Web Service Security

dokumen-dokumen yang mirip
Arsitektur Web Service Web service memiliki tiga entitas dalam arsitekturnya, yaitu: 1. Service Requester (peminta layanan)

SISTEM KEAMANAN DATA PADA WEB SERVICE MENGGUNAKAN XML ENCRYPTION

Pemanfaatan dan Implementasi Library XMLSEC Untuk Keamanan Data Pada XML Encryption

PERANCANGAN DAN UJI COBA KEAMANAN PADA JALUR TRANSPORT WEB SERVICE MENGGUNAKAN METODE XML SIGNATURE DAN XML ENCRYPTION

Web Services merupakan salah satu bentuk implementasi dari arsitektur model aplikasi N-Tier yang berorientasi layanan. Perbedaan Web Services dengan

Prosiding SNaPP2012Sains, Teknologi, dan Kesehatan. Ari Muzakir

SERVICE ORIENTED ARCHITECTURE (SOA)

WEB SERVICES. Sistem terdistribusi week 12

TUGAS SISTEM INFORMASI BERBASIS WEB. PHP Web Service. Nama : Ilham NIM : Kelas : 6B. Daftar isi

Teknik Informatika S1

Firewall & WEB SERVICE

BAB 1 Service Oriented Architecture 1.1 Evolusi SOA

PENERAPAN SOA SEBAGAI ALTERNATIF PENGINTEGRASIAN MULTI SISTEM INFORMASI

TUGAS ELEARNING PENGEMBANGAN WEB SERVICE

IMPLEMENTASI TEKNOLOGI WEB SERVICE PADA SISTEM INFORMASI ADMINISTRASI KEPENDUDUKAN DENGAN WEB SERVICE

BAB II. KAJIAN PUSTAKA

Berikut merupakan salah satu contoh dari pesan SOAP (SOAP Message):

Web Services Penilaian pada Sistem Informasi Akademik (Studi Kasus : FMIPA Unmul) Lina Yahdiyani Inayatuzzahrah

BAB I PENDAHULUAN 1.1 Latar Belakang dan Permasalahan Tabel 1.1 Jumlah mahasiswa STMIK AMIKOM Purwokerto

BAB I PENDAHULUAN 1.1. Latar Belakang

WEB SERVICE SECURITY April 2010 Tingkat: Oleh : Feri Djuandi Pemula Menengah Mahir Platform :.NET 2.0, Ms IIS

PROSES, OBJEK DAN LAYANAN TERDISTRIBUSI

By : Agung surya permana ( )

BAB I PENDAHULUAN 1.1. Latar Belakang

UKDW BAB 1 PENDAHULUAN. 1.1 Latar Belakang Masalah

BAB I PENDAHULUAN. I.1 Latar Belakang

BAB II KAJIAN PUSTAKA

BAB II LANDASAN TEORI. Basis Data Terdistribusi didefinisikan sebagai sebuah collection of multiple,

SISTEM INFORMASI DISTRIBUSI BARANG BERBASIS WEB SERVICE

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

ANALISA DAN PERANCANGAN WEB SERVICES UNTUK SISTEM INFORMASI UNIVERSITAS

INTEGRASI SISTEM INFORMASI RUMAH SAKIT BERBASIS PENERAPAN SOA

TUGAS AKHIR PEMBUATAN E-COMMERCE TOKO BUKU DENGAN ASP DAN DATABASE ODBC

Bab II. TINJAUAN PUSTAKA

Interoperabilitas. bagaimana mereka berkomunikasi?

Internet dan WWW. Pertemuan - II

BAB I PENDAHULUAN. Bidang pendidikan merupakan salah satu dari sekian banyak bidang yang

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

BAB II TINJAUAN PUSTAKA

TEKNOLOGI APLIKASI WEB BERBASIS SERVER

BAB II LANDASAN TEORI. sasaran tertentu, sedangkah menurut (Hall, 2007) mengatakan sistem adalah. adalah sebuah sistem harus lebih dari satu bagian.

BAB I PENDAHULUAN. I.1 Latar Belakang Permasalahan

Lampiran IV : Peraturan Gubernur Pemerintah Provinsi Daerah Khusus Ibukota Jakarta Nomor 16 Tahun 2008 Tanggal 18 Februari 2008 ARSITEKTUR INTEGRASI

PENGEMBANGAN LAYANAN AKSES NILAI AKADEMIK BERBASIS WEB SERVICES

1. PENDAHULUAN Saat ini, dua teknologi paling populer yang digunakan pada Internet adalah dan World Wide Web. Pada beberapa tahun yang akan

BAB II LANDASAN TEORI. pendapat untuk mencapai tujuan bersama. 2. Membagi tanggung jawab bersama sama untuk mencapai tujuan.

Teknik Informatika S1

BAB III METODE PENELITIAN DAN PERANCANGAN SISTEM

IMPLEMENTASI DAN PENGUJIAN

DAMPAK SERVICE ORIENTED ARCHITECTURE TERHADAP DUNIA BISNIS DAN PENDIDIKAN

Desain E-Health: Sistem Keamanan Aplikasi E-health Berbasis Cloud Computing Menggunakan Metode Single Sign On. Erika Ramadhani

Pemodelan Sistem Registrasi Terpadu Berbasis Web Menggunakan Web Service (Studi Kasus pada Perpustakaan UKSW)

IMPLEMENTASI SISTEM TERDISTRIBUSI BERBASIS WEB SERVICES (STUDI KASUS : SISTEM PERPUSTAKAAN DAN BAA)

Bab 2 Tinjauan Pustaka 2.1 Penelitian Terdahulu

Jurnal Ilmiah INOVASI, Vol.14 No.2 Hal , Mei-Agustus 2014, ISSN

Implementasi Services Oriented Architecture (SOA) Dalam Sistem Transaksi Perbankan di Perguruan Tinggi Studi Kasus: Universitas Padjadjaran

BAB II TINJAUAN PUSTAKA. Bab ini membahas teori-teori yang dijadikan acuan tugas akhir ini.

BAB I PENDAHULUAN 1.1 Latar Belakang

ABSTRAK. Kata kunci :SSL, RSA, MD5, Autentikasi, Kriptografi. Universitas Kristen Maranatha

BAB I PENDAHULUAN 1.1. Latar Belakang dan Permasalahan

I. PENDAHULUAN. jaringan dan aplikasi yang dibuat khusus untuk jaringan. Akibatnya, interaksi

ABSTRAK. Kata kunci: Video Streaming, Silverlight, ASP, C# v Universitas Kristen Maranatha

komprehensip dan menjadi rujukan bagi rumah sakit PKU Muhammadiyah di

Studi dan Analisis Penggunaan Secure Cookies Berbasis Kriptografi Kunci Publik untuk Aplikasi ecommerce

IMPLEMENTASI WEB-SERVICE UNTUK PEMBANGUNAN SISTEM KARTU RENCANA STUDI (KRS) ON-LINE

Making Provisions for Applications and Services

Implementasi Service-Oriented Architecture dengan Web Service untuk Aplikasi Informasi Akademik

PERANCANGAN DAN IMPLEMENTASI REKAM MEDIS BERBASIS MOBILE

MEMBUAT WEB SERVICE DENGAN MENGGUNAKAN JAVA (STUDI KASUS E- COMMERCE PORTAL)

BAB II KAJIAN PUSTAKA. seluler (mobile) seperti telepon pintar (smartphone) dan komputer tablet. Android

SISTEM INFORMASI MANAJEMEN PERGUDANGAN DI CV. GRAHA EKSOTIKA BERBASIS WEB SERVICE

APLIKASI BERBASIS WEB

BAB I PENDAHULUAN. Dewasa ini komputer tidak lagi menjadi hal yang asing, segala sesuatu

BAB 1 PENDAHULUAN. satu hal yang sangat dominan dan terjadi dengan sangat pesat. Informasi

Pertemuan XI Database Connectivity Fak. Teknik Jurusan Teknik Informatika. Caca E. Supriana, S.Si.,MT.

Bab 1 Pendahuluan 1.1 Latar Belakang Masalah

BAB II TINJAUAN PUSTAKA DAN LANDASAN TEORI

BAB 3 METODOLOGI. Gambar 3.1 Security Policy Development Life Cycle (SPDLC)

I.I Pengertian & Kinerja SECURITY. Overview. Tujuan

PENJURIAN ONLINE BERBASIS WEB SERVICE

Integrasi Web Services Dengan Menggabungkan Perancangan Berorientasi Objek dan SOA Untuk Membangun Sistem e-learning

Tugas Bahasa Indonesia

Bab I Pendahuluan 1 BAB I PENDAHULUAN

WEB-BASED INTERPRISE sebagai SOLUSI BISNIS

BAB I PENDAHULUAN 1.1 Latar Belakang

Model arsitektur Terdistribusi

Web Service. Asep Herman Suyanto

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, di Program Studi Teknik Informatika, Universitas Pasundan Bandung

BAB I PENDAHULUAN. 1.1 Latar Belakang

BAB III LANDASAN TEORI

BAB I PENDAHULUAN. Apalagi informasi tersebut disertai dengan kecepatan, ketepatan, dan keakuratan

BAB II LANDASAN TEORI. Analisis fundamental digunakan untuk menghitung nilai intrinsik dari

Implementasi Keamanan pada Transaksi Data Menggunakan Sertifikat Digital X.509

ANALISIS DAN PERANCANGAN SISTEM INFORMASI KASIR (SIKASIR) BERBASIS MOBILE

Sistem Terdistribusi 2. Model arsitektur Terdistribusi

BAB III LANDASAN TEORI

Data Storage Engine Sebagai Media Penyimpanan Dalam Jaringan Lokal

SINGLE SIGN ON (SSO) MENGGUNAKAN STANDAR SAML PADA SISTEM INFORMASI UNIKOM

Bab 1. Pengenalan Sistem Terdistribusi

BAB 1 PENDAHULUAN. Dalam pengembangan perangkat lunak, tim developer membangun cetak

Transkripsi:

Web Service Security Yosalia Sitompul Nim. 110155201076 Jln.kijang lama, no.33, tanjungpinang, Kepri 29123, Indonesia E-mail : lia_blue.girl@yahoo.com Mahasiswa Program S1 Teknik Informatika, FT, UMRAH ABSTRAK Web service adalah suatu layanan yang diberikan oleh website yang dirancang untuk mendukung interoperabilitas dan interaksi antar sistem pada suatu jaringan. Web Service juga memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service. ABSTRACT Web service is a service provided by the website is designed to support interoperability and interaction between systems on a network. Web services also provide a new paradigm for implementing distributed systems over the Web by using a standard protocol SOAP, WSDL and UDDI XML -based. With the Web Service technology, the concept of distributed systems that are typically used on systems that are closed and proprietary ( DCOM, CORBA, RMI ) can be incorporated into a system that is open ( non - propriertary ) Web -based. Nevertheless, there are still many who hesitate to immediately implement a Web Service, particularly if used to support business transactions over the Internet ( global ). The main reason of concern is the safety and vulnerability (vulnerability ) contained in the Web Service technology. Meanwhile security standard used to secure Web-based applications in general are not quite able to secure a Web Service transactions

1. PENDAHULUAN Web service adalah sebuah software yang dirancang untuk mendukung interoperabilitas interaksi mesin-ke-mesin melalui sebuah jaringan.web service secara teknis memiliki mekanisme interaksi antar sistem sebagai penunjang interoperabilitas, baik berupa agregasi (pengumpulan) maupun sindikasi (penyatuan). Web service memiliki layanan terbuka untuk kepentingan integrasi data dan kolaborasi informasi yang bisa diakses melalui internet oleh berbagai pihak menggunakan teknologi yang dimiliki oleh masingmasing pengguna. Web services merupakan komponen yang independen terhadap platform ataupun bahasa. Web services menggunakan web protokol (HTTP) yang sangat mendukung heterogenoitas dan interoperabilitas serta memudahkan integrasi [1]. Selain itu web services mendukung koneksi loosely coupled, sehingga sebuah perubahan pada satu aplikasi tidak akan memaksa perubahan pada aplikasi yang lain. Sebuah web services memiliki interface berupa web API (Application Programming Interface) yang dapat dipanggil oleh suatu aplikasi untuk mengakses aplikasi yang mengimplementasikan layanan web services Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam mengintegrasikan aplikasi-aplikasi yang berbeda platform dengan menggunakan dokumen XML. XML (extensible Markup Language) adalah sebuah standar untuk mendefinisikan data dalam format yang sederhana dan fleksibel. Dimana web service mendukung komunikasi antar aplikasi dan integrasi aplikasi dengan menggunakan XML dan Web. Faktor keamanan pada jalur komunikasi antara client ke server web service itu belum sepenuhnya terjamin. Keamanan selalu menjadi perhatian penting dalam pengembangan layanan web. Namun, metode pengembangan perangkat lunak saat ini hampir lalai [2]. Hal ini dibuktikan dengan banyaknya faktor yang menimbulkan celah-celah ancaman terhadap web service tersebut seperti yang telah dilakukan oleh penelitian terdahulu. Selain itu, pada kerahasiaan pesan yang dikirimkan melalui web service masih berupa data XML. Sehingga hal ini menyebabkan terjadinya data yang tidak asli ketika sampai di sisi penerima. Walaupun pesan telah di enkripsi menggunakan suatu algoritma maka bukan berarti bahwa pesan yang di terima oleh penerima benarbenar masih asli, karena bisa saja bahwa struktur pesan telah berubah ketika pesan dikirimkan atau ketika diterima [3]. Kemudian masalah keamanan web service pada kasus-kasus sebelumnya kebanyakan penelitian dilakukan pada satu model keamanan atau standar keamanan untuk web service. Sehingga dengan adanya sistem keamanan yang seperti ini dirasakan masih kurang memberi suatu perlindungan yang maksimal terhadap ancaman keamanan web service antara client ke server service sendiri walaupun secara umum sudah mampu mencukupi. Masih adanya kendala mengenai web service yaitu beberapa pihak yang masih merasa ragu untuk menerapkan web service, khususnya mereka yang menggunakan jaringan internet pada transaksinya. Keraguan ini dilihat dari tingkat keamanan dari teknologi web service. Aspek keamanan menjadi sangat penting untuk menjaga data atau informasi agar tidak disalahgunakan ataupun diakses secara sembarangan.[4] Mengatasi keamanan di tahap awal pengembangan layanan web selalu menjadi tren

rekayasa besar. Namun, untuk menjamin keamanan layanan web yang diperlukan untuk melakukan evaluasi keamanan secara ketat dan nyata. Hasil evaluasi yang jika dilakukan dalam tahap awal dari proses pembangunan dapat digunakan untuk meningkatkan kualitas layanan web sasaran. Di sisi lain, tidak mungkin untuk menghapus semua kesalahan keamanan selama analisis keamanan layanan web. Akibatnya, keamanan mutlak tidak pernah mungkin untuk mencapai dan kegagalan keamanan mungkin terjadi selama pelaksanaan layanan web. [5] 2. WEB SERVICE SECURITY Saat ini web services menjadi sangat populer di enterprise karena kemampuannya dalam mengintegrasi kan aplikasi-aplikasi yang berbeda platform [6]. Gambar 1 - Sebuah web service Web services saat ini semakin banyak digunakan oleh enterprise untuk memudahkan akses pada produknya,meningkatkan layanan ke konsumen dan ke business partner melalui internet atau corporat extranet. Sebagai contoh mengintegrasi kan dan mengotomasikan proses bisnis, supply chain, dan costumer relationship. Saat sebuah enterprise ingin mengintegrasikan system bisnis nya dengan partnernya menggunakan internet, informasi yang dialirkan harus dipastikan dalam kondisi aman [7]. Oleh karena itu keamanan menjadi isu yang sangat penting untuk keperluan tersebut. Dalam beberapa kasus, layanan keamanan berbasis Operating System dan Internet Information Services (IIS) dapat diandalkan. Akan tetapi lingkungan implementasi yang heterogen selalu menimbul kan celah-celah ancaman keamanan baru. Ancaman terhadap keamanan web services antara lain unauthorized access, parameter manipulation, network eaves dropping, disclosure of configuration data, dan message replay. Bahkan dewasa ini banyak praktisi teknologi yang beralih pada Web service(ws) untuk alasan fleksibilitas dan skalabilitas yang lebih tinggi.serupa dengan RPC pada protokol yang lain, pemanggilan layanan WS oleh sebuah sistem harus melaluit ahapantahapan keamanan untuk memastikan pemanggil dan fungsi yang dipanggilnya adalah valid. Sehubungan dengan ini, ada proses otentikasi dan otorisasi yang dilakukan oleh system penyedia layanan WS terhadap pemanggilnya untuk memastikan bahwa ia boleh dilayani. Tanpa mekanisme ini maka WS menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya,bahkan untuk pihak-pihak yang tidak berkepentingan [8]. Ini membuktikan Tantangan keamanan yang disajikan oleh Web service tidak dapat dihindari dan juga masih kurangnya pendekatan yang komprehensif yang menawarkan pengembangan metodis dalam pembangunan arsitektur keamanan [9].

Gambar 2 - Ancaman keamanan web services 3.1. Windows authentication Sesuai dengan namanya, Windows authentication adalah metoda otentikasi menggunakan akun Windows untuk memvalidasi credential pemanggil. Tipe ini sangat baik diterapkan pada lingkungan intranet dimana pemanggil Web Service berasal dari dalam jaringan lokal dan telah dikenal secara baik. Lebih lanjut, Windows authentication dibedakan menjadi: 3. JENIS-JENIS KEAMANAN WEB SERVICE Di dalam platform Windows, Web Service diaplikasikan melalui.net Framework, Internet Information Services (IIS) dan tentunya sistem operasi Windows itu sendiri. Jenis-jenis keamanan yang dapat diterapkan pada platform ini adalah: 1. Windows authentication 2. Forms authentication 3. Passport authentication 4. None Pilihan jenis keamanan tersebut dapat dikonfigur melalui tag <authentication> di dalam file Web.config dari aplikasi Web Service yang bersangkutan. Berikut ini diperlihatkan potongan isi file tersebut: <authentication mode="windows Forms Passport None"> </authentication> _ Integrated Windows authentication _ Basic authentication _ Digest authentication _ Client Certificate authentication Tipe-tipe otentikasi di atas sesuai dengan cara penanganan yang dilakukan oleh IIS. Pada dokumen ini tipe yang akan dibahas adalah Integrated Windows dan Basic authentication. 3.2. Forms authentication Pada Forms authentication, pemanggil yang tidak terotentikasi akan dialihkan pada sebuah halaman web yang dikonfigur pada file Web.config. Halaman web tersebut umumnya berisi kolom User ID dan password yang harus dibuat oleh programmer. Pada otentikasi jenis ini, daftar User ID dan passwordnya dapat disimpan di dalam file Web.config, file XML terpisah atau di dalam database. Forms authentication dapat diaktifkan dengan: 1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi Forms. Contoh: <system.web> <authentication mode="forms"/> </system.web>

2. Tidak memperbolehkan anonymous users pada IIS. Jenis otentikasi ini kurang cocok jika diterapkan pada Web Service karena ia akan mengalihkan pemanggil pada sebuah user interface sebelum layanan WS dapat dijalankan. Pemanggil sebetulnya mengharapkan sebuah pesan SOAP yang dikembalikan oleh WS bukan halaman HTML. Jika ini yang terjadi, maka masalah akan timbul. 3.3. Passport authentication Pada Passport authentication, sebuah layanan terpusat dikelola oleh Microsoft menyediakan sebuah pusat login untuk WS client. Pemanggil yang tidak terotentikasi dialihkan ke situs Passport site. Serupa dengan Forms authentication, pengalihan ini akan menyebabkan masalah bagi pemanggilnya kecuali hal ini ditangani secara baik pada program pemanggilnya. Passport authentication dapat diaktifkan dengan: 1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi Passport. Contoh: <system.web> <authentication mode="passport"/> </system.web> 2. Tidak memperbolehkan anonymous users pada IIS. 3.4. None Jika pilihan otentikasi adalah None, maka itu adalah kesempatan bagi programmer untuk melakukan otentikasi buatan sendiri (custom authentication). Custom authentication dapat diaktifkan dengan: 1. Mengkonfigur atribut dari tag <authentication> tag di dalam file Web.config menjadi None. Contoh: <system.web> <authentication mode="none"/> </system.web> 2. Memperbolehkan anonymous users pada IIS [10]. 4. KESIMPULAN Meskipun Webservice performansinya baik, namun dari segi security web service masih belum matang. Terdapat perbedaan implementasi keamanan web service pada berbagai platform sehingga masih diperlukan suatu standar baku dalam mengimplemen tasikan security pada web service. Selain itu, tanpa mekanisme yang tepat ini maka Web service menjadi sistem yang terbuka lebar bagi siapapun untuk mengaksesnya termasuk pihak-pihak yang tidak berkepentingan. Tentunya ini adalah sesuatu yang tidak diinginkan. Maka dari itu aspek keamanan menjadi seuatu yang sangat penting

5. REFERENSI [1] Adriansyah,Arya, Arifand,Wahyudi, Wicaksono,Narenda, 2003 Keamanan Web Service Departemen Teknik Informatika Institut Teknologi Bandung, No.1 [2] Mougouei, Davoud, Nurhayati, Wan, AB,Rahma,, M.A., Mohammad 2012, Measuring Security of Web Services in Requirement Engineering Phase International Journal of Cyber-Security and Digital Forensics, No.1 [3] Muzakir,Ari 2013, Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption, No.1 [4] 2013, Sistem Keamanan Data Pada Web Service Menggunakan XML Encryption, No.1 [6] 2005 Keamanan Web Service Departemen Teknik Informatika Institut Teknologi Bandung, No.2 [7] 2005 Keamanan Web Service Departemen Teknik Informatika Institut Teknologi Bandung, No.3 [8] Feri Djuandi 2012, Web Service Security : www.tobuku.com, hal. 1 [9] Fareghzadeh, Nafise 2009 Web Service Security Method To SOA Development World Academy of Science, Engineering and Technology, No.1 [10] 2012 Web Service Security : www.tobuku.com, hal. 3-5 [5] 2012 Measuring Security of Web Services in Requirement Engineering Phase International Journal of Cyber-Security and Digital Forensics, No.1

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan