SSL Strip Concept
Sudah faham mengenai konsep MITM(Man In The Middle) Attack ? jika belum silahkan resapi terlebih dahulu Disini.
Sudah ? saya anggap anda sudah faham dan mengerti betul konsep dari MITM Attack, mengapa hal seperti itu bisa sampai terjadi ? Sederhana saja ketika anda mengetikan http://blablabla pada address bar , yang berarti anda sedang mengakses jalur port 80 a.k.a http, jalur jalan raya rawan maling ! makanya tidak aneh banyak korban pencopetan pada jalur tersebut.
Lalu bagaimana dengan jalur aman pada port 443 a.k.a https ? ketika anda mengakses https://blablabla itu berarti anda sedang mengakses jalur yang lebih aman (SSL Protocol),lah? yasudah kalo begitu saya pake jalur 443 terus ah~ lol. Memang secara teknis protokol SSL memiliki tingkat keamanan yang sangat tinggi , SSL tidak hanya mengatur mengenai enkripsi, SSL juga mengatur tentang authentication sehingga protokol tersebut tidak rentan oleh serangan MITM.
Seneng ? nanti dulu ! pernahkah anda mengenal tentang istilah routing ? konsep nya hampir sama seperti routing biasanya coba lihat ini, yang membedakanya hanya cara dan tujuanya. Sebut saja teknik yang dimaksud ialah SSL Strip, ya SSL Strip, pada kenyataanya kebanyakan situs yang menggunakan https pada port 443, dirancang untuk menerima request dari port 80 atau 443 , sehingga sebenarnya port 80 itu hanya untuk menjembatani user mengakses port 443.
Apa anda sadar ? ketika anda mengakses situs yang menggunakan https, apakah anda mengetikan dengan lengkap pada address bar https://blablabla ? Saya ambil contoh situs fenomenal facebook, apakah ketika anda akan mengakses alamat tersebut mengetikan https://www.facebook.com ? tidak kan ? anda mungkin tidak menyadarinya, kebanyakan hampir seluruh pengguna facebook tidak mengetikan alamat lengkap facebook seperti itu , hanya mengetikan :
dan lain - lain, benar tidak? tanpa anda sadari ketika anda tidak mengetikan dengan lengkap alamat yang dituju menggunakan https://blablabla itu berarti anda masuk melalui port 80 terlebih dahulu yang menjembatani dengan server yang memberikan link URL https atau dengan memberikan response redirect untuk menuju ke port 443.
Apa anda sadar ? ketika anda mengakses situs yang menggunakan https, apakah anda mengetikan dengan lengkap pada address bar https://blablabla ? Saya ambil contoh situs fenomenal facebook, apakah ketika anda akan mengakses alamat tersebut mengetikan https://www.facebook.com ? tidak kan ? anda mungkin tidak menyadarinya, kebanyakan hampir seluruh pengguna facebook tidak mengetikan alamat lengkap facebook seperti itu , hanya mengetikan :
facebook.com
www.facebook.com
facebook + ctrl + enter
dan lain - lain, benar tidak? tanpa anda sadari ketika anda tidak mengetikan dengan lengkap alamat yang dituju menggunakan https://blablabla itu berarti anda masuk melalui port 80 terlebih dahulu yang menjembatani dengan server yang memberikan link URL https atau dengan memberikan response redirect untuk menuju ke port 443.
Sederhananya, sebagian besar user mengunjungi https:443 itu melalui http:80 terlebih dahulu, bisa dibilang http ialah gerbang menuju https.
Nah lalu SSL Strip itu apa ? agar lebih mudah akan saya analogikan seperti ini :
Suatu ketika anda bosan menggunakan jalan umum karena maraknya pencopetan , lalu anda menggunakan jalan tol, jalur yang lebih aman.
SSL Strip Concept
Anda--------------------Jalan Tol
Kemudian tiba - tiba , saya hadir di pertengahan.
Anda----------Saya----------Jalan Tol
Sebuah aksi routing atau teknik SSL Strip yang bisa memungkinkan saya mengalihkan perjalanan anda menuju tempat lain, dalam contoh ini saya tidak mengizinkan anda untuk masuk jalan tol , tetapi saya alihkan anda untuk kembali menggunakan jalan umum.
Anda---Saya[Maaf om jalan tol ini ditutup, silahkan kembali]---Jalan Tol
Sebelum anda menuju jalan tol saya sudah mengalihkan anda terlebih dahulu untuk menggunakan jalanan umum , dan sekali lagi dengan mudahnya attacker mencuri paket anda.
Setelah anda memahami ini , dengan sendirinya anda pasti sudah mengetahui bagaimana cara untuk menghindari serangan ini.
EmoticonEmoticon