WEB SEMANTIC DAN WEB SECURITY
A.
WEB
SEMANTIC
1.
Pengertian
HTML5 atau Semantic Web
HTML5 adalah versi terbaru dari HTML (HyperText Markup Language)
yang mana dikembangkan oleh W3C atau Word Wide Web Consortium. Lalu apakah yang
dimaksud dengan Semantic Web? Semantic berasal dari bahasa Yunani (Greek),
merupakan bahasa pembelajaran semiotic, yakni pembelajaran untuk memahami
penanda. Semantic sendiri mempunyai arti bahasa yang berfokus pada penanda
untuk mengetahui arti yang terkandung di dalamnya.
Jadi, yang dimaksud semantic web adalah bahasa pemrograman yang
mempunyai penanda khusus dalam implementasinya dengan tujuan agar mampu
mendeskripsikan apa yang terkandung dalam website tersebut. Web semantic ini
bukan hanya dikembangkan di Web 2.0, namun sudah ke Web 3.0 bahkan akan
berkembang ke Web 4.0. Perkembangan teknologi benar-benar cepat sekali berubah.
2. Sejarah HTML5 atau Semantic Web
Setelah berakhirnya masa pengembangan HTML4 pada tahun 1998,
dilanjutkan perkembangan HTML4 untuk XML yang dikenal dengan XHTML 1.0. XHTML
1.0 selesai dikembangkan pada tahun 2000. Saat itu sebenarnya HTML akan mulai
dikembangkan, namun masih menunggu proses pengembangan XHTML 2.0 yang mana
selesai pada tahun 2003.
Tahun 2004 kembali diadakan workshop tentang evolusi untuk HTML5
dan saat itulah muncul ide-ide dan gagasan tentang Semantic Web. Tahun 2007,
W3C ikut serta dalam pengembangan HTML5 dan terbentuklah suatu komunitas WHATWG
(Web Hypertext Application Technology Working Group). Perusahaan besar seperti
Mozilla, Opera dan Apple mengakui HTML5 dipublikasikan oleh W3C dengan lisensi
komunitas WHATWG.
HTML5 telah dipublikasikan secara resmi oleh W3C pada bulan Mei
2011 dan rencananya akan terus dikembangkan hingga tahun 2014 nanti. Walaupun
HTML5 masih terus dikembangkan, jangan khawatir untuk menggunakan HTML5 karena
saat ini HTML5 hanya membutuhkan penyempurnaan saja, sudah tidak lagi berada di
masa percobaan yang bisa berstatus produksi gagal.
Sejauh ini browser desktop maupun browser mobile sudah mampu
mengimplementasikan HTML5, walaupun belum sepenuhnya sempurna. Browser yang
saat ini paling maju untuk fitur HTML5 atau semantic web adalah Google Chrome.
Kamu bisa membandingkan browser dengan cara seperti di artikel saya ini:
Browser Yang Terbaik Untuk Web Desain.
3. Cara Menggunakan HTML5 atau
Semantic Web
Sebenarnya menggunakan HTML5 atau Semantic Web itu sangat mudah
jika mengerti standarisasi HTML5 itu sendiri. Kamu bisa mendapatkannya melalui
situs www.w3schools.com, www.w3.org, dan masih banyak lainnya yang bisa kamu
temui di internet. Jika kamu masih bingung menggunakan element HTML5, kamu bisa
menemukan solusi dengan membaca flowchart HTML5 di sini.
Webmaster profesional pasti selalu melakukan testing dengan
menggunakan validator entah itu plugin browser maupun aplikasi web validator
secara online. Saya punya 2 rekomendasi validator HTML5 untuk kamu gunakan
sebagai validasi web kamu, yaitu: html5.validator.nu dan validator.w3.org.
4. Penggunaanya Untuk Aplikasi
Komputer
Web semantic akan diterapkan pada aplikasi komputer dan istilah
web semantik itu sendiri diperkenalkan oleh Tim Berners-Lee, penemu World Wide
Web (WWW). Sekarang, prinsip web semantik disebut-sebut akan muncul pada Web
3.0, generasi ketiga dari World Wide Web. Bahkan Web 3.0 itu sendiri sering
disamakan dengan web semantik. Web semantik menggunakan XML, XMLS (XML Schema),
RDF, RDFS (Resources Description Framework Schema) dan OWL.
4.1. Untuk membangun aplikasi Web Semantik ini, hal pertama yang harus
dipahami adalah:
Pengertian ontology, XML|XMLS/RDF|RDFS/OWL ,
toolsnya bisa menggunakan Protégé, Altova SemanticWorks, dll
4.2. Setelah memahami kedua hal tersebut, kemudian dibuat
ontologynya. Tools yang dapat digunakan untuk mengelola ontology ,
diantaranya (ini seperti server) :
1. JENA
2. Sesame
(openrdf.org)
3. Virtuoso,
dll
4.3. Sedangkan bahasa untuk query ontology adalah :
SPARQL
B.
WEB
SECURITY
1.
Sejarah
dan Definisi Web Security
Dalam perkembangan zaman era globalisasi seluruh segala macam
tekhnologi telah berkembang secara pesat. Di dalamnya terdapat segala macam
tekhnologi seperti Tekhnologi informasi, tekhnologi industri dan berbagai macam
tekhnologi lainnya. Kita di wajibkan harus mengikuti perkembangan itu, jika
tidak maka kita akan di anggap sebagai makhluk sosial tanpa mengetahui
sedikitpun segala macam perkembangan tekhnologi terutama tekhnologi informasi
seperti Computer Security/pengamanan komputer.
Computer Security merupakan sistem pengamanan komputer yang
merupakan cabang dari tekhnologi komputer yang diterapkan pada komputer
jaringan. Dalam pengamanan komputer ini bertujuan untuk perlindungan informasi,
harta benda dari pencurian maupun melindungi aplikasi-aplikasi yang ada pada
komputer dalam mencegah serangan yg masuk ke dalam komputer sehingga dapat
merusak segala sistem yang ada pada komputer. Selain itu dalam Istilah keamanan
komputer dapat diartikan sebagai proses kolektif dan mekanisme dengan mana
informasi sensitif yang berharga maupun berjasa yang dilindungi dari publikasi,
gangguan atau kehancuran oleh kegiatan yang tidak sah atau individu dan dapat
dipercaya dari peristiwa yang tidak direncanakan oleh kita sebagai
pemakai/pengguna sistem tersebut.
2.
Sistem
pengamanan komputer
2.1. Security by design/pengamanan oleh tujuan
Dalam sistem keamanan ini teknologi di dasarkan pada logika
sebagai jaminan dalam membentuk tujuan utama dari berbagai aplikasi komputer
serta merancang sebuah program dengan keamanan dalam pemikiran sering
memaksakan pembatasan pada perilaku program. Dan dalam mendesign harus
menggunakan "pertahanan mendalam", di mana lebih dari satu subsistem
perlu untuk dikompromikan agar tidak melanggar integritas sistem dan informasi
yang dimilikinya. Di security by design terdapat prinsip Cascading, prinsip itu
mengakui bahwa beberapa rintangan yang rendah tidak membuat rintangan tinggi.
Jadi prinsip Cascading merupakan beberapa mekanisme yang lemah dan tidak
memberikan keamanan yang lebih kuat dalam mekanisme tunggal.
2.2. Security architecture
Dalam Sistem keamanan ini kita dapat mendefinisikan sistem
keamanan arsitektur yang bertujuan untuk menggambarkan bagaimana kontrol
keamanan (keamanan penanggulangan) yang diposisikan, dan bagaimana mereka
berhubungan dengan arsitektur teknologi informasi secara keseluruhan. Tujuan
sistem ini adalah untuk mempertahankan atribut kualitas sistem, di antaranya
kerahasiaan, integritas, ketersediaan, akuntabilitas dan jaminan di dalam
sistem tersebut.
2.3. Security Operating System
Sebagian besar sistem ini didasarkan pada ilmu pengetahuan yang
dikembangkan pada tahun 1980 dan digunakan untuk memproduksi apa yang mungkin
ada dalam beberapa sistem operasi. Selain itu sistem ini juga menggunakan
berbagai macam contoh seperti dari kebijakan keamanan komputer model
Bell-LaPadula, pada contoh ini kita didasarkan pada kopling fitur perangkat
keras mikroprosesor khusus dan juga sering melibatkan unit manajemen memori ke
kernel operasi khusus dengan benar dalam menerapkan sistem tersebut. Ini bertujuan
untuk membentuk dasar sistem operasi yang aman, dan pada bagian kritis tertentu
dirancang dan diterapkan dengan benar, dapat memastikan kemustahilan mutlak
penetrasi oleh elemen yang sedang bermusuhan. Sistem operasi ini dirancang
terutama bertujuan untuk melindungi informasi keamanan nasional, rahasia
militer, dan data lembaga keuangan internasional. Contoh dari alat keamanan
tersebut seperti Orange Book-1 untuk dioperasikan selama rentang "Top
Secret" untuk "unclassified" (termasuk Honeywell SCOMP, USAF
SACDIN, NSA hitam dan Boeing MLS LAN). Sistem ini di gunakan pada web server,
penjaga, database server, dan host manajemen dan digunakan tidak hanya untuk
melindungi data yang tersimpan pada sistem tetapi juga untuk memberikan
perlindungan tingkat tinggi untuk koneksi jaringan dan layanan routing.
2.4. Secure Coding
Pada sistem ini kita tidak didasarkan pada sistem operasi yang
aman yang mampu mempertahankan domain untuk pelaksanaan sendiri, mampu
melindungi kode aplikasi dari subversi berbahaya, dan mampu melindungi sistem
dari kode yg terdapat pd sistem tersebut. Maka derajat keamanan yang tinggi
tidak dapat mungkin dimengerti, pada lingkungan komersial menurut hasil dan
faktanya terdapat kerentanan perangkat lunak subversi dari jenis yang dikenal
beberapa cacat coding. Cacat perangkat lunak umum termasuk buffer overflows,
kerentanan format string, overflow integer, dan kode / perintah injeksi.
Contohnya pada bahasa pemrograman C dan C + + bahasa tersebut sangat rentan
terhadap kode / perintah injeksi dan cacat pada perangkat lunak lain yang
memfasilitasi subversi.
3. Alasan WEB Security
WWW adalah salah satu layanan terpopuler di internet. Tetapi
seperti telah saya singgung diatas, ia adalah target mayoritas penyerang dan
penyusup, banyak cara yang mereka lakukakan untuk menempuhnya. Beberapa hal
yang menjadi alasan adalah :
3.1. seorang penyerang
dapat mengambil keuntungan dari bug-bug dalam sebuah server Web atau melalui
script-script CGI sebagai usaha untuk memperoleh akses terhadap system.
3.2. Informasi
rahasia dalam server Web dapat didistribusikan ke individu-individu tidak sah
3.3. Informasi
rahasia yang ditransmisikan antara server Web dan browser dapat dicegat atau
disadap.
3.4. Bug-bug pada
browser Web ( atau fitur-fitur yang tidak kita sadari ) memungkinkan info-info
rahasia dalam klien Web dapat dicuri oleh server Web jahat
3.5. Beberapa
organisasi merasa butuh menggunakan teknologi-teknologi Web tertentu ( Misal
program-program dan software berlisensi ) guna memenuhi kebutuhan mereka.
Program atau software-software tersebut seringkali membawa kelemahan-kelemahan
security baru
4.
Gangguan
WEB Security
4.1. Hacker
Sekumpulan orang/team yang tugasnya membangun serta menjaga sebuah
sistem sehingga dapat berguna bagi kehidupan dunia teknologi informasi, serta
penggunanya. hacker disini lingkupnya luas bisa bekerja pada field offline
maupun online, seperti Software builder(pembuat/perancang aplikasi), database
administrator, dan administrator. Namun dalam tingkatan yang diatas rata-rata
dan tidak mengklaim dirinya sendiri, namun diklaim oleh kelompoknya, maka dari
itu hacker terkenal akan kerendahan hati dan kemurahan memberikan segenap
ilmunya.
4.2. Cracker
Seorang/sekumpulan orang yang memiliki kemampuan lebih dalam
merusak sebuah sistem sehingga fungsinya tidak berjalan seperti normalnya, atau
malah kebalikannya, sesuai keinginan mereka, dan mereka memang diakui memiliki
kemampuan yang indigo dan benar-benar berotak cemerlang. Biasanya cracker ini
belum dikategorikan kejahatan didunia maya, karena mereka lebih sering merubah
aplikasi, seperti membuat keygen, crack, patch(untuk menjadi full version).
4.3. Defacer
Seorang/Sekumpulan orang yang mencoba untuk mengubah halaman dari
suatu website atau profile pada social network(friendster, facebook, myspace),
namun yang tingkatan lebih, dapat mencuri semua informasi dari profil
seseorang, cara mendeface tergolong mudah karena banyaknya tutorial diinternet,
yang anda butuhkan hanya mencoba dan mencoba, dan sedikit pengalaman tentang
teknologi informasi.
4.4. Carder
Seorang/sekumpulan lamers yang mencoba segala cara untuk
mendapatkan nomor kartu kredit seseorang dan cvv2nya dengan cara menipu,
menggenerate sekumpulan kartu kredit untuk kepentingan dirinya sendiri. Namun
pada tingkatan tertentu carder dapat mencuri semua informasi valid dari sebuah
online shopping. Ini adalah Malingnya dunia Maya.
4.5. Frauder
Seorang/sekumpulan orang yang mencoba melakukan penipuan didunia
pelelangan online, belum ada deskripsi jelas tentang orang ini, mereka sering
juga dikategorikan sebagai carder.
4.6. Spammer
Seorang/sekumpulan orang yang mencoba mengirimkan informasi palsu
melalui media online seperti internet, biasanya berupa email, orang-orang ini
mencoba segala cara agar orang yang dikirimi informasi percaya terhadap mereka
sehingga next step untuk mendapatkan kemauan si spammer ini berjalan dengan
baik. Meraka tidak lain dikategorikan sebagai penipu.
5.
Jenis
Jenis Serangan
Berikut
adalah 10(sepuluh) dafttar celah yang dapat menyebabkan website terancam.
5.1. Cross Site Scripting (XSS)
Celah XSS, adalah saat pengguna web aplikasi dapat memasukkan data
dan mengirimkan ke web browser tanpa harus melakukan validasi dan encoding
terhadap isi data tersebut, Celah XSS mengakibatkan penyerang dapat menjalankan
potongan kode (script) miliknya di browser target, dan memungkinkan untuk
mencuri user session milik target, bahkan sampai menciptakan Worm.
5.2. Injection Flaws
Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu
aplikasi web. Hal ini mungkin terjadi apabila pengguna memasukkan data sebagai
bagian dari perintah (query) yang menipu interpreter untuk menjalankan perintah
tersebut atau merubah suatu data.
5.3. Malicious File Execution
Celah ini mengakibatkan penyerang dapat secara remote membuat file
yang berisi kode dan data untuk di eksekusi, salah satunya adalah Remote file
inclusion (RFI).
5.4. Insecure Direct Object Reference
Adalah suatu celah yang terjadi saat pembuat aplikasi web
merekspos referensi internal penggunaan objek, seperti file, direktori,
database record, dll
5.5. Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target yang sudah log-in untuk
mengirimkan “pre-authenticated request”terhadap aplikasi web yang diketahui
memiliki celah, dan memaksa browser target untuk melakukan hal yang menguntungkan
penyerang.
5.6. Information Leakage and Improper Error Handling
Penyerang menggunakan informasi yang didapatkan dari celah yang di
akibatkan oleh informasi yang diberikan oleh web aplikasi seperti pesan
kesalahan (error) serta konfigurasi yang bisa di lihat.
5.7. Broken Authentication and Session Management
Celah ini merupakan akibat buruknya penanganan proses otentikasi
dan manajemen sesi, sehingga penyerang bisa mendapatkan password, atau key yang
di gunakan untuk otentikasi.
5.8. Insecure Cryptographic Storage
Aplikasi web umumnya jarang menggunakan fungsi kriptografi untuk
melindungi data penting yang dimiliki, atau menggunakan fungsi kriptografi yang
di ketahui memiliki kelemahan.
5.9. Insecure Communications
Sedikit sekali aplikasi web yang mengamankan jalur komunikasinya,
hal inilah yang dimanfaatkan oleh penyerang sebagai celah untuk mendapatkan
informasi berharga.
5.10.Failure to Restrict URL Access
Seringkali, aplikasi web hanya menghilangkan tampilan link (URL)
dari pengguna yang tidak berhak, tetapi hal ini dengan sangat mudah dilewati
dengan mengakses URL tersebut secara langsung.
6. Menjalankan Secure Server
Server-server Web dirancang untuk menerima beragam request dari
host-host bebas di internet, juga merespons informasi yang di-request dalam
waktu singkat. Mereka dapat menjadi pintu gerbang informasi baik bersifat
public maupun personal. Untuk membangun sebuah secure server dalam berbagai
platform. Anda hendaknya mempertimbangkan hal-hal penting dibawah ini :
User-user hendaknya tidak pernah mengeksekusi program-program
sembarangan atau perintah-perintah shell dalam server anda. Script-script CGI
yang berjalan dalam sever anda hendaknya membentuk fungsi-fungsi penerimaan dan
penolakan ( pesan error ). Script-script juga mengantisipasi kemungkinan
terjadinya input-input yang membahayakan.
7. Kesimpulan
Website atau situs adalah kumpulan halaman yang menampilkan
informasi data teks, data gambar diam atau gerak, data animasi, suara, video
dan atau gabungan dari semuanya, baik yang bersifat statis maupun dinamis yang
membentuk satu rangkaian bangunan yang saling terkait dimana masing-masing
dihubungkan dengan jaringan-jaringan halaman (hyperlink).
Bersifat statis apabila isi informasi website tetap, jarang
berubah, dan isi informasinya searah hanya dari pemilik website. Bersifat
dinamis apabila isi informasi website selalu berubah-ubah, dan isi informasinya
interaktif dua arah berasal dari pemilik serta pengguna website.
Sumber :
