COOKIES (WEB BROWSER)

•          Cookie adalah sarana penyimpan informasi yang dibuat oleh suatu Web site untuk menyimpan informasi tentang user yang mengunjungi situs yang bersangkutan

–        Penyimpanan informasi ini demi kemanyanan user maupun Web site

–        Informasi sensitif dan pribadi merupakan perhatian dari sisi keamanan

•          Cookie merupakan file ASCII yang dikirimkan server ke client, lalu client menyimpannya di sistem lokal. Ketika request baru dikirimkan, server dapat meminta browser untuk mencek apakah ada cookie, jika ada, web server dapat meminta web browser untuk mengirimkan cookie ke web server. Cookie ini bisa berasal dari manapun. Isi cookie dikendalikan oleh Web server dan bisa mengandung informasi mengenai kebiasaan kita ketika mengakses internet. Informasi yang diproleh Web server berasal dari Web browser. Diperoleh ketika user mengisi form yang mengharuskan memasukkan nama dan e-mail address. Informasi ini dapat disimpan di cookie untuk keperluan di masa datang

Macam-macam cookie

•          Persistent Cookies

–        Bertahan di local system untuk waktu yang lama (walaupun sistem sudah direboot)

–        Tersimpan di dalam hard disk dalam bentuk file cookies.txt

•          File ini dapat dibaca dan diedit oleh user atau system administrator

•          File ini bisa mengandung informasi yang sensitif

•          Jika suatu saat seorang penyerang dapat masuk ke dalam workstation tempat menyimpan cookie maka penyerang dapat menggunakannya untuk melakukan serangan berikut

•          Karena bisa dimodifikasi maka file cookies dapat digunakan untuk melakukan penyerangan hijacking atau replay attack.

–        Kelemahan:

•          File cookies bisa memenuhi hard disk

•          Riwayat kebiasaan surfing dapat digunakan oleh pihak lain

•          Nonpersistent cookies

–        Karena kelemahan persistent cookies, banyak situs yang sekarang menggunakan nonpersistent cookie

–        nonpersistent cookie disimpan di memori sehingga bila komputer dimatikan cookies nya juga akan hilang

–        Tidak ada jaminan bahwa setiap browser akan dapat menangani nonpersistent cookies secara benar

•          Cookies pada umumnya mengandung informasi yang memungkinkan suatu web site dapat mengingat user yang mengunjungi situs tersebut

•          Informasi yang paling sering disimpan di cookies adalah sbb:

–        Session ID

•          Digunakan untuk memaintain state atau membawa informasi otorisasi antar request yang dilakkan web browser

–        Waktu dan tanggal dikeluarkannya cookie

–        Waktu dan tanggal kadaluarsa cookies

•          Digunakan oleh Web site untuk menentukan pengabaian cookies yang lama

–        IP address dari browser

•          Dapat dianggap sebagai uji tambahan terhadap otentikasi request