliki website yang bagus namun tidak ada yang mengetahuinya.
Ada banyak cara untuk mempromosikan website Anda: social media, iklan banner, dari mulut ke mulut, beriklan di iklanbaris, iklan di forum, beriklan di media massa, membagi brosur dan lain-lain.
Tetapi salah satu cara yang paling efektif & murah (gratis) adalah berinteraksi di jaringan sosial: Twitter.com. Promosikanlah produk/layanan anda di Twitter, cari pelanggan (follower) anda di Twitter, update terus produk terbaru anda untuk follower Twitter anda dan kemudian arahkan mereka untuk berbelanja di website anda.
Website anda tetap menjadi media yang terbaik & paling nyaman untuk bertransaksi karena sebenarnya Twitter itu didesign untuk "mobile". Jadi jumlah karakter teks yang diizinkan oleh Twitter juga sangat pendek, sehingga sulit untuk menjelaskan produk/layanan anda secara mendetail ke pelanggan anda. Perpaduan promosi antara Twitter dengan Website inilah yang saat ini dijalankan pelaku bisnis besar dunia, sudah menjadi trend yang harus kita ikuti. Agar mudah memahami cara pemakaian Twitter, carilah bukunya di toko buku terdekat anda.
Banyak website yang telah berhasil meraih penjualan tinggi di Twitter. Contoh website yang telah memanfaatkan trend Twitter: www.twitter.com/AnekaBunga. TechScape juga merupakan salah satu perusahaan
yang memanfaatkan traffic dari Twitter: www.twitter.com/Techscape.
Cara promosi lain yang efektif adalah dengan memasang iklan di internet, dapat berupa iklan text atau banner. Contoh: Google AdWords, Kaskus dll.
Beriklan dengan Google Adwords merupakan salah satu metode yang paling efektif dan populer untuk saat ini.
Setelah Anda mempromosikan website Anda, kami juga telah menyediakan Web Statistik (gratis) yang tersedia di Control Panel Anda. Dari Website Statistic tersebut Anda dapat melihat statistik jumlah pengunjung
perhari, perminggu, perbulan, mayoritas dari negara apa, ISP mana, masuk dari website mana dan lain sebagainya. Anda bahkan dapat mengetahui di mana iklan Anda paling efektif untuk dipasang!
Apabila website Anda memiliki jumlah pengunjung yang tinggi, Anda bahkan dapat menerima pemasangan banner/iklan di website Anda (yang berarti penghasilan tambahan untuk bisnis internet Anda).
Tunggu apalagi? Pesanlah "Nama Domain" dan layanan "Web Hosting" untuk website bisnis anda. TechScape dikenal dengan layanan customer supportnya yang terbaik sejak 1999.
Salam sukses!
- See more at: http://techscape.com/?p=59&post_parent=8#sthash.ucuWSiDL.dpuf

cara membuat blogspot dan pengertian web browser



Web Browser

Web Browser adalah suatu program yang digunakan untuk menjelajahi dunia Internet atau untuk mencari informasi tentang suatu halaman web yang tersimpan di komputer.
Cara  kerja web browser
Pada saat kita mengetikkan sesuatu alamat pada browser maka data akan dilewatkan oleh suatu protocol HTTP melewati port 80 pada server.perintah yang kita ketik tadi akan di proses ke dalam mesin pencari. Alamat ini adalah URL dari suatu situs yang mempunyai alamat yang unik di Internet. Web Browser akan mengirimkan suatu aturan yang telah disepakati sebelumnyua, aturan ini biasa disebut sebagai protocol, stadar protocol menggunakan TCP/IP, proses ini dimulai dengan melakukan 3 way handshakes antara sumber dan tujuan.

Browser Mengambil Page
Suatu browser mengambil sebuah web page dari server dengan sebuah request. Sebuah request adalah sebuah request HTTP standart yang berisi sebuah page addres. Sebuah page addres terlihat seperti berikut: http://www.kita.web.id/page.html
Browser Menampilkan Page
Seluruh web page berisi instruksi-instruksi bagaimana untuk ditampilkan. Browser menampilkan page dengan membaca instruksi-instruksi ini. Instruksi yang paling umum untuk menampilkan disebut dengan tag HTML. Tag HTML contohnya adalah seperti berikut: <p> Ini adalah paragraf </p>.
Server Web
Server web adalah komputer yang digunakan untuk menyimpan dokumen-dokumen web, komputer ini akan melayani permintaan dokumen web dari kliennya.
Browser web seperti Explorer atau Navigator berkomunikasi melalui jaringan (termasuk jaringan internet) dengan server web, menggunakan HTTP. Browser akan mengirimkan request kepada server untuk meminta dokumen tertentu atau layanan lain yang disediakan oleh server. Server memberikan dokumen atau layanannya jika tersedia juga dengan menggunakan protokol HTTP.
Contoh web browser
  • Mozilla firefox,
Web browser ini dibuat oleh Mozilla corporation. Firefox merupakan web open source yang dibuat dengan Gecko layout engine. Firefox didukung dengan sejumlah Add-ons yang dapat kita install secara terpisah yang memungkinkan pengguna melakukan sesuai dengan Add-ons tersebut.
  • Internet explorer,
Web browser ini biasa dikenal dengan nama pendek IE . Tahun 1995 IE dikategorikan sebagai default software pada saat instalasi system operasi windows.
  • Safari,
Web browser ini dikembangkan oleh perusahaan Apple yang pertama kali diluncurkan pada 7 Januari 2003.
  • Opera,
Web browser yang dikembangkan oleh Opera Software Company. Opera mempunyai Opera Widgets yaitu sebuah aplikasi kecil yang dijalankan bersamaan dengan opera yang mempunyai kegunaan tertentu seperti pada firefox yaitu Add-ons.
  • Google chrome,
Web browser ini dikembangkan oleh google yang menggunakan WebKit layout engine and application framework. Pertama kali diluncurkan pada 2 September 2008 sebagai versi beta untuk Microsoft Windows.





Cara membuat blog terbaru 2012, walau aku terhitung blogger baru alias newbie tapi ku coba membuat postingan cara membuat blog yang diharapkan bisa menjadi referensi buatku sendiri ketika ada kawan yang bertanya "bagaimana cara buat blog ?"

Kenapa jadi ingin membuat blog, apa keuntungannya ?
Keuntungan ngeblog itu banyak banget bisa menjadi sarana silaturahmi, cari informasi, belajar bahkan jadi sebuah hobby yang menghasilkan, cerita penghasilan dari ngeblog bisa dilihat di Penghasilan Ngeblog .

Berikut ini kumpulan cara membuat blog Gratis . Cocok untuk pemula sepertiku yang masih menggunakan serba gratis di blognya. Bila sudah lumayan expert nanti bisa saja beralih ke CMS lain yang dinilai lebih pro, tapi menurutku sama saja kok cara bikin bloggratis maupun berbayar. 

Pada awalnya di postingan ini hanya ada cara buat blog  di Blogger.com (blogspot) cara membuat blog di cms lain seperti blogdetik,wordpress.com, dag dig dug, kompaisana dan lain-lain menyusul postingannya pada lain waktu. 

Bukan hanya cara membuat blogger standard yang akan kupaparkan di sini tapi juga ada sedikit tips gaptek dariku  seputar blogspot yang Insya Allah bisa membuat blog yang dibuat sudah siap tempur di dunia blog Indonesia. Posting ini akan ku edit secara berkala.


Blogger.com platform blog yang jadi salah satu blog pilihan blogger Indonesia terutama buat yang baru belajar sepertiku. Walau sebagian blogger pro mencibir blogspot dan selalu membanding bandingkan dengan Wordpress.org blogspot selalu yang utama dihatiku karena dia gratis dan sudah support beragam script dan bisa memasang iklan.

Langsung saja ini langkah demi langkah cara membuat blogger di Blogspot terbaru :

1. Membuat Email di Gmail.com


Blogger.com sudah di akusisi oleh Google jadi langkah pertama dalam membuat blog di blogspot ialah kita wajib untuk memiliki akun GMAIL sebagai  email yang digunakan untu daftar di blogger.com. Walaupun sebenarnya bisa menggunakan email lain tapi percaya deh mending make GMAIL dari awal.

Cara Membuat Email di Gmail
Daftar GMAIL gratis buka www.gmail.com lalu klik di pojok kanan atas Create An Account atau Buat Akun

cara membuat blog
membuat akun di Gmail.com


Tinggal isi data data di akun gmail yang akan dibuat seperti nama, tempat tanggal lahir , password dan lain-lain.

membuat blog



Biasanya dalam membuat email di GMAIL kita perlu verifikasi lewat nomor handphone jadi usahakan masukan nomor handphone yang bisa dikirimin sms dari Google untuk verifikasi.

Setelah email di Gmail dibuat baru kita bisa melanjutkan ke step 2 membuat blog.

2. Daftar di Blogger.com
Setelah membuat email di GMAIL sekarang saatnya daftar di www.Blogger.com

buka www.blogger.com lalu klik bagian kanan atas yang bertulisan 'sign up atau daftar'
cara membuat blog
daftar blogger | Sign Up


Isi data-data sesuai keinginan :

Cara bikin blog


  • email : email GMAIL yang kita buat tadi di tahap 1
  • Password : pilihlah password minimal 8 karakter
  • Display Name (nama tampilan) : Merupakan nama yang digunakan sebagai nama kita di akun blog nanti. Misal aku memilih nama "ayead gaptek" maka nama yang akan muncul ketika aku posting nanti ialah "posted by ayead gaptek atau diposting oleh ayead gaptek"
  • Gender (Jenis Kelamin) : pilih kelamin sesuai kenyataan atau kalau ragu pilih "other atau lainnya"
  • Birthday (tanggal lahir) : masukan dengan format tanggal/bulan/tahun misal jika tanggal lahir 17 agustus 1945 maka yang dimasukkan = 17/08/1945 jika dalam format bahasa inggris seperti gambar dibawah maka format tanggalnya ialah bulan/tanggal/tahun
  • Word Verification (verifikasi) : masukan karakter yang terdapat di bawah
  • Lalu centang Acceptance of terms (penerimaan peryaratan)
  • Klik Continue / Lanjutkan



3. Membuat Blog | Cara Bikin Blog
Sampai proses diatas sobat sudah selesai cara membuat akun Blogger, sekarang saatnya membuat BLOGnya. 
cara daftar blogspot


Di akun blogger klik "Blog baru" untuk membuat blog. Lalu akan muncul halaman untuk memilih Judul, Alamat Blog dan Template.
Cara Membuat Blogger : memilih Judul, Alamat dan template


Pilih Judul dan Alamat blog.

  • Judul digunakan sebagai penama blog, misal untuk blog ini dulu kuberi judul Blognya Ayead Tergaptek
  • Alamat merupakan url alamat blog yang diinginkan misal alamat blogblogayead.blogspot.com
Saran Gaptek : dalam memilih judul dan nama blog jangan pilih yang aneh atau susah dieja maupun menggunakan simbol yang aneh-aneh. Pilih yang mudah diingat orang lain dan tidak membingungkan.

Memilih Template Blog
Ada berbagai template bawaan dari blogger yang tersedia sobat bisa memilih terserah sesuai dengan yang disuka lalu klik 'Buat Blog'


Saran Gaptek
 : Dalam memilih template blog awal, aku lebih suka dengan template 'AWESOME' karena lebih terlihat simpel tanpa banyak background gambar. Template yang namanya 'Simple' justru sebenarnya tidak simpel seperti namanya karena menggunakan background dalam bentuk gambar sehingga berat untuk dibuka.

4. Blog Sudah Jadi
Selamat ! sampai disini blog sudah berhasil dibuat, namun masih kosong. Setelah ini akan ada beberapa hal yang perlu di setting sebelum melakukan posting.


cara membuat blogspot
Blog Yang Dibuat Masih Kosong


Untuk melihat blog yang baru dibuat bisa langsung mencoba dengan langsung mengetikan alamat blog yang baru dibuat tadi di browser contoh :blogayead.blogspot.com
alamat blog



5. Jangan lupa cek email yang didaftarkan tadi untuk memverifikasi akun google kita .
Di email yang kita daftarkan pada tahap 1 nanti akan ada "

Google Email Verification

" buka dan klik link yang ada di dalam email tersebut


6. Hal Yang Dilakukan Setelah Membuat Blog
Sebelum posting ada beberapa hal yang menurutku perlu di atur dulu dari blog sobat diantaranya :

Info lainnya seputar blogspot bisa dilihat di Tips Ngeblog Tergaptek
Dan Baca Juga recomended  : Yang Harus Diketahui Blogger Newbie 
7. Blog Siap Dipakai
Sobat bisa membuat postingan / tulisan baru, mengedit tampilan

keterangan :
 1. Membuat Postingan / Tulisan Baru
2. Melihat Postingan / mengedit post
3. Mengatur Widget
4. Setting
5. Mengatur Tampilan Template : warna dan lain-lain
6. Blog Baru, Satu akun blogger bisa digunakan untuk membuat banyak blog jadi sobat bisa menambah blog lain cukup dengan 1 akun blogger saja.