TLS
(Transport Layer Security)
TLS
(Transport Layer Security) adalah protocol yang menyediakan otentifikasi akhir
dan privasi komunikasi di internet dengan menggunakan kriptografi. Umumnya,
hanya server yang di otentifikasi sedangkan dari pihak client tidak. Protokol
TLS didesain untuk mencegah tampering dan
message forgery ketika client/server
sedang menjalankan aplikasi untuk bertukar informasi/komunikasi.
Ssebenarnya
konsep TLS ini hampir sama dengan SSL, yaitu memiliki dua lapisan yang
mengenkripsi, mengotentikasi, dan menyediakan data kriptografi. Namun TLS
memiliki kelemahan (vulnerability)
yaitu attacker dapat mengganggu jalannya komunikasi antara server dan klien
pada saat klien dan server melakukan pertukaran data, attacker mampu mencegat
pertukaran data /menghentikan sesi TLS dan mungkin memasukkan data berbahaya
yang menguntungkan penyerang, ini yang sering disebut ‘Man in the middle’
Kegunaan
TLS pun mirip dengan SSL, yakni meyakini bahwa isi dari pesan/data yang
dikirimkan tidak dimodifikasi selama transaksi,selain itu juga meyakini bahwa
server yang dituju adalah milik vendor asli bukan penipuan (phishing) serta
meyakini bahwa tidak ada orang yang tidak berkepentingan yang dapat menerima
informasi sensitif yang dikirimkan, misalnya nomor kartu kredit, akun bank,
akun email, paypal dan sebagainya.
Ilustrasi mekanisme TLS
(Sumber:
http://etutorials.org/Networking/802.11+security.+wi-fi+protected+access+and+802.11i/Part+II+The+Design+of+Wi-Fi+Security/Chapter+9.+Upper-Layer+Authentication/Transport+Layer+Security+TLS/)
HTTPS (Hypertext Transfer Protocol Secutity)
Pernahkah
anda memperhatikan address bar pada browser ketika anda mengakses sebuah web
terlebih situs perbankan/internet banking? Pasti anda mendapatkan https:// pada
url web browser anda, yang biasanya adalah http://. Lalu apa ada perbedaan
diantara keduanya?
Dari
kepanjangannya saja sudah jelas bahwa HTTPS adalah versi aman dari protokol
http. Dengan menggunakan protocol https, keamanan situs/web dapat dikatakan
lebih ketat ketimbang dengan menggunakan http saja. Contoh website yang memiliki https adalah https://www.paypal.com/ , https://ibank.klikbca.com/ , https://www.danamonline.com/ dll
Namun apakah protocol https ini sepenuhnya aman?
Dapatkah protocol https mencegah serangan seperti SQL Injection? Jawabannya
tidak bisa. Mengapa? Karena protocol https hanya berfungsi sebagai pengenkripsi
dan dekripsi data yang ditransfer antara client dan server. Serangan SQL
injection akan tetap berfungsi selama script dari SQL injection tersebut dapat
dijalankan pada server, enkripsi dari protocol https tidak berguna kembali
karena script tersebut dapat didekripsi lagi oleh server.
Salah satu kegunaan https adalah mencegah serangan
session hijacking, data session hijacking inilah yang digunakan attacker untuk masuk
ke sebuah akun, namun pada web https data session tersebut telah terenkripsi
sehingga sulit bagi attacker untuk mendekripnya kembali.
HTTPS bekerja dengan cara mengirimkan data yang
terenkripsi dari computer klien ke server , setelah data sampai di server,
server akan mendekripsi data tersebut sebelum diproses. Setelah melalu
pendekripsian dan pemrosesan, server akan mengeluarkan output yang dienkripsi
terlebih dahulu sebelum dikirim ke computer klien, setelah sampai baru
didekripsi kembali oleh computer klien.
HTTPS dalam gambar
(Sumber:
http://singztechmusings.wordpress.com/2011/05/08/https-communication-how-it-works/)
EmoticonEmoticon